Cortafuegos stateful

El cortafuegos está programado para distinguir paquetes legítimos para diferentes tipos de conexiones.Por diseño, estos protocolos deben ser capaces de abrir conexiones arbitrarias a los puertos altos para funcionar correctamente.Las entradas se crean sólo para las conexiones TCP o flujos UDP que satisfacen una política de seguridad definida.Los paquetes asociados con estas sesiones se les permite pasar a través del firewall.Esto significa que todos los paquetes con "SYN" en su cabecera recibida por el servidor de seguridad se interpretan para abrir nuevas conexiones.Otros protocolos de conexión, es decir, UDP e ICMP, no se basan en conexiones bidireccionales como TCP, por lo que un servidor de seguridad con estado algo menos seguro.El filtrado de paquetes por sí sola no es considerado como proporcionar suficiente protección.Los proxies de aplicación interceptan los paquetes que llegan en nombre del destino, examinan la carga útil de la aplicación y a continuación, transmiten los paquetes permitidos hasta el destino.Sin embargo, debido a los proxies a nivel de aplicación son consciente de las aplicaciones, los proxies pueden manejar más fácilmente protocolos complejos como H.323 o SIP, que se utilizan para la videoconferencia y VoIP (Voz sobre IP).Algunos cortafuegos también plantean la posibilidad de que los hosts individuales pueden ser engañados para solicitar conexiones externas.Esta posibilidad sólo puede ser completamente eliminada auditando el software del host.