Stateful Inspection er en teknikk som brukes i datanettverk brannmurer for å beskytte et nettverk mot uautorisert tilgang.Noen ganger kjent som dynamisk filtrering, er metoden i stand til å inspisere en hel datapakke før den kommer inn i nettverket.På denne måten kontrolleres hver pakke som går inn i ethvert grensesnitt på brannmuren fullstendig for gyldighet mot hvilke typer forbindelser som får lov til å gå gjennom til den andre siden.Prosessen får navnet sitt fordi den ikke bare inspiserer datapakkene, men også overvåker tilstanden til en forbindelse som er opprettet og tillatt gjennom brannmuren.

Ideen for statlig inspeksjon ble først utviklet av Check Point Programvare, tilbake på midten av 1990 -tallet.Før sjekkpunktene og reg;Firewall-1 Inspect Trade;Motorprogramvare, brannmurer overvåket applikasjonslaget, øverst på OPEN Systems Interconnection (OSI) -modellen.Dette hadde en tendens til å være veldig beskattet på en datamaskinprosessor, så pakkeinspeksjon flyttet nedover OSI -modellene til det tredje laget, nettverkslaget.Tidlig pakkeinspeksjon sjekket bare overskriftsinformasjonen, adressering og protokollinformasjon, av pakker og hadde ingen måte å skille pakkenes tilstand, for eksempel om det var en ny tilkoblingsforespørsel.

I en statlig inspeksjonsbrannmur, ressursen-Vennlig og rask pakkefiltreringsmetode blir slått sammen noe med den mer detaljerte applikasjonsinformasjonen.Dette gir en viss kontekst til pakken, og gir dermed mer informasjon som skal basere sikkerhetsbeslutninger fra.For å lagre all denne informasjonen, trenger brannmuren å etablere en tabell, som deretter definerer tilstanden til forbindelsen.Detaljene i hver tilkobling, inkludert adresseinformasjon, porter og protokoller, samt sekvenseringsinformasjonen for pakkene, lagres deretter i tabellen.De eneste tidsressursene er anstrengt i det hele tatt er under den første inngangen til statstabellen;Etter det bruker hver annen pakke som er matchet mot denne staten knapt noen databehandlingsressurser.

Den statlige inspeksjonsprosessen begynner når den første pakken som ber om en tilkobling blir fanget og inspisert.Pakken er matchet mot brannmurreglene, der den sjekkes mot en rekke mulige autorisasjonsparametere som kan tilpasses uendelig for å støtte tidligere ukjente, eller ennå ikke utvikles, programvare, tjenester og protokoller.Den fangede pakken initialiserer håndtrykk, og brannmuren sender et svar tilbake til den anmodende brukeren som anerkjenner en tilkobling.Nå som tabellen er befolket med statlig informasjon for tilkoblingen, blir den neste pakken fra klienten matchet mot tilkoblingsstaten.Dette fortsetter til forbindelsen enten utover eller blir avsluttet, og tabellen er ryddet for statsinformasjonen for den forbindelsen.

Dette gir et av problemene som den statlige inspeksjonsbrannmuren står overfor nektelsen av tjenesteangrep.Med denne typen angrep blir ikke sikkerheten ikke kompromittert i like mye som brannmuren blir bombardert med mange innledende pakker som ber om en forbindelse, og tvinger statens tabell til å fylle opp med forespørsler.Når den er full, kan statsbordet ikke lenger godta noen forespørsler, og alle andre tilkoblingsforespørsler blir blokkert.En annen angrepsmetode mot en statlig brannmur drar fordel av brannmurreglene for å blokkere innkommende trafikk, men tillater all utgående trafikk.En angriper kan lure en vert på den sikre siden av brannmuren til å be om forbindelser utenfra, og effektivt åpne opp alle tjenester på verten for angriperen å bruke.