信息包工作原理包过滤是在IP层实现的，因此，它可以只用路由器完成

包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等报头信息来判断是否允许包通过

过滤用户定义的内容，如IP地址

其工作原理是系统在网络层检查数据包，与应用层无关，包过滤器的应用非常广泛，因为CPU用来处理包过滤的时间可以忽略不计

而且这种防护措施对用户透明，合法用户在进出网络时，根本感觉不到它的存在，使用起来很方便

这样系统就具有很好的传输性能，易扩展

但是这种防火墙不太安全，因为系统对应用层信息无感知——也就是说，它们不理解通信的内容，不能在用户级别上进行过滤，即不能识别不同的用户和防止IP地址的盗用

如果攻击者把自己主机的IP地址设成一个合法主机的IP地址，就可以很轻易地通过包过滤器，这样更容易被黑客攻破

基于这种工作机制，包过滤防火墙有以下缺陷：通信信息：包过滤防火墙只能访问部分数据包的头信息；通信和应用状态信息：包过滤防火墙是无状态的，所以它不可能保存来自于通信和应用的状态信息；信息处理：包过滤防火墙处理信息的能力是有限的

比如针对微软IIS漏洞的Unicode攻击，因为这种攻击是走的防火墙所允许的80端口，而包过滤的防火墙无法对数据包内容进行核查，因此此时防火墙等同于虚设，未打相应patch的提供web服务的系统，即使在防火墙的屏障之后，也会被攻击者轻松拿下超级用户的权限

以上内容由大学时代综合整理自互联网，实际情况请以官方资料为准。