Stateless-межсетевой экран

Stateless-межсетевой экран проверяет каждый пакет изолированно, применяя правила на основе полей заголовка — IP-адресов источника и назначения, портов и протокола, но не сохраняет информацию о предыдущих потоках или состоянии соединения. Это обеспечивает очень высокую скорость и низкое потребление памяти и хорошо подходит для высоконагруженных сред: границ ISP, ACL на маршрутизаторах и коммутаторах, AWS Network ACL, — однако заставляет администратора задавать правила явно для обоих направлений каждого потока. Stateless-фильтры более уязвимы к подмене адресов, фрагментации и атакам, использующим отсутствие контекста сессии. В современных архитектурах stateless-ACL на границе обычно сочетают со stateful-экранами глубже внутри сети.