Eine dringende wissenschaftlich-technische Aufgabe ist derzeit die Entwicklung und Verbesserung von Methoden und Mitteln der Zugangskontrolle in IP-Netzwerken, die auf der Erkennung und Blockierung von virtuellen Verbindungen basieren, die eine Bedrohung für die Informationssicherheit von Netzwerkressourcen darstellen. In diesem Beitrag schlagen wir einen Ansatz zur Lösung dieses Problems vor, der auf der Darstellung jeder virtuellen Verbindung in Form eines Zustandsmodells basiert. Dieses Modell beinhaltet sowohl deterministische Parameter der Netzwerk-, Transport- und Anwendungsebene der Zusammenschaltung, als auch statistische Eigenschaften des Flusses von IP-Paketen. Die Parameter des Modells werden von der Firewall analysiert, die in einem Stealth-Modus arbeitet. Es basiert auf dem vom Autor vorgeschlagenen mengentheoretischen Modell für virtuelle Verbindungen sowie auf der Algebra der Filterregeln, die die Politik des Zugriffs auf Netzwerkressourcen formal beschreibt. Es werden die Beschreibung der entwickelten Modelle des Zustands der virtuellen Verbindungen, die Methoden der Erkennung von Flutangriffen, die auf der Analyse der statistischen Eigenschaften der virtuellen Verbindungen basieren, sowie die Architektur der Firewall, die die in der Arbeit erzielten Ergebnisse implementiert, vorgestellt.