包過濾防火牆工作在 OSI 的哪一層

包過濾防火牆工作在 OSI 的第三層和第四層。包過濾防火牆是用一個軟件查看所流經的數據包的包頭（header），由此決定整個包的命運。它可能會決定丟棄（DROP）這個包，可能會接受（ACCEPT）這個包（讓這個包通過），也可能執行其它更復雜的動作。

在Linux系統下,包過濾功能是內建於核心的（作爲一個核心模塊，或者直接內建），同時還有一些可以運用於數據包之上的技巧，不過最常用的依然是查看包頭以決定包的命運。 　包過濾防火牆將對每一個接收到的包做出允許或拒絕的決定。具體地講，它針對每一個數據包的包頭，按照包過濾規則進行判定，與規則相匹配的包依據路由信息繼續轉發，否則就丟棄。包過濾是在IP層實現的，包過濾根據數據包的源IP地址、目的IP地址、協議類型（TCP包、UDP包、ICMP包）、源端口、目的端口等包頭信息及數據包傳輸方向等信息來判斷是否允許數據包通過。　包過濾也包括與服務相關的過濾，這是指基於特定的服務進行包過濾，由於絕大多數服務的監聽都駐留在特定TCP/UDP端口，因此，爲阻斷所有進入特定服務的鏈接，防火牆只需將所有包含特定TCP/UDP目的端口的包丟棄即可。