SDN 的架构阻止了数据包流的状态在线处理（忽略使用防火墙硬件、NFV 或实验状态交换机）。

因此，任何监视流状态的操作都需要控制器保持该状态。这会给控制器带来不可接受的工作负载，并增加跨（通常）多个控制器保持的状态。因此，大多数 SDN FW 提议是静态或动态数据包过滤器，例如在安装 FW 交换规则之前使用规则检查算法。

以关闭 TCP 流为例。传统防火墙会在 FIN 握手（2x FIN，2x ACK）发生时观察它，并在看到最后一个 ACK​​ 数据包时关闭防火墙。而不是处理这种状态，OpenFlow 交换机使用超时，这意味着防火墙漏洞保持打开状态。然后攻击者可以使用超时的交换机更新来保持防火墙打开，直到攻击者完成。

对于控制器关闭孔，意味着控制器需要看到 FIN 数据包（规则空间中增加的规则，可能在交换机中缓冲）和两个响应的 ACK，但显然没有看到流中的每个 ACK​​ 并且同样明显允许流以正确完成。

根据看到一两个 SYN 数据包来设置流很容易。删除规则使您的防火墙与两个终端主机同步，使用 SDN 架构不是那么容易。

当然 YMMV 取决于您希望 SDN 数据包过滤器做什么。

在功能方面，它们大致相同。区别通常在于您如何部署和管理它们。经典方法通常涉及物理机，而 SDN 方法可能使用在 VM 中启动的虚拟防火墙。它还以完全编程的方式管理防火墙。

有一些与 SDNish 数据中心相关的技术，例如 VXLAN 或 NSH（网络服务标头），您可能会在专注于 SDN 的防火墙中找到支持，而在经典防火墙中可能不存在。

在传统网络中，有状态防火墙和下一代防火墙。与有状态防火墙相比，NGFW 执行更深入的检查。

这两种类型的防火墙中的任何一种都可以以 SDN 方式实施。与SDN的不同之处在于防火墙处理是在虚拟网卡上完成的，而在传统网络中，防火墙处理是在防火墙的物理网卡上完成的。

如果您考虑虚拟机，以及 SDN 解决方案中的 VMWare 的 VMotion 等功能，不仅虚拟机会移动，而且 vNIC 上的虚拟防火墙也会跟随它（当您移动它时）。

以上都是合理的答复，但是如果您将这些部署在运营商级网络中，那么您需要在哪里部署它们也是一个相当大的问题。一种方法是让 NFV 微实例准备好在每个节点上启动，但如果数据包流是动态的，它们就很少是有状态的。另一种方法是通过客户网关附近的少量点汇集所有流量以保持状态，但以扩展为代价。在企业环境中，防火墙通常可以在 SDN 网络的边界或接入层之前进行虚拟化/扩展。