分組過濾路由器是一種具有分組過濾功能的路由器,它根據過濾規則對進出內部網ADD8767絡的分組執行轉發或者丟棄(即過濾)。過濾規則基于分組的網絡層或運輸層首部的信息,例如:源/目的IP地址、源/目的端口、協議類型(TCP或t1DP),等等。我們知道,TCP的 端口號指出了在TCP上面的應用層服務。例如,端口號⒛是ⅡLMⅡ端口號119是UsEbTET新聞網,等等。所以,如果在分組過濾器中將所有目的端口號為23的入分組(incOmingpacket)都進行阻攔,那么所有外單位用戶就不能使用TELNET登錄到本單位的主機上。同

理,如果某公司不愿意其雇員在上班時花費大量時間去看困特網的USENET新聞,就可將目的端口號為119的出分組(oL】tgoing packeθ阻攔住,使其無法發送到因特網。分組過濾可以是無狀態的,即獨立地處理每一個分組。也可以是有狀態的,即要跟蹤每個連接或會話的通信狀態,并根據這些狀態信息來決定是否轉發分組。例如,一個目的地是某個客戶動態分配端口(該端口無法事先包含在規則中)的進入分組被允許通過的唯一條件是:該分組是該端口發出合法請求的一個響應。這樣的規則只能通過有狀態的檢查來實現。

   分組過濾路由器的優點是簡單高效,且對于用戶是透明的,但不能對高層數據進行過。例如,不能禁止某個用戶對某個特定應用進某個特定的操作,不能支持應用層用戶鑒別等。這些功能需要使用應用網關技術來實現。