包过滤器（packetfilter）可以根据端口、IP地址和协议这些标准来阻止或者允许信息包的传输。4.1理解数据包和数据包过滤3）过滤掉任何ICMP重定向或回显（ping）消息，这可能表明黑客正试图寻找开放端口或主机IP地址。4）删除所有使用IP报头源路由选择功能的数据包，在IP源路由中，数据包的创建方可以有意地部分或者全部控制通过网络传输到目的地的路径。从安全角度讲，源路由选择基本都被认为是一个欺骗行为。4.1.1执行数据包过滤的装置4.1.2数据包的分析4.1.3关于数据包过滤的快速指南4.1.4规则的使用4.2数据包过滤的方法例：如果过滤器已经设立了一个固定的规则，即所有来自外部网络的连接都被阻断，只接收一个外部主机的请求，它将舍弃与那个请求有关的数据包。例：如果包过滤器设立一个让所有进来的HTTP通信都必须路由到IP地址是192.168.100.2的公共Web服务器上的规则，那么它会把任何一个HTTP数据包送往192.168.100.2。2）按照TCP或者UDP端口号过滤按照TCP或者UDP端口号过滤的方式，经常被称作端口过滤或者协议过滤。例如：仅允许web的TCP80端口、电子邮件的TCP25端口和FTP的TCP21端口上的通信。3）按照ICMP消息类型过滤ICMP为TCP/IP发挥着家务管理协议的作用，它帮助网络处理各种各样的通信问题。ICMP可以被黑客用来攻击网络中的计算机，因为ICMP没有验证方法来确认一个数据包的接收者，黑客可以尝试中间人攻击，在攻击中它们模仿预期的接收者。4）按段标记过滤理论无害处，从安全角度看，保持段的安全有困难，因为TCP和UDP端口号仅仅提供到数据包的开始处，端口号出现在段0处，段1或者以后的段很容易通过过滤器，因为它们不包括任何端口信息。黑客可以更改一个数据包的IP报头，使其从段1或者更高的段号开始，这样所有的段都会通过过滤器并且可以访问内部资源。设置防火墙/数据包过滤器阻止所有的分段数据包或者仅仅允许完整的数据包通过。5）按ACK标记过滤TCP包中的ACK位这部分信息表明数据包是否正请求连接或者一个连接是否已经建立。数据包请求连接时把ACK位设置为0，已经连接的请求将ACK位设置为1。黑客可以在一个数据包中插入一个为1的虚假ACK位，试图欺骗主机，让主机认为一个连接正在进行设置防火墙仅仅允许ACK位为1的数据包访问指定的端口。6）可疑的入站数据包的过滤（1）阻断所有源IP地址处于内部网络范围之内的入站数据包（2）阻断所有把回送地址127.0.0.1作为源IP地址的入站通信（3）阻断具有一个没有分配任何网络源IP地址的通信，例如：0.X.X.X、1.X.X.X或者2.X.X.X4.2.2有状态数据包过滤4.3设立专用的数据包过滤规则4.3.4启用Web访问的数据包过滤规则4.3.5启用DNS访问的数据包过滤规则4.3.6启用FTP访问的数据包过滤规则4.3.7使用电子邮件的数据包过滤规则