數據包篩選器用于IP數據包的過濾。數據包篩選器分為入站篩選器和出站篩選器，分別對應接收到的數據包和發出去的數據包。對于某一個接口而言，入站數據包指的是從此接口接收到的數據包，而不論此數據包的源IP地址和目的IP地址；出站數據包指的是從此接口發出的數據包，而不論此數據包的源IP地址和目的IP地址。

可以再入站篩選器和出站篩選器中定義NAT服務器只允許篩選器中定義的IP數據包或允許除了篩選器中定義的IP數據包外的所有數據包，對于沒有允許的數據包，NAT服務器默認會丟棄此數據包。

在入站篩選器上可以設置一下篩選器操作。

1、接收所有除符合下列條件以外的數據包：當接收到的數據包匹配下面所設置的篩選器時，丟棄此數據包，允許所有不匹配篩選器設置的數據包。

2、丟棄所有的包，滿足下面條件的除外：當接收到的數據包匹配下面所設置的篩選器時，允許此數據包，丟棄所有不匹配篩選器設置的數據包。

在出站篩選器上可以設置以下篩選器操作。

1、傳輸所有除符合下列條件以外的數據包：當需要傳輸的數據包匹配下面所設置的篩選器時，丟棄此數據包，傳輸所有不匹配篩選器設置的數據包。

2、丟棄所有的包，滿足下面條件的除外：當需要傳輸的數據包匹配下面所設置的篩選器時，允許此數據包，丟棄所有不匹配篩選器設置的數據包。

還可以通過協議來進行篩選。在IP篩選器中，可以設置為使用TCP、UDP、ICMP及其他指定協議號的IP協議或任何IP協議來進行篩選。

此外，在NAT服務器中，如果啟用了“NAT/基本防火墻”功能，則可以對連接到Internet的公用接口設置基本防火墻。基本防火墻是一個具有狀態過濾的防火墻，它會將每一個從專用網絡（內部網絡）發往公用接口的IP數據包記錄到一個連接狀態表中。當從公用接口接收到某個數據包時，基本防火墻將此數據包和連接狀態表中的記錄進行比較，如果比較結果顯示是由專用網絡發起的通信，則允許此IP數據包；如果比較結果顯示不是由專用網絡發起的通信，則丟棄此IP數據包。通過這種方法，基本防火墻可使來自公用網絡的未經請求和通信無法到達專用網絡，保證了專用網絡的安全。

基本防火墻類似于公用接口上的入站篩選器，但是和入站篩選器有以下幾點主要區別。

1、基本防火墻只能再公用接口上設置，而入站篩選器可以在專用網絡接口上設置；

2、基本防火墻比入站篩選器具有更高的優先級

3、基本防火墻配置更為簡單。公用接口屬性中的服務和端口、ICMP標簽中的配置都會在基本防火墻上開放相應的協議和端口，但不會設置相應的入站篩選器。此外，基本防火墻不可配置；

4、基本防火墻和入站篩選器是獨立的，對于每一個入站IP數據包，必須同時經過基本防火墻和入站篩選器的允許，否則將被丟棄。

因此對于公用接口，當已配置實用基本防火墻時，不建議在配置入站篩選器。

文章來源于縱橫數據（

國內大帶寬服務器在大規模文件傳輸中的應用?

國外顯卡云服務器如何為虛擬現實提供實時圖形渲染支持?

如何根據需求選擇代理IP的輪換策略?

代理IP的常見使用策略與技巧?

如何通過韓國大帶寬服務器實現在線教育平臺的流暢體驗?

如何利用日本大帶寬服務器支撐大規模在線游戲?

海外顯卡云服務器如何支持大型圖形渲染任務?

如何選擇不同類型的代理IP進行任務分配?

如何配置代理IP應對API接口封鎖?