数据包过滤（packet filtering）是一个用软件或硬件设备对向网络上传或从网络下载的数据流进行有选择的控制过程。数据包过滤器通常是在将数据包从一个网站向另一个网络传送的过程中允许或阻止它们的通过(更为常见的是在从英特网向内部网络传输数据时，或从内部网络向英特网传输)。若要完成数据包过滤，你就要设置好规则来指定哪些类型的数据包被允许通过和哪些类型的数据包将会被阻止。

　　数据包过滤器对所有通过它进出的数据包进行检查，并阻止那些不符合既定规则数据包的传输。数据包过滤器能够基于如下的标准对数据包进行过滤：

• 　　该数据包所属的协议(TCP、UDP等等)
• 　　源地址
• 　　目的地址
• 　　目的设备的端口号(请求类型)
• 　　数据包的传输方向，向外传到英特网或向内传给局域网
• 　　数据库中既定数据包的署名

　　数据包过滤的功能通常被整合到路由器或网桥之中来限制信息的流通。数据包过滤器使得管理员能够对特定协议的数据包进行控制，使得它们只能传送到网络的局部;能够对电子邮件的域进行隔离;能够进行其它的数据包传输上的管控功能。

　　数据包过滤器是防火墙中应用的一项重要功能，它对 IP 数据包的报头进行检查以确定数据包的源地址、目的地址和数据包利用的网络传输服务。传统的数据包过滤器是静态的，仅依照数据包报头的内容和规则组合来允许或拒绝数据包的通过。侵入检测系统利用数据包过滤技术和通过将数据包与预先定义的特征进行匹配的方法来分析各种数据包，然后对可能的网络黑客和入侵者予以警告。

　　在网络嗅探、协议分析器或数据包分析器中，数据包过滤器也是一个关键的工具。许多网络嗅探工具拥有多种过滤器类型，因此使得用户能够对数据包进行过滤并查看它们的传输情况。