防火墙指建立在内外网络边界上的过滤封锁机制.,内部网络被认为是安全和可信赖的,而外部网络被认为是不安全和不可信赖的.，采用了防火墙，内部网络中的计算机将不会直接暴露给来自INTERNET的攻击。防火墙在物理上基本上是一台具有网关或路由功能的计算机或服务器。在逻辑上，防火墙完成网络通信的限制、分离和分析功能，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。包过滤防火墙将对每一个接收到的包做出允许或拒绝的决定。具体地讲，它针对每一个数据包的包头，按照包过滤规则进行判定，与规则相匹配的包依据路由信息继续转发，否则就丢弃。包过滤是在IP层实现的，包过滤根据数据包的源IP地址、目的IP地址、协议类型（TCP包、UDP包、ICMP包）、源端口、目的端口等包头信息及数据包传输方向等信息来判断是否允许数据包通过。包过滤是一种内置于Linux内核路由功能之上的防火墙类型，其防火墙工作在网络层。