Межсетевой экран с отслеживанием состояния - это компьютер или маршрутизатор, который может отслеживать и фильтровать трафик, проходящий через него динамически, архитектура, известная как проверка пакетов с контролем состояния (SPI) или динамическая фильтрация пакетов. Это позволяет проверять пакеты данных более тщательно, чем межсетевые экраны без сохранения состояния, которые могут отслеживать только трафик на основе статических значений, таких как адрес, где был создан пакет. Межсетевые экраны с сохранением состояния используются, когда безопасность предпочтительнее скорости.

Протокол Интернета и сетей в целом, используемый для связи между компьютерами, построен по уровням. Большая часть трафика, проходящего через брандмауэр, будет иметь заголовок или исходный пакет, который определяет, для чего он предназначен, куда идет и какой это тип трафика. Брандмауэр без сохранения состояния может просматривать только заголовок пакета, расположенный на самом поверхностном уровне. Межсетевой экран с отслеживанием состояния может углубиться в другие уровни протокола и рассказать больше о пакете, что делает его более динамичным.

Брандмауэр без сохранения состояния обычно просматривает трафик, который проходит через него, и фильтрует его, используя такую ​​информацию, как адрес, куда он направляется, адрес, откуда он пришел, и другие предварительно определенные статистические данные. Это самый простой тип межсетевого экрана и самый простой в использовании; большинство программных брандмауэров используют эту технологию. Он не так безопасен, как брандмауэр с отслеживанием состояния, но обычно он быстрее, потому что ему не нужно обрабатывать столько информации.

Брандмауэр с отслеживанием состояния может не только более тщательно исследовать пакет, исключая вероятность того, что пакет притворяется тем, чем он не является, и, возможно, причинять ущерб, он также может отслеживать состояния соединения входящего и исходящего трафика. Он будет хранить информацию в таблице, известной как таблица состояний, которая позволяет ему отфильтровывать и маршрутизировать трафик на основе более подробной информации, такой как размер пакета и какая часть процесса подключения он находится. Это делает межсетевые экраны с отслеживанием состояния более эффективным в том, что им не нужно повторно проверять пакеты для каждой части соединения, они могут просто проверить таблицу состояний; гораздо более быстрый процесс, по крайней мере, в целях безопасности. В целом, они более безопасны, чем брандмауэры без сохранения состояния, но обычно работают медленнее.

Каждый тип брандмауэра имеет свое соответствующее использование. Для домашнего пользователя, у которого есть только один компьютер, хорошо подойдет межсетевой экран без сохранения состояния, который в любом случае встроен в большинство операционных систем; межсетевой экран с отслеживанием состояния может замедлить работу системы. Для больших сетей, таких как крупные предприятия или учреждения, брандмауэр с сохранением состояния будет лучшим выбором. Любая потеря в скорости обычно компенсируется тем фактом, что брандмауэр является аппаратным и имеет собственный процессор и память.