數（shù）據包也就是（shì）TCP/IP協議通信傳輸中的數（shù）據單位（wèi），單個消息被劃分為多個數（shù）據塊，這些數據塊稱（chēng）為（wéi）包（bāo），它包含發送（sòng）者和接收者的（de）地址信息。這些包然後沿著不同的（de）路徑在（zài）一（yī）個或多個（gè）網絡（luò）中傳（chuán）輸，並（bìng）且在目（mù）的地重新組合（hé）。

一（yī）、數據（jù）包的結構 數據包的（de）結構非（fēi）常（cháng）複雜，在這裏主要了解一下（xià）它的關鍵（jiàn）構成就可以了（le），這對於理解TCP/IP協議的通信原理是非常重要的。

數據包（bāo）主要由目的IP地址、源IP地址、淨載數據等部分構成（chéng），數據包的結構與我們平常寫信非（fēi）常類似，目的IP地址是說明這（zhè）個數據包是（shì）要發給誰的，相當於收信人地址（zhǐ），源IP地址（zhǐ）是（shì）說明這個數據（jù）包（bāo）是發自哪裏的（de），相（xiàng）當於（yú）發信人（rén）地址，而淨載數據相當（dāng）於（yú）信件的內容。

二、正是因為數據包具有（yǒu）這樣的結構，安裝了TCP/IP協議的計算機之間才能相互通信。我們在使（shǐ）用基於TCP/IP協議的網絡時，網絡（luò）中其實傳遞的就（jiù）是（shì）數（shù）據包。

理解數（shù）據包，對於網絡（luò）管理的網絡安全具有（yǒu）至關重要的（de）意義，你上網打（dǎ）開網頁，這個簡單的（de）動（dòng）作，就是你先發送數據包給網站，它接收（shōu）到了（le）之後，根（gēn）據（jù）你發（fā）送的數據包（bāo）的IP地址，返回給你網頁的數據（jù）包，也就是說，網頁的瀏覽，實際（jì）上就（jiù）是數據包的交換。

三（sān）、數據包過濾有（yǒu）時也稱為靜態數據包過（guò）濾（lǜ），它（tā）通過分析傳（chuán）入和傳出的數據包以及根據既定標準傳遞或（huò）阻止數（shù）據包來控（kòng）製對網絡的訪（fǎng）問，當路由器（qì）根據（jù）過濾規（guī）則轉發或拒絕數據（jù）包（bāo）時，它（tā）便充當了一（yī）種數據包過濾器。

當（dāng）數據包到達（dá）過濾數據包的路由器（qì）時，路由（yóu）器會從數（shù）據（jù）包報頭中（zhōng）提取某些信息，根據（jù）過濾規則（zé）決定（dìng）該數據包是（shì）應該通（tōng）過還是應（yīng）該丟棄。數據包過濾工作在開放式係統（tǒng）互聯模（mó）型的網（wǎng）絡層，或是TCP/IP 的Internet 層。

四、作為第3 層設備，數據包過濾路由器根據源和（hé）目的IP 地（dì）址、源端口和目的（de）端口（kǒu）以（yǐ）及數據包的（de）協議，利用規則來決定是應該允許還（hái）是拒絕流量。這些規（guī）則是使用訪問控製（zhì）列表（biǎo） 定義的，ACL 是一係列permit 或deny 語（yǔ）句組成的（de）順序列表，應（yīng）用於IP 地址或上層（céng）協議。ACL 可以從數據（jù）包報頭中提取以（yǐ）下（xià）信（xìn）息，根據（jù）規（guī）則進（jìn）行測試，然後（hòu）決定是允許（xǔ）還是拒（jù）絕。

通（tōng）過數據包捕獲軟（ruǎn）件，也可（kě）以將數據包捕獲並加以分析。 就是用數（shù）據（jù）包捕獲軟件Iris捕獲到的數據（jù）包的界麵圖（tú），在此，大家（jiā）可以很清楚地看到（dào）捕獲到的（de）數據包的MAC地址、IP地址、協議類型端口（kǒu）號（hào）等細節，通過分析這（zhè）些數據，網管（guǎn）員就可以知道網（wǎng）絡中到底（dǐ）有什麽樣的數據包在活動了。