Ingress-Filterung ist eine Eingangs-Filterung. Eine solche Filterung entspricht funktional einem Paketfilter und verhindert, dass verdächtiger Datenverkehr mit Malsoftware in die Netzwerke gelangt. Die Ingress-Filterung wird von Unternehmen und Internet Service Providern ( ISP) eingesetzt und von Edge-Devices, Edge-Routern und Firewalls ausgeführt, die die IP-Header von den eingehenden Datenpaketen auf verdächtige Bitmuster hin untersuchen.
Bei IP-Datenverkehr blockiert die Ingress-Filterung IP- Adressen, die intern im Netzwerk verwendet werden. Dadurch wird sichergestellt, dass Angreifer keine internen IP-Adressen für eigene Zwecke manipulieren können. Gleiches gilt für Angriffe über Loopbacks und für Mulicast-Adressen. Ingress- Filter können auch nicht erwünschten Datenverkehr aus bestimmten Regionen blockieren, die als gefährlich anzusehen sind. Dazu können die entsprechende Länder- oder Unternehmensadressen auf eine Blacklist gesetzt werden.
Werden verdächtige Bitmuster in einem IP-Header erkannt, wird der Zugriff auf das Netzwerk gesperrt. Ingress-Filtering soll Angriffe wie DoS-Attacken, die IP-Spoofing verwenden, verhindern. Aus einem Netzwerk ausgehender Datenverkehr wird mittels Egress-Filterung überwacht.
Bei MPLS-Netzen übernimmt die Filterfunktion ein Label Edge Router ( LER).