屏蔽路由器防火墙称为网络级或包过滤防火墙。这种防火墙的工作原理是按协议属性筛选传入的数据包。筛选的协议属性可以涉及源或目标地址、协议类型、源或目标端口或多个协议特定属性。
筛选路由器使用规则设置,以过滤使用定义的协议或进出预定义地址的访问,根据数据包头中包含的数据传递或拒绝 IP 数据包。
屏蔽路由器是大多数防火墙的重要组成部分。筛选路由器可以是商业路由器或具有某种数据包过滤潜力的基于主机的路由器。通常的筛选路由器具有在 IP 端口级别阻止网络或特定主机之间的流量的能力。一些防火墙仅包括专用网络和 Internet 之间的筛选路由器。
某些网络仅使用专用网络和 Internet 之间的屏蔽路由器进行防火墙保护。这种类型的防火墙与屏蔽主机网关不同,通常在专用网络上的多个主机和 Internet 上的多个主机之间启用直接通信。
风险区域类似于专用网络上的多个主机,以及筛选路由器启用流量的服务的数量和类型。对于通过点对点连接支持的每项服务,风险区域的大小都会急剧增加。
最后无法量化。损坏控制也很困难,因为网络管理需要经常检查每个主机是否有入侵痕迹。如果没有通常的审计,人们应该希望在一个关键上错开。
在防火墙被彻底破坏的情况下,追踪甚至发现往往很复杂。如果使用商业路由器(不维护日志记录)并且路由器的管理密码被泄露,则可以非常简单地解锁整个专用网络以进行攻击。
识别商业路由器设置错误筛选规则或由于硬件或运算符错误而以某种直通模式出现的情况。通常,这种配置是启用没有特别禁止的情况,因为聪明的用户可以相当简单地搭载协议来获得比经理预期或需要的更高级别的访问权限。
屏蔽路由器不是最安全的解决方案,但它们很有名,因为它们可以从专用网络中的某个点授权相当免费的 Web 访问。一些顾问和网络服务提供商提倡在“防火墙”配置中筛选路由器。