Lọc gói rất rẻ để thực hiện. Cần hiểu rằng thiết bị lọc gói không hỗ trợ mức độ bảo mật tương tự như tường lửa ứng dụng hoặc proxy. Tất cả ngoại trừ mạng IP nhỏ nhất đều bao gồm các mạng con IP và bao gồm các bộ định tuyến. Mỗi bộ định tuyến là một điểm lọc tiềm năng. Vì giá trị của bộ định tuyến đã được hấp thụ, nên không cần thêm chi phí cho việc lọc gói.
Lọc gói phù hợp ở những nơi có yêu cầu bảo mật đơn giản. Mạng nội bộ (riêng tư) của một số tổ chức không được phân khúc cao. Tường lửa có độ phức tạp cao không cần thiết để cô lập một phần tử của tổ chức với phần tử khác. Tuy nhiên, cần thận trọng khi hỗ trợ một số loại bảo vệ mạng sản xuất khỏi phòng thí nghiệm hoặc mạng thử nghiệm. Thiết bị lọc gói là một biện pháp rất thích hợp để hỗ trợ cách ly mạng con này với mạng con khác.
Một số bộ lọc gói hoạt động theo cùng một kiểu chung. Nó đang hoạt động ở lớp mạng và lớp truyền tải của ngăn xếp giao thức TCP / IP, mỗi gói được kiểm tra khi nó đi vào ngăn xếp giao thức. Mạng và tiêu đề truyền tải được kiểm tra chặt chẽ để tìm các dữ liệu sau:-
Giao thức (tiêu đề IP, lớp mạng) - Trong tiêu đề IP, byte 9 (số byte bắt đầu bằng 0) nhận dạng giao thức của gói tin. Một số thiết bị lọc có khả năng phân biệt giữa TCP, UPD và ICMP.
Địa chỉ nguồn (tiêu đề IP, lớp mạng) - Địa chỉ nguồn là địa chỉ IP 32 bit của máy chủ tạo ra gói tin.
Địa chỉ đích (tiêu đề IP, lớp mạng) - Địa chỉ đích là địa chỉ IP 32-bit của máy chủ mà gói được thiết kế.
Cổng nguồn (tiêu đề TCP hoặc UDP, lớp truyền tải) - Mỗi đầu của một liên kết Internet TCP hoặc UDP được liên kết với một cổng. Các cổng TCP tách biệt và cụ thể với các cổng UDP. Các cổng được đánh số dưới 1024 được dành riêng và chúng có mục đích sử dụng được xác định rõ ràng.
Các cổng được đánh số trên 1024 (bao gồm) được gọi là cổng tạm thời. Chúng có thể được sử dụng do một nhà cung cấp lựa chọn. Để biết danh sách các cổng “nổi tiếng”, hãy xác định là RFP1700. Cổng nguồn là số cổng tạm thời được xác định giả ngẫu nhiên. Do đó, việc lọc trên cổng nguồn không hữu ích lắm.
Cổng đích (tiêu đề TCP hoặc UDP, lớp truyền tải) - Số cổng đích biểu thị một cổng mà gói tin được gửi đến. Mỗi dịch vụ trên máy chủ đích chấp nhận một cổng. Có nhiều cổng nổi tiếng khác nhau có thể được xử lý là kết nối / dữ liệu 20 / TCP và 21 / TCP-FTP, 23 / TCP-telnet, 80 / TCP-http và 53 / TCP-DNS chuyển vùng. ·
Trạng thái kết nối (tiêu đề TCP, lớp truyền tải) - Trạng thái kết nối thông báo gói tin có phải là gói đầu tiên của phiên mạng hay không. Mục ACK trong tiêu đề TCP được đặt thành “sai” hoặc 0 nếu đây là gói đầu tiên trong phiên. Thật đơn giản để không cho phép máy chủ tạo kết nối bằng cách từ chối hoặc loại bỏ một số gói có bit ACK được đặt thành “false” hoặc 0.