Stateful inspection, även kallad dynamisk paketfiltrering, är en brandväggsarkitektur som fungerar på nätverkslagret.
Kontrast till paketfiltrering
Till skillnad från statisk paketfiltrering, som undersöker ett paket baserat på informationen i dess rubrik, spårar stateful inspection varje anslutning som passerar genom brandväggens alla gränssnitt och ser till att de är giltiga. Ett exempel på en stateful brandvägg kan undersöka inte bara headerinformationen utan även paketets innehåll upp genom applikationslagret för att fastställa mer om paketet än bara information om dess källa och destination.
Stateful Inspection Firewalls
En brandvägg med stateful inspection övervakar även anslutningens tillstånd och sammanställer informationen i en tillståndstabell. På grund av detta baseras filtreringsbesluten inte bara på administratörsdefinierade regler (som i statisk paketfiltrering) utan även på sammanhang som har etablerats av tidigare paket som har passerat genom brandväggen.
Som en extra säkerhetsåtgärd mot portscanning stänger brandväggar med tillståndskontroll portar tills anslutning till den specifika porten begärs.
Frasens ursprung
Check Point Software får cred för att ha myntat begreppet tillståndskontroll i samband med användningen av sin FireWall-1 1993.