Cortafuegos sin estado

También conocido como: Filtro de paquetes sin estado

Cortafuegos que evalúa cada paquete de forma independiente contra reglas estáticas, sin llevar registro del estado de las conexiones.

Un cortafuegos sin estado inspecciona cada paquete por separado, aplicando reglas basadas en campos de cabecera como IP origen/destino, puerto y protocolo, sin mantener registro de flujos previos ni del estado de la conexión. Esto lo hace muy rápido y eficiente en memoria —ideal para entornos de alto rendimiento como el borde de un ISP, ACL en routers y switches o Network ACL de AWS—, pero obliga a definir reglas explícitas para ambos sentidos de cada flujo. Los filtros sin estado son más vulnerables a spoofing, trucos de fragmentación y ataques que abusan de la falta de contexto. En diseños modernos se combinan ACL sin estado en el borde con cortafuegos con estado más adentro.

Ejemplos

Una Network ACL de AWS que bloquea tráfico entrante al puerto 22 desde 0.0.0.0/0.
Una ACL en un router que solo permite TCP/443 entre dos subredes y debe definirse en ambos sentidos.

Cortafuegos sin estado

Ejemplos

Términos relacionados

Cortafuegos

Cortafuegos con estado

Filtrado de paquetes

Suplantación de IP

Demilitarized Zone (DMZ)

Network Segmentation

Definición

Ejemplos

Términos relacionados

Cortafuegos

Cortafuegos con estado

Filtrado de paquetes

Suplantación de IP

Demilitarized Zone (DMZ)

Network Segmentation