分组过滤路由器是一种具有分组过滤功能的路由器,它根据过滤规则对进出内部网络的分组执行转发或者丢弃(即过滤)。过滤规则基于分组的网络层或运输层首部的信息,例如:源/目的IP地址、源/目的端口、 HJR1-2C-L-24V协议类型(TCP或t1DP),等等。我们知道,TCP的端口号指出了在TCP上面的应用层服务。例如,端口号⒛是ⅡLMⅡ,端口号119是UsEbTET新闻网,等等。所以,如果在分组过滤器中将所有目的端口号为23的入分组(incOmingpacket)都进行阻拦,那么所有外单位用户就不能使用TELNET登录到本单位的主机上。同理,如果某公司不愿意其雇员在上班时花费大量时间去看困特网的USENET新闻,就可将目的端口号为119的出分组(oL】tgoing packeθ阻拦住,使其无法发送到因特网。

   分组过滤可以是无状态的,即独立地处理每一个分组。也可以是有状态的,即要跟踪每个连接或会话的通信状态,并根据这些状态信息来决定是否转发分组。例如,一个目的地是某个客户动态分配端口(该端口无法事先包含在规则中)的进入分组被允许通过的唯一条

件是:该分组是该端口发出合法请求的一个响应。这样的规则只能通过有状态的检查来实现。

   分组过滤路由器的优点是简单高效,且对于用户是透明的,但不能对高层数据进行过滤。例如,不能禁止某个用户对某个特定应用进行某个特定的操作,不能支持应用层用户鉴别等。这些功能需要使用应用网关技术来实现。