L'ispezione a stato è una tecnica utilizzata nei firewall di rete di computer per proteggere una rete dall'accesso non autorizzato.Anche a volte noto come filtraggio dinamico, il metodo è in grado di ispezionare un intero pacchetto di dati prima di entrare nella rete.In questo modo, ogni pacchetto che entra in qualsiasi interfaccia sul firewall viene controllato completamente per la validità rispetto ai tipi di connessioni che possono passare dall'altra parte.Il processo prende il nome perché non solo ispeziona i pacchetti di dati, ma monitora anche lo stato di una connessione che è stata stabilita e consentita attraverso il firewall.

L'idea di ispezione statale è stata prima ideata da Check Point Software, a metà degli anni '90.Prima di controllare i punti e reg;Firewall-1 Ispect Trade;Software del motore, i firewall hanno monitorato il livello dell'applicazione, nella parte superiore del modello OPI (Open Systems Interconnection).Ciò tendeva ad essere molto faticoso per un processore di computer, quindi l'ispezione dei pacchetti ha spostato i livelli dei modelli OSI al terzo livello, il livello di rete.L'ispezione dei pacchetti precoci ha controllato solo le informazioni sull'intestazione, le informazioni di indirizzamento e protocollo, dei pacchetti e non avevano modo di distinguere lo stato del pacchetto, ad esempio se si trattava di una nuova richiesta di connessione.

In un firewall di ispezione a stato, la risorsaIl metodo di filtraggio dei pacchetti amichevole e rapido viene unito in qualche modo con le informazioni più dettagliate dell'applicazione.Ciò fornisce un certo contesto al pacchetto, fornendo così maggiori informazioni da cui basare le decisioni di sicurezza.Per archiviare tutte queste informazioni, il firewall deve stabilire una tabella, che quindi definisce lo stato della connessione.I dettagli di ogni connessione, comprese le informazioni sull'indirizzo, le porte e i protocolli, nonché le informazioni di sequenziamento per i pacchetti, vengono quindi archiviati nella tabella.Le uniche risorse temporali sono tese è durante l'ingresso iniziale nella tabella dello stato;Successivamente, ogni altro pacchetto abbinato a quello stato non utilizza quasi alcuna risorsa di elaborazione.

Il processo di ispezione statale inizia quando il primo pacchetto che richiede una connessione viene acquisita e ispezionata.Il pacchetto è abbinato alle regole dei firewall, in cui viene controllato contro una serie di possibili parametri di autorizzazione che sono infinitamente personalizzabili al fine di supportare precedentemente sconosciuti o che non saranno ancora sviluppati software, servizi e protocolli.Il pacchetto catturato inizializza la stretta di mano e il firewall invia una risposta all'utente richiesto che riconosce una connessione.Ora che la tabella è stata popolata con informazioni sullo stato per la connessione, il pacchetto successivo del client viene abbinato allo stato di connessione.Ciò continua fino a quando la connessione o si interrompe o viene terminata e la tabella viene eliminata dalle informazioni di stato per tale connessione.

Ciò provoca uno dei problemi affrontati dal firewall di ispezione statale la negazione dell'attacco di servizio.Con questo tipo di attacco, la sicurezza non è compromessa tanto quanto il firewall viene bombardato da numerosi pacchetti iniziali che richiedono una connessione, costringendo la tabella statale a riempire le richieste.Una volta pieno, la tabella di stato non può più accettare alcuna richiesta e quindi tutte le altre richieste di connessione sono bloccate.Un altro metodo di attacco contro un firewall statale sfrutta le regole dei firewall per bloccare il traffico in arrivo, ma consentire qualsiasi traffico in uscita.Un utente malintenzionato può ingannare un host sul lato sicuro del firewall per chiedere connessioni dall'esterno, aprendo efficacemente qualsiasi servizio sull'host che l'attaccante può utilizzare.