Чем отличаются пакетные межсетевые экраны от шлюзов сеансового уровня?

Пакетные межсетевые экраны и шлюзы сеансового уровня отличаются по принципу работы и функциям.

Пакетные фильтры оценивают трафик по параметрам сетевого уровня и принимают решение о том, пропускать или не пропускать каждый IP-пакет, на основании его свойств. cloud.vk.com Обычно они проверяют данные только в заголовках сетевого и транспортного уровней и обладают высоким быстродействием. ru.ruwiki.ru habr.com Однако пакетные фильтры не могут анализировать протоколы более высоких уровней сетевой модели OSI и уязвимы для атак, которые используют подделку сетевого адреса. ru.ruwiki.ru habr.com

Шлюзы сеансового уровня исключают прямое взаимодействие внешних хостов с узлом, расположенным в локальной сети, и выступают в качестве посредника. ru.ruwiki.ru habr.com Они реагируют на все входящие пакеты и проверяют их допустимость на основании текущей фазы соединения. ru.ruwiki.ru ru.wikipedia.org Шлюз сеансового уровня гарантирует, что ни один сетевой пакет не будет пропущен, если он не принадлежит ранее установленному соединению. ru.ruwiki.ru ru.wikipedia.org Так как контакт между узлами устанавливается только при условии его допустимости, шлюз сеансового уровня предотвращает возможность реализации DoS-атаки, присущей пакетным фильтрам. ru.ruwiki.ru ru.wikipedia.org

Таким образом, пакетные фильтры фокусируются на фильтрации трафика на основе свойств IP-пакетов и обладают высокой производительностью, в то время как шлюзы сеансового уровня обеспечивают защиту от атак, связанных с ранее установленными соединениями, и предотвращают определённые виды атак, характерные для пакетных фильтров.