封包檢查點
傳入封包
目的地為指派給接收電腦之位址的傳入封包, (本機主機流量,) 依下列順序周遊其上一層:
IP 封包 (網路層)
所有 IP 封包,包括 IP 封包片段,都可在此層進行檢查。 不過,當封包受到 IPsec 保護時,無法在此層執行深層內容檢查或修改,因為封包尚未經過驗證或解密。
傳輸層
所有獨立或完全重新組合的封包都可在此層進行檢查。 受 IPsec 保護的封包已經過驗證或解密。
應用層強制執行 (ALE) 接收或接受
到達本機端點的第一個封包會在此層指出。 例如,抵達的 TCP 同步處理 (SYN) 區段,或指出與 UDP 流程相關聯的第一個 UDP 訊息。 例如,在防火牆原則變更之後,也會在此層指出重新授權連線所需的封包,而且將會設定 ALE 重新授權旗標。
資料包資料或資料流程
UDP 訊息和非 ICMP 錯誤訊息會在資料包資料層指出。 此層允許根據每個資料包檢查網路資料。 在資料包層中,網路資料是雙向的。 資料流程 (資料流程) 只能在資料流程層進行檢查。
傳出封包
來自指派給傳送電腦之位址的傳出封包, (本機主機來源的流量) 周遊下列的一層:
ALE Connect
在產生 SYN 區段之前 (TCP 連線要求) ,而傳送至遠端端點的第一個 UDP 訊息則會在此層指出。
UDP 訊息和非 ICMP 錯誤訊息會在資料包資料層指出。 此層允許根據每個資料包檢查網路資料。 在資料包層中,網路資料是雙向的。 資料流程 (資料流程) 只能在資料流程層進行檢查。
傳輸和 ICMP 錯誤
傳輸篩選層位於傳送封包傳遞至網路層進行處理之後的傳送路徑,但在發生任何網路層處理之前。 此篩選層位於網路層頂端,而不是位於傳輸層底部,因此協力廠商傳輸或原始封包會在此層篩選任何封包。
ICMP 錯誤篩選層位於傳送路徑中,用來檢查傳輸通訊協定的已接收 ICMP 錯誤訊息。
IP 封包
未指出 IP 封包片段;目前無法使用傳出 IP 片段的檢查。
不是源自或不是目的地的 IP 封包或片段,指派給本機電腦的位址可在轉送層進行檢查。 例如,如果目的地為本機用戶端的封包已修改為具有非本機目的地位址,然後將它插入接收路徑,則會插入轉送層。 同樣地,如果源自本機來源位址的封包已修改為具有非本機來源位址,則會在傳送路徑中插入後傳送至轉送層。