Типы межсетевых экранов:
# * Пакетные фильтры.[[Файл:packet_filtering.gif|thumb|alt=A|upright=2|alt="Пакетный фильтр."]]Пакетный фильтр работает исходя из ограничений, определяя может или не может данный пакет пройти сквозь "стену". Фильтр основывается на данных,содержащихся в пакетах: источнике, адресе назначения, порте, транспортном протоколе и интерфейсе. Плюсом такого подхода явлется простота и быстрота. Межсетевой экран может иметь разные настройки по умолчанию: либо он пропускает все неотфильтрованные пакеты, либо пропускает только отфильтрованные. В коммерческом мире, простые пакетные фильтры становятся все более редкими: все основные межсетевые экраны имеют некоторую степень мониторинга состояния. Плюсом такого подхода явлется простота и быстрота. Недостатком является низкий уровень защищенности.* Пакетный фильтр с учетом состояния.[[Файл:Stateful_packet_filtering.gif|thumb|upright=1.8|Пакетный фильтр с учетом состояния.]]Пакетный фильтр с учетом состояния в самом простом варианте поддерживает отслеживание состояния TCP соединения, начиная с "тройного рукопожатия" (SYN, SYN/ACK, ACK), которое происходит на старте каждой TCP транзакции и заканчивая последним пакетом сессии (FIN или RST). Обычно, после того как инспектор состояни проверил,что данная транзакция разрешена(основываясь на источике/адресе назначения/порте), он фиксирует изначачальное рукопожатие. Если рукопожатие совершилось в разумное время, далее монитор проверяет все заголовки всех TCP подпакетов для этой транзакции на соответствие с таблицей состояний. То есть, пока одна из сторон не закроет транзакцию, посылая FIN или RST. IP адрес источника, порт источника, IP адрес назначения, порт назначения и номер сообщения проверяются. Данный вид межсетегого экрана работает лучше, чем обычная пакетная фильтрация, так как без без данных о состоянии соеденений межсетевой экран не может знать, является ли данное сообщение частью уже установленной сессии или является первым сообщением этой сессии. Некоторые простые пакетные фильтры могут считать, что все сообщение с проставленным ACK флагом являются частью установленной сессии, что является потенциальной уязвимостью. Также знание о состоянии соединений защищает внутреннюю сеть от сканирования(например утилитой nmap), так как межсетевой экран сразу же обнаруживает любое несоответствие с данными в таблице и блокирует подозрительный ip адрес. * Инспекторы состояния.Инспекторы состояния представляют собой пакетный фильтр с учетом состояния с некоторыми доработками на уровне приложений. Например инспектор состояния также следит и за нагрузкой, что позволяет проверить, что инициатор соединения и вправду запрашивает HTTP сессию вместо того, чтобы добиться отказа 80ого порта, например.Данный класс межсетевых экранов позволяет контролировать:# каждый передаваемый пакет — на основе таблицы правил;# каждую сессию — на основе таблицы состояний;# каждое приложение — на основе разработанных посредников.Осуществляя фильтрацию трафика по принципу шлюза сеансового уровня, данный класс межсетевых экранов не вмешивается в процесс установления соединения между узлами. Поэтому производительность инспектора состояний заметно выше, чем у посредника прикладного уровня и шлюза сеансового уровня, и сравнима с производительностью пакетных фильтров. Ещё одно достоинство инспекторов состояния — прозрачность для пользователя: для клиентского программного обеспечения не потребуется дополнительная настройка. Данные межсетевые экраны имеют большие возможности расширения. При появлении новой службы или нового протокола прикладного уровня для его поддержки достаточно добавить несколько шаблонов. Однако инспекторам состояний по сравнению с посредниками прикладного уровня свойственна более низкая защищённость.