Un firewall stateful è un computer o un router in grado di monitorare e filtrare il traffico che lo attraversa in modo dinamico, un’architettura nota come ispezione dei pacchetti con stato (SPI) o filtraggio dinamico dei pacchetti. Consente di ispezionare i pacchetti di dati in modo più approfondito rispetto ai firewall senza stato, che possono monitorare solo il traffico in base a valori statici, come l’indirizzo di origine del pacchetto. I firewall con stato vengono utilizzati quando si preferisce la sicurezza alla velocità.
Il protocollo di Internet, e delle reti in generale, utilizzato per comunicare tra computer è costruito a strati. La maggior parte del traffico che passa attraverso un firewall avrà un’intestazione, o pacchetto iniziale, che identifica a cosa serve, dove sta andando e che tipo di traffico è. Un firewall senza stato può solo guardare l’intestazione di un pacchetto, che si trova nel livello più superficiale. Il firewall stateful può approfondire altri livelli del protocollo e fornire maggiori informazioni sul pacchetto, rendendolo così più dinamico.
Un firewall senza stato in genere esamina il traffico che lo attraversa e lo filtra utilizzando informazioni come l’indirizzo a cui è diretto, l’indirizzo da cui proviene e altre statistiche predefinite. È il tipo di firewall più semplice e il più facile da usare; la maggior parte dei firewall basati su software utilizza questa tecnologia. Non è sicuro come un firewall stateful, ma in genere è più veloce perché non deve elaborare tante informazioni.
Un firewall stateful non solo può esaminare un pacchetto in modo più approfondito, eliminando la possibilità che un pacchetto finga di essere ciò che non è e possa causare danni, ma può anche tenere traccia degli stati di connessione del traffico in entrata e in uscita. Manterrà le informazioni in una tabella, nota come tabella di stato, che consente di filtrare e instradare il traffico in base a informazioni più dettagliate, come la dimensione del pacchetto e la parte del processo di connessione in cui si trova. Ciò rende i firewall con stato più efficienti in quanto non devono riesaminare i pacchetti per ogni parte della connessione, possono semplicemente controllare la tabella di stato; un processo molto più veloce, almeno per motivi di sicurezza. Nel complesso, sono più sicuri dei firewall senza stato, ma sono generalmente più lenti.
Ogni tipo di firewall ha i suoi usi appropriati. Per un utente domestico che dispone di un solo computer, un firewall senza stato, che è comunque integrato nella maggior parte dei sistemi operativi, andrà bene; un firewall stateful può rallentare un sistema. Per reti più grandi, come grandi aziende o istituzioni, il firewall stateful sarebbe la scelta migliore. Qualsiasi perdita di velocità è solitamente compensata dal fatto che il firewall è hardware e dispone di un proprio processore e memoria.