Statlig inspektion är en teknik som används i brandväggar i datornätverk för att skydda ett nätverk från obehörig åtkomst.Även ibland känd som dynamisk filtrering, kan metoden inspektera ett helt datapaket innan det kommer in i nätverket.På detta sätt kontrolleras varje paket som kommer in i alla gränssnitt på brandväggen helt för giltighet mot de typer av anslutningar som får gå igenom till andra sidan.Processen får sitt namn eftersom den inte bara inspekterar datapaketen, utan också övervakar tillståndet för en anslutning som har upprättats och tillåtits genom brandväggen.

Idén till statlig inspektion utformades först genom checkpunkt reg;Programvara, tillbaka i mitten av 1990 -talet.Före kontrollpunkter reg;Firewall-1 Inspect Trade;Motorprogramvara, brandväggar övervakade applikationslagret, högst upp i Model Open Systems Interconnection (OSI).Detta tenderade att vara mycket beskattande på en datorprocessor, så paketinspektion flyttade ner OSI -modellerna till det tredje lagret, nätverkslagret.Tidig paketinspektion kontrollerade bara rubrikinformationen, adresserings- och protokollinformationen, för paket och hade inget sätt att skilja paketets tillstånd, till exempel om det var en ny anslutningsbegäran.Vänlig och snabb paketfiltreringsmetod slås samman något med den mer detaljerade applikationsinformationen.Detta ger ett visst sammanhang till paketet och ger därmed mer information att basera säkerhetsbeslut.För att lagra all denna information måste brandväggen upprätta en tabell, som sedan definierar anslutningens tillstånd.Detaljerna för varje anslutning, inklusive adressinformation, portar och protokoll, såväl som sekvenseringsinformationen för paketen, lagras sedan i tabellen.Den enda tiden resurser är ansträngda alls är under den första inträde i tillståndstabellen;Efter det använder alla andra paket som matchas mot det tillståndet knappast några datorresurser.

Den statliga inspektionsprocessen börjar när det första paketet som begär en anslutning fångas och inspekteras.Paketet matchas mot brandväggsreglerna, där det kontrolleras mot en rad möjliga auktoriseringsparametrar som är oändligt anpassningsbara för att stödja tidigare okända, eller ännu för att utvecklas, programvara, tjänster och protokoll.Det fångade paketet initialiserar handskakningen, och brandväggen skickar ett svar tillbaka till den begärande användaren som bekräftar en anslutning.Nu när tabellen har befolkats med tillståndsinformation för anslutningen matchas nästa paket från klienten mot anslutningstillståndet.Detta fortsätter tills anslutningen antingen tider ut eller avslutas, och tabellen rensas för tillståndsinformationen för den anslutningen.

Detta ger en av de frågor som den statliga inspektionens brandvägg står inför förnekande av serviceattack.Med denna typ av attack komprometteras inte säkerheten i så mycket som brandväggen bombarderas med många initiala paket som begär en anslutning, vilket tvingar tillståndstabellen att fylla med förfrågningar.När den är full kan statstabellen inte längre acceptera några förfrågningar, och så är alla andra anslutningsförfrågningar blockerade.En annan attackmetod mot en statlig brandvägg utnyttjar brandväggsreglerna för att blockera inkommande trafik, men tillåter all utgående trafik.En angripare kan lura en värd på den säkra sidan av brandväggen till att be om anslutningar från utsidan och effektivt öppna upp alla tjänster på värden för att angriparen ska använda.