Пакетная фильтрация

Пакетная фильтрация анализирует отдельные сетевые пакеты на уровнях 3/4 и решает, пропустить их или отбросить, на основе таких полей заголовка, как IP-адреса источника и назначения, транспортный протокол, порты, а также флагов TCP SYN/ACK. Это простейшая форма межсетевого экрана, реализуемая в маршрутизаторах, ядрах ОС (iptables, nftables, pf, Windows Filtering Platform) и облачных ACL. Фильтрация может быть без состояния (каждый пакет оценивается отдельно) либо служить плоскостью данных для stateful-экрана. Метод быстр и недорог, но не понимает прикладного контекста, зашифрованной полезной нагрузки и сложных техник обхода (например, перекрытие фрагментов), поэтому используется как один из слоёв эшелонированной обороны.