パケットフィルタ

OSI階層モデルでいうと、ネットワーク層レベルでパケットを通過させたり、禁止したりするルータのことを指す。

　たとえばTCP/IPプロトコルならば、IPパケットを単純にフォワードするだけでなく、パケット中に含まれるデータを調べて、送信元や送信先IPアドレス、プロトコルタイプ(TCPかUDPか)、ポート番号などに基づいてパケットを通過させたり、破棄したりする。

　パケットフィルタ型のゲートウェイの動作は単なるIPルータと同じなので、クライアントからはパケットフィルタの存在を気にすることなく、あらゆるネットワークサービスが透過的に使えるというメリットがある。 実際の運用では、デフォルトではすべてのIPフォワードを禁止しておき（セキュリティ確保のため）、ユーザーに提供したいサービス（アプリケーション）のパケットだけが通過できるように、フィルタリングルールを設定する。 ただし、使用するアプリケーションが増えれば、それだけ複雑なフィルタルールを設定しなければならず、条件の設定ミスによってはファイアウォールに思わぬ穴が開いてしまうことがある。

　また、アプリケーションによっては使用するポート番号が実行時に動的に変わるものもあり、このような場合には静的なフィルタリングルールを設定するのが難しくてサポートできないこともある。 これに対応するため、最近では動的なフィルタルールを記述できるようにしているファイアウォール製品もある。

　なお、ローカル側のLANでプライベートIPアドレスを使う場合は、単純なパケットのフィルタリングとフォワードだけでなく、同時にアドレス変換やポート番号変換も行なうNAT（Network Address Translation）機能を使わなければならない。 そうしないと、プライベートアドレスのままでInternetへアクセスしてしまうことになる。 けれども、プロトコルによっては単純にポートやIPアドレスフィールドを書き換えるだけでは動作しないものがあるので、注意が必要である。