静态包过滤防火墙,又称无状态检测防火墙,在 OSI 网络层(第 3 层)运行。这类防火墙会检查通过网络发送的各个数据包,根据它们的源位置和目标位置来进行基础过滤。要注意的是,之前已接受的连接不会被跟踪。这意味着每发送一个数据包都必须重新批准每个连接。
防火墙根据 IP 地址、端口和数据包协议进行过滤。这类防火墙至少可以防止两个网络在未经许可的情况下直接连接。
过滤规则根据手动创建的接入控制列表来设置。这些规则非常严格,很难在不影响网络可用性的情况下正确过滤掉未授权的流量。静态过滤需要持续手动修改才能有效使用。这类防火墙在小型网络上是可以管理的,但在大型网络上比较难以操作。
无法读取应用协议意味着无法读取数据包中传递的消息内容。如果无法读取内容,包过滤防火墙能提供的保护质量就会受限。