Un firewall con estado es una computadora o enrutador que puede monitorear y filtrar el tráfico que lo atraviesa de forma dinámica, una arquitectura conocida como inspección de paquetes con estado (SPI) o filtrado dinámico de paquetes. Permite que los paquetes de datos se inspeccionen más a fondo que los firewalls sin estado, que solo pueden monitorear el tráfico en función de valores estáticos, como la dirección donde se originó el paquete. Los cortafuegos con estado se utilizan cuando se prefiere la seguridad a la velocidad.
El protocolo de Internet, y las redes en general, que se utilizan para comunicarse entre computadoras está construido en capas. La mayor parte del tráfico que llega a través de un firewall tendrá un encabezado, o paquete inicial, que identifica para qué es, hacia dónde se dirige y qué tipo de tráfico es. Un firewall sin estado solo puede mirar el encabezado de un paquete, que se encuentra en la capa más superficial. El firewall con estado puede profundizar en otras capas del protocolo y brindar más información sobre el paquete, lo que lo hace más dinámico.
Un firewall sin estado generalmente observará el tráfico que lo atraviesa y lo filtrará utilizando información como la dirección a la que se dirige, la dirección de donde proviene y otras estadísticas predefinidas. Es el tipo de firewall más simple y fácil de usar; la mayoría de los firewalls basados en software utilizan esta tecnología. No es tan seguro como un firewall con estado, pero generalmente es más rápido porque no tiene que procesar tanta información.
Un firewall con estado no solo puede examinar un paquete más profundamente, eliminando la posibilidad de que un paquete finja ser lo que no es y posiblemente cause daño, sino que también puede realizar un seguimiento de los estados de conexión del tráfico entrante y saliente. Mantendrá la información en una tabla, conocida como tabla de estado, que le permite filtrar y enrutar el tráfico en función de información más detallada, como el tamaño del paquete y en qué parte del proceso de conexión se encuentra. Esto crea firewalls con estado más eficiente porque no tienen que volver a inspeccionar los paquetes para cada parte de la conexión, simplemente pueden verificar la tabla de estado; un proceso mucho más rápido, al menos por motivos de seguridad. En general, son más seguros que los cortafuegos sin estado, pero por lo general son más lentos.
Cada tipo de firewall tiene sus usos adecuados. Para un usuario desde el hogar que solo tiene una computadora, un firewall sin estado, que está integrado en la mayoría de los sistemas operativos de todos modos, funcionará bien; un firewall con estado puede ralentizar un sistema. Para redes más grandes, como grandes empresas o instituciones, el firewall con estado sería la mejor opción. Cualquier pérdida de velocidad generalmente se compensa con el hecho de que el firewall es hardware y tiene su propio procesador y memoria.