Filtrado de paquetes

El filtrado de paquetes examina paquetes individuales en las capas 3/4 y decide permitirlos o denegarlos según campos como las direcciones IP origen y destino, el protocolo de transporte, los puertos y banderas como TCP SYN/ACK. Es la forma más simple de cortafuegos y se implementa en routers, núcleos de SO (iptables, nftables, pf, Windows Filtering Platform) y ACL de la nube. Puede ser sin estado (cada paquete se evalúa por separado) o servir como plano de datos de un cortafuegos con estado. El filtrado es rápido y económico, pero no comprende el contexto de aplicación, las cargas cifradas ni evasiones sofisticadas como la superposición de fragmentos, por lo que es una capa más dentro de una defensa en profundidad.