Zapora stanowa to komputer lub router, który może dynamicznie monitorować i filtrować przechodzący przez niego ruch. Jest to architektura znana jako stanowa inspekcja pakietów (SPI) lub dynamiczne filtrowanie pakietów. Pozwala na dokładniejsze sprawdzanie pakietów danych niż zapory bezstanowe, które mogą monitorować ruch tylko na podstawie wartości statycznych, takich jak adres, z którego pochodzi pakiet. Zapory stanowe są używane, gdy bezpieczeństwo jest ważniejsze od szybkości.
Protokół Internetu i ogólnie sieci używany do komunikacji między komputerami jest zbudowany na warstwach. Większość ruchu przechodzącego przez zaporę ma nagłówek lub pakiet inicjujący, który identyfikuje, do czego jest przeznaczony, dokąd zmierza i jakiego rodzaju jest to ruch. Zapora bezstanowa może patrzeć tylko na nagłówek pakietu, który znajduje się w najbardziej powierzchownej warstwie. Zapora stanowa może wejść głębiej w inne warstwy protokołu i powiedzieć więcej o pakiecie, czyniąc go bardziej dynamicznym.
Bezstanowa zapora ogniowa zazwyczaj analizuje ruch, który ją napotyka, i filtruje go, korzystając z takich informacji, jak adres, do którego jest kierowany, adres, z którego pochodzi, oraz inne predefiniowane statystyki. Jest to najprostszy typ zapory i najłatwiejszy w użyciu; większość zapór programowych korzysta z tej technologii. Nie jest tak bezpieczna jak zapora stanowa, ale zazwyczaj jest szybsza, ponieważ nie musi przetwarzać tylu informacji.
Zapora stanowa może nie tylko dokładniej zbadać pakiet, eliminując ryzyko, że pakiet udaje, czym nie jest i może spowodować uszkodzenie, ale może również śledzić stany połączeń ruchu przychodzącego i wychodzącego. Przechowuje informacje w tabeli, zwanej tabelą stanów, która umożliwia filtrowanie i kierowanie ruchu na podstawie bardziej szczegółowych informacji, takich jak rozmiar pakietu i część procesu połączenia, w którym się znajduje. To sprawia, że zapory stanowe bardziej wydajni, ponieważ nie muszą ponownie sprawdzać pakietów dla każdej części połączenia, mogą po prostu sprawdzić tabelę stanów; znacznie szybszy proces, przynajmniej ze względów bezpieczeństwa. Ogólnie rzecz biorąc, są one bezpieczniejsze niż zapory bezstanowe, ale generalnie są wolniejsze.
Każdy rodzaj zapory ma swoje odpowiednie zastosowania. W przypadku użytkowników domowych, którzy mają tylko jeden komputer, bezstanowa zapora, która i tak jest wbudowana w większość systemów operacyjnych, będzie wystarczająca; zapora stanowa może spowolnić system. W przypadku większych sieci, takich jak duże firmy lub instytucje, lepszym wyborem będzie zapora stanowa. Utrata szybkości jest zwykle rekompensowana faktem, że zapora jest sprzętowa i ma własny procesor i pamięć.