فیلتر کردن بسته تکنیکی است که بواسطه آن روتورها دارای ACL های (لیستهای کنترل دسترسی) فعال می شوند. به طور پیش فرض ،یک روتور تمامی ترافیک به سمت خود را عبور می دهد و همه نوع کار را بدون هیچ محدودیتی انجام می دهد .استفاده از ACLها روشی برای اعمال سیاست امنیتی شما با توجه به نوع دسترسی که می خواهید جهان خارج به شبکه داخلی شما داشته باشد و غیره ، می باشد.
استفاده از فیلتر کردن بسته بجای مدخل کاربردی دارای هزینه اضافی است زیرا ویژگی کنترل دسترسی در لایه پایینتر ISO/OSI اجرا می شود. (عموماً لایه انتقال یا لایه session). با توجه به سربار کمتر و این واقعیت که فیلترینگ بوسیله روتورهایی انجام میشوند که به صورت کامپیوترهای خاص برای اجرای موارد مرتبط با شبکه بندی ،بهینه شده اند ،یک مسیر فیلترینگ بسته اغلب بسیار سریعتر از لایه کاربردی آن است.
با توجه به آنکهما بر روی یک لایه پایینترکار میکنیم ،پشتیبانی از کاربردهای جدید یا به صورت خودکار انجام می شود یا یک موضوع ساده است که در آن بسته های خاص از مسیر عبور میکنند.
(البته احتمال اینکه برخی از چیزها به صورت خودکار آنرا ایجاد میکنند،یک نظر خوب است ، ولی مواردی که این مسیر را افشا میکنند می تواند پایینتر از سطح مورد نظر شما در رابطه با سیاست امنیتی باشد).
در این روش مشکلاتی وجود دارد،بنابراین بخاطر بسپارید که TCP/IP به صورت مطلق است یعنی اینکه هیچ تعهدی برای آدرسهایی که ادعا می کنند به آن مرتبط هستند وجود ندارد.بنابراین ،به منظور محلی کردن ترافیک ما از لایه های فیلترهای بسته استفاده می کنیم. ما نمی توانیم تمام مسیرهای منتهی به هاست واقعی را داشته باشیم اما از طریق دو لایه از فیلترهای بسته می توانیم بین بسته ایی که از اینترنت می آید با بسته ایی که از شبکه داخلی ما می آید ،تفاوت قائل شد.ما می توانیم مشخص کنیم که بسته از کدام شبکه می آید اما نمی توانیم مشخصات بیشتری در مورد آن داشته باشیم.