工作在网络层和传输层

【解析】最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统是由包过滤路由器和应用级网关组合而成。包过滤路由器也称为屏蔽路由器，它是保护内部的内部网络与外部网络之间的第一道防线。由于包过滤在网络层、传输层进行操作，操作对于应用层是透明的，因此不需要客户端与服务器程序做任何修改。包过滤路由器会检查 IP 数据报的端口字段信息，对于 TCP 报头信息，可以是源地址、目的地址、协议类型、IP 源端口、源端口号、目的端口号、TCP ACK 标识等。

【涉及考点】

包过滤路由器相关概念