Брандмауэры типа пакетных фильтров являются самыми простыми наименее интеллектуальными. Они работают на сетевом уровне модели OSI или на IP-уровне стека протоколов TCP/IP. Такие брандмауэры в обязательном порядке присутствуют в любом маршрутизаторе, поскольку все маршрутизаторы могут работать как минимум на третьем уровне модели OSI.
В пакетных фильтрах каждый пакет, прежде чем быть переданным, анализируется на предмет соответствия критериям передачи или блокировки передачи. В зависимости от пакета и сформированных критериев передачи брандмауэр может передать пакет, отвергнуть его или послать уведомление инициатору передачи. Критерии, или правила, передачи пакетов могут формироваться на основе IP-адресов источника и получателя, номеров портов источника и получателя и используемых протоколов.
Преимуществом пакетных фильтров является их низкая цена. Кроме того, они практически не влияют на скорость маршрутизации, то есть не оказывают негативного влияния на производительность маршрутизатора.
Шлюзы сеансового уровня
Шлюзы сеансового уровня — это брандмауэры, работающие на сеансовом уровне модели OSI или на уровне TCP (Transport Control Protocol) стека протоколов TCP/IP. Они отслеживают процесс установления TCP-соединения (организацию сеансов обмена данными между узлами сети) и позволяют определить, является ли данный сеанс связи легитимным. Данные, передаваемые удаленному компьютеру во внешней сети через шлюз на сеансовом уровне, не содержат информации об источнике передачи, то есть все выглядит таким образом, как будто данные отправляются самим брандмауэром, а не компьютером во внутренней (защищаемой) сети. Все брандмауэры на основе NAT-протокола являются шлюзами сеансового уровня (протокол NAT будет описан далее).
К преимуществам шлюзов сеансового уровня относится их низкая цена, к тому же они не оказывают существенного влияния на скорость маршрутизации. Однако шлюзы сеансового уровня не способны осуществлять фильтрацию отдельных пакетов.
