Kontrola stanowa to technika stosowana w zaporach sieciowych do ochrony sieci przed nieautoryzowanym dostępem.Czasami znana jako filtrowanie dynamiczne, metoda może sprawdzić cały pakiet danych przed wejściem do sieci.W ten sposób każdy pakiet wprowadzający dowolny interfejs w zaporze jest całkowicie sprawdzany pod kątem ważności w stosunku do rodzajów połączeń, które mogą przejść na drugą stronę.Proces ma swoją nazwę, ponieważ nie tylko sprawdza pakiety danych, ale także monitoruje stan połączenia, które zostało ustanowione i dozwolone za pośrednictwem zapory.

Pomysł na kontrolę stanową został po raz pierwszy opracowany przez Check Point Oprogramowanie, w połowie lat 90.Przed punktami kontrolnymi i reg;Firewall-1 Inspekcja i handel;Oprogramowanie silnika, zapory ogniowe monitorowały warstwę aplikacji, u góry modelu połączenia otwartego systemu (OSI).Było to bardzo opodatkowane dla procesora komputerów, więc kontrola pakietów przesunęła warstwy modeli OSI do trzeciej warstwy, warstwy sieciowej.Przyjazna i szybka metoda filtrowania pakietów jest nieco połączona z bardziej szczegółowymi informacjami o aplikacji.Daje to pewny kontekst pakietowi, dostarczając w ten sposób więcej informacji, z których można oprzeć decyzje dotyczące bezpieczeństwa.Aby przechowywać wszystkie te informacje, zapora musi ustalić tabelę, która następnie określa stan połączenia.Szczegóły każdego połączenia, w tym informacje o adresie, porty i protokoły, a także informacje o sekwencjonowaniu pakietów, są następnie przechowywane w tabeli.Jedyne zasoby czasowe są w ogóle napięte podczas początkowego wejścia do tabeli stanu;Następnie każdy inny pakiet dopasowany do tego stanu nie używa prawie żadnych zasobów obliczeniowych.

Proces kontroli stanu rozpoczyna się, gdy pierwszy pakiet żądania połączenia zostanie przechwycony i sprawdzany.Pakiet jest dopasowany do reguł zapory ogniowej, w których jest sprawdzany w stosunku do szeregu możliwych parametrów autoryzacji, które są nieskończenie konfigurowalne w celu obsługi nieznanych wcześniej, lub jak dotąd zostało opracowane, oprogramowanie, usługi i protokoły.Zabrany pakiet inicjuje uścisk dłoni, a zapora wysyła odpowiedź z powrotem na żądającego użytkownika potwierdzającego połączenie.Teraz, gdy tabela została wypełniona informacjami o stanie do połączenia, następny pakiet klienta jest dopasowany do stanu połączenia.Trwa to aż do czasu, gdy połączenie nie zostanie zakończone lub zostanie zakończone, a tabela jest usunięta z informacji państwowych dla tego połączenia.

Zapewnia to jeden z problemów, przed którymi stoi zapora inspekcyjna, odmówienie ataku usługi.Dzięki tego rodzaju atakowi bezpieczeństwo nie jest narażone na szwank, ponieważ zapora ogniowa jest bombardowana wieloma początkowymi pakietami żądającymi połączenia, zmuszając tabelę stanu do wypełnienia żądań.Po pełnej tabeli stanu nie może już zaakceptować żadnych żądań, dlatego wszystkie inne żądania połączenia są blokowane.Kolejna metoda ataku na stanową zaporę zapory wykorzystuje zasady zapory w celu blokowania nadchodzącego ruchu, ale umożliwia ruch wychodzący.Atakujący może oszukać hosta po bezpiecznej stronie zapory, aby poprosić o połączenia z zewnątrz, skutecznie otwierając dowolne usługi na hosta do użycia atakującego.