包過濾型防火墻是最常見的防火墻類型，它位于Internet和內(nèi)部網(wǎng)絡(luò)之間。包過濾型防火墻在網(wǎng)絡(luò)之間完成數(shù)據(jù)包轉(zhuǎn)發(fā)的普通路由功能，并利用包過濾規(guī)則來允許或拒絕數(shù)據(jù)包。一般情況下，包過濾型防火墻定義的過濾規(guī)則為：內(nèi)部網(wǎng)絡(luò)上的主機(jī)可以直接訪問Internet，Internet上的主機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)上的主機(jī)進(jìn)行訪問是有限制的，這種類型防火墻系統(tǒng)的外網(wǎng)端口默認(rèn)設(shè)置為對(duì)沒有特別允許的數(shù)據(jù)包都拒絕。

包過濾防火墻對(duì)所接收的每個(gè)數(shù)據(jù)包做允許或拒絕的動(dòng)作，防火墻審查每個(gè)數(shù)據(jù)包以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于IP包的包頭信息，包頭信息中包括 IP源地址、IP目標(biāo)地址、TCP／UDP目標(biāo)端口、ICMP消息類型，如果有匹配并且規(guī)則允許該數(shù)據(jù)包通過，那么該數(shù)據(jù)包就會(huì)按照路由表中的信息被轉(zhuǎn)發(fā)；如果匹配并且規(guī)則拒絕該數(shù)據(jù)包，那么該數(shù)據(jù)包就會(huì)被丟棄；如果沒有匹配規(guī)則，用戶配置的默認(rèn)參數(shù)會(huì)決定是轉(zhuǎn)發(fā)還是丟棄數(shù)據(jù)包。

網(wǎng)絡(luò)管理員可以根據(jù)管理的需要設(shè)定包過濾防火墻的過濾規(guī)則，一般情況下，典型的過濾規(guī)則包括以下內(nèi)容。

(1)允許外部的WWW客戶訪問指定的內(nèi)部主機(jī)。

(2)允許外部的FTP會(huì)話與指定的內(nèi)部主機(jī)連接。

(3)允許外部的Telne會(huì)話與指定的內(nèi)部主機(jī)連接。

(4)允許外部的SMTP會(huì)話與指定的內(nèi)部主機(jī)連接。

(5)允許所有外出的數(shù)據(jù)包。

(6)拒絕所有來自外部主機(jī)的數(shù)據(jù)包。

針對(duì)不同類型的攻擊，需采用不同的方法來應(yīng)對(duì)。

特定的源IP地址欺騙式攻擊(Source IP Address Spoofing Attacks)。這種類型的攻擊的特點(diǎn)是黑客從外部傳輸一個(gè)假裝是來自內(nèi)部主機(jī)的數(shù)據(jù)包，即數(shù)據(jù)包中所包含的IP地址為內(nèi)部網(wǎng)絡(luò)上的IP地址。希望通過冒用源IP地址來滲透到只使用了源地址安全功能的系統(tǒng)中。在這樣的系統(tǒng)中，來自內(nèi)部的信任主機(jī)的數(shù)據(jù)包被接收，而來自其他主機(jī)的數(shù)據(jù)包全部被丟棄。對(duì)于源IP地址欺騙式攻擊，可以利用丟棄所有來自包過濾防火墻外部端口的，使用內(nèi)部源地址的數(shù)據(jù)包的方法來防范。

源路由攻擊(Source Routing Attacks)。這種類型的攻擊的特點(diǎn)是源站點(diǎn)指定了數(shù)據(jù)包在 Internet中所走的路線。這種類型的攻擊是為了旁路安全措施，并導(dǎo)致數(shù)據(jù)包循著一個(gè)對(duì)方不可預(yù)料的路徑到達(dá)目的地，只需丟棄所有含源路由選項(xiàng)的數(shù)據(jù)包即可防范這種類型的攻擊。

極小數(shù)據(jù)段式攻擊(Tiny Fragment Attacks)。這種類型的攻擊的特點(diǎn)是入侵者使用了IP分段的特性，創(chuàng)建極小的分段并強(qiáng)行將TCP頭信息分成多個(gè)數(shù)據(jù)包段，這種攻擊是為了繞過用戶定義的過濾規(guī)則。黑客寄希望于包過濾防火墻只檢查第1個(gè)分段，而允許其余的分段通過。對(duì)于這種類型的攻擊，只要丟棄協(xié)議類型為TCP，IP FragmentOffset等于1的數(shù)據(jù)包就可以進(jìn)行控制。