将本地网络连接到internet之后，internet上的计算机就能自由访问本地网络中的计算机了。显然，由于本地网络属于同一个组织，本地网络中的计算机相互之间都可以信任，而外部internet上的计算机可能来自任意地方，因此不可信任。如何给可信任的本地网络中的计算机提供资源，而不给其他internet上的计算机提供访问或入侵的机会，同时又不妨碍本地网络中的计算机正常访问internet，就成为了建立内部网络的一个要求。 　　当然，针对每个计算机进行设置，也可以达到屏蔽外部网络访问的目的。然而这样做一方面不太方便，对每个计算机都要进行设置，另一方面不太安全，内部网络中不是每台计算机使用的操作系统都具备良好的保护措施，而外部网络中的计算机可以通过这些不安全的操作系统进入内部网络，提供了攻击的途径。因此更好的办法是御入侵者于网络之外，在内部网络和外部网络中架设一个防火墙，所有的访问都需要经过它进行验证，对内部网络提供了保护作用。 包过滤技术 　　为了对内部网络提供保护，就有必要对通过防火墙的数据包进行检查，例如检查其源地址和目的地址、端口地址、数据包的类型等，根据这些数据来判断这个数据包是否为合法数据包，如果不符合预定义的规则，就不将这个数据包发送到其目的计算机中去。由于包过滤技术要求内外通信的数据包必须通过使用这个技术的计算机，才能进行过滤，因而包过滤技术必须用在路由器上。因为只有路由器才是连接多个网络的桥梁，所有网络之间交换的数据包都得经过它，所以路由器就有能力对每个数据包进行检查。 　　通常的路由器都支持基本的包过滤能力，路由器在转发ip数据包的时候，缺省状态并不涉及数据包中的内容，只是按照ip包的目的地址和本身的路由表进行转发。为了使得它进行包过滤，就必须定义一系列过滤规则，使得路由器能进行过滤。通常情况下，过滤能针对ip地址、端口地址、连接类型等进行设定，还能够针对数据包进行转发，将数据包转发到合适的计算机中。 如果喜欢freebsd防火墙技术请收藏或告诉您的好朋友.