Kiểm tra trạng thái là một kỹ thuật được sử dụng trong tường lửa mạng máy tính để bảo vệ mạng khỏi truy cập trái phép.Cũng đôi khi được gọi là lọc động, phương pháp này có khả năng kiểm tra toàn bộ gói dữ liệu trước khi nó vào mạng.Theo cách này, mọi gói nhập vào bất kỳ giao diện nào trên tường lửa đều được kiểm tra hoàn toàn về tính hợp lệ đối với các loại kết nối được phép chuyển sang phía bên kia.Quá trình này được đặt tên vì nó không chỉ kiểm tra các gói dữ liệu, mà còn theo dõi trạng thái của một kết nối đã được thiết lập và cho phép thông qua tường lửa. Ý tưởng kiểm tra trạng thái lần đầu tiên được đưa ra bởi Check Point reg;Phần mềm, trở lại vào giữa những năm 1990.Trước khi kiểm tra điểm reg;Tường lửa-1 Kiểm tra Thương mại;Phần mềm động cơ, tường lửa đã theo dõi lớp ứng dụng, ở đầu mô hình kết nối hệ thống mở (OSI).Điều này có xu hướng rất thuế đối với bộ xử lý máy tính, vì vậy kiểm tra gói đã chuyển các lớp mô hình OSI sang lớp thứ ba, lớp mạng.Kiểm tra gói sớm chỉ kiểm tra thông tin tiêu đề, thông tin địa chỉ và giao thức, của các gói và không có cách nào để phân biệt trạng thái của gói, chẳng hạn như liệu đó có phải là một yêu cầu kết nối mới.Phương pháp lọc gói thân thiện và nhanh chóng được hợp nhất phần nào với thông tin ứng dụng chi tiết hơn.Điều này cung cấp một số bối cảnh cho gói, từ đó cung cấp thêm thông tin để từ đó cơ sở các quyết định bảo mật.Để lưu trữ tất cả các thông tin này, tường lửa cần thiết lập một bảng, sau đó xác định trạng thái của kết nối.Các chi tiết của mọi kết nối, bao gồm thông tin địa chỉ, cổng và giao thức, cũng như thông tin giải trình tự cho các gói, sau đó được lưu trữ trong bảng.Tài nguyên thời gian duy nhất bị căng thẳng là trong quá trình nhập ban đầu vào bảng trạng thái;Sau đó, mọi gói khác đều khớp với trạng thái đó hầu như không sử dụng bất kỳ tài nguyên điện toán nào. Quá trình kiểm tra trạng thái bắt đầu khi gói đầu tiên yêu cầu kết nối được ghi lại và kiểm tra.Gói được khớp với các quy tắc tường lửa, trong đó nó được kiểm tra đối với một loạt các tham số ủy quyền có thể tùy chỉnh vô tận để hỗ trợ chưa biết trước đó hoặc chưa được phát triển, phần mềm, dịch vụ và giao thức.Gói bị bắt khởi tạo bắt tay và tường lửa gửi phản hồi lại cho người dùng yêu cầu xác nhận kết nối.Bây giờ bảng đã được điền thông tin trạng thái cho kết nối, gói tiếp theo từ máy khách được khớp với trạng thái kết nối.Điều này tiếp tục cho đến khi kết nối hết lần hoặc bị chấm dứt và bảng được xóa thông tin trạng thái cho kết nối đó. Điều này mang lại một trong những vấn đề mà Tường lửa kiểm tra trạng thái phải đối mặt với sự từ chối tấn công dịch vụ.Với loại tấn công này, bảo mật không bị xâm phạm nhiều như tường lửa bị bắn phá với nhiều gói ban đầu yêu cầu kết nối, buộc bảng trạng thái phải lấp đầy các yêu cầu.Khi đầy đủ, bảng trạng thái không còn có thể chấp nhận bất kỳ yêu cầu nào và vì vậy tất cả các yêu cầu kết nối khác đều bị chặn.Một phương pháp tấn công khác chống lại tường lửa trạng thái tận dụng các quy tắc tường lửa để chặn lưu lượng truy cập đến, nhưng cho phép mọi lưu lượng truy cập đi.Kẻ tấn công có thể lừa một máy chủ ở phía an toàn của tường lửa yêu cầu các kết nối từ bên ngoài, mở ra một cách hiệu quả bất kỳ dịch vụ nào trên máy chủ để kẻ tấn công sử dụng.