paketové filtry • další možné řešení firewallů – blokování i povolování se odehrává na úrovni síťové vrstvy (L3) • tedy na úrovni manipulace se síťovými pakety (např. IP pakety) – proto se takovéto řešení obecně označuje jako paketový filtr • možné varianty paketových filtrů: – mohou fungovat na obou možných principech • „vše je zakázáno, něco je povoleno“ i „vše je povoleno, něco je zakázáno“ – rozdíl je prakticky jen ve způsobu formulace pravidel pro blokování/povolení – mohou využívat (také) informace, dostupné na vyšších vrstvách • vychází především  z informací, dostupných na L3 (adresa odesilatele, adresa příjemce, ….) – ale mohou se rozhodovat například i podle čísel portů (L4), případně i URL (L7) apod. – mohou fungovat na bezestavovém  nebo stavovém  principu • bezestavový paketový filtr posuzuje každý paket samostatně, bez ohledu na jiné pakety – bez ohledu na „historii“, reprezentovanou jinými (dříve přenesenými) pakety • nedokáže odhalit např. DOS a DDOS útoky, protože nevnímá „zvýšený souběh“ požadavků • stavový paketový filtr bere ohled na historii (již přenesené pakety) – dokáže odhalit více nežádoucích situací (zejména různé souběhy) – může jít o běžný směrovač • s „posíleným“ operačním systémem, který zajišťuje funkce paketového filtru • nebo o speciální jednoúčelové zařízení, či o běžný počítač s vhodným SW