包過濾型防火墻是最常見的防火墻類型，它位于Internet和內(nèi)部網(wǎng)絡(luò)之間。包過濾型防火墻在網(wǎng)絡(luò)之間完成數(shù)據(jù)包轉(zhuǎn)發(fā)的普通路由功能，并利用包過濾規(guī)則來允許或拒絕數(shù)據(jù)包。一般情況下，包過濾型防火墻定義的過濾規(guī)則為：內(nèi)部網(wǎng)絡(luò)上的主機可以直接訪問Internet，Internet上的主機對內(nèi)部網(wǎng)絡(luò)上的主機進行訪問是有限制的，這種類型防火墻系統(tǒng)的外網(wǎng)端口默認設(shè)置為對沒有特別允許的數(shù)據(jù)包都拒絕。

包過濾防火墻對所接收的每個數(shù)據(jù)包做允許或拒絕的動作，防火墻審查每個數(shù)據(jù)包以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于IP包的包頭信息，包頭信息中包括 IP源地址、IP目標地址、TCP／UDP目標端口、ICMP消息類型，如果有匹配并且規(guī)則允許該數(shù)據(jù)包通過，那么該數(shù)據(jù)包就會按照路由表中的信息被轉(zhuǎn)發(fā)；如果匹配并且規(guī)則拒絕該數(shù)據(jù)包，那么該數(shù)據(jù)包就會被丟棄；如果沒有匹配規(guī)則，用戶配置的默認參數(shù)會決定是轉(zhuǎn)發(fā)還是丟棄數(shù)據(jù)包。

網(wǎng)絡(luò)管理員可以根據(jù)管理的需要設(shè)定包過濾防火墻的過濾規(guī)則，一般情況下，典型的過濾規(guī)則包括以下內(nèi)容。

(1)允許外部的WWW客戶訪問指定的內(nèi)部主機。

(2)允許外部的FTP會話與指定的內(nèi)部主機連接。

(3)允許外部的Telne會話與指定的內(nèi)部主機連接。

(4)允許外部的SMTP會話與指定的內(nèi)部主機連接。

(5)允許所有外出的數(shù)據(jù)包。

(6)拒絕所有來自外部主機的數(shù)據(jù)包。

針對不同類型的攻擊，需采用不同的方法來應(yīng)對。

特定的源IP地址欺騙式攻擊(Source IP Address Spoofing Attacks)。這種類型的攻擊的特點是黑客從外部傳輸一個假裝是來自內(nèi)部主機的數(shù)據(jù)包，即數(shù)據(jù)包中所包含的IP地址為內(nèi)部網(wǎng)絡(luò)上的IP地址。希望通過冒用源IP地址來滲透到只使用了源地址安全功能的系統(tǒng)中。在這樣的系統(tǒng)中，來自內(nèi)部的信任主機的數(shù)據(jù)包被接收，而來自其他主機的數(shù)據(jù)包全部被丟棄。對于源IP地址欺騙式攻擊，可以利用丟棄所有來自包過濾防火墻外部端口的，使用內(nèi)部源地址的數(shù)據(jù)包的方法來防范。

源路由攻擊(Source Routing Attacks)。這種類型的攻擊的特點是源站點指定了數(shù)據(jù)包在 Internet中所走的路線。這種類型的攻擊是為了旁路安全措施，并導致數(shù)據(jù)包循著一個對方不可預料的路徑到達目的地，只需丟棄所有含源路由選項的數(shù)據(jù)包即可防范這種類型的攻擊。

極小數(shù)據(jù)段式攻擊(Tiny Fragment Attacks)。這種類型的攻擊的特點是入侵者使用了IP分段的特性，創(chuàng)建極小的分段并強行將TCP頭信息分成多個數(shù)據(jù)包段，這種攻擊是為了繞過用戶定義的過濾規(guī)則。黑客寄希望于包過濾防火墻只檢查第1個分段，而允許其余的分段通過。對于這種類型的攻擊，只要丟棄協(xié)議類型為TCP，IP FragmentOffset等于1的數(shù)據(jù)包就可以進行控制。