L'inspection Stateful est une technique utilisée dans les firewalls réseaux informatiques pour protéger un réseau contre tout accès non autorisé. Aussi parfois connu sous le filtrage dynamique, la méthode est capable d'inspecter un paquet de données entier avant qu'il n'atteigne le réseau. De cette façon, chaque paquet entrant une interface sur le pare-feu est contrôlé entièrement de la validité contre les types de connexions qui sont autorisés à passer de l'autre côté. Le processus tire son nom car non seulement elle inspecte les paquets de données, mais surveille également l'état d'une connexion qui a été mis en place et a permis à travers le pare-feu.
L'idée de stateful inspection a d'abord été mise au point par Check Point, de retour dans les années 1990. Avant Check de Point Firewall-1 INSPECTER logiciel du moteur, pare-feu surveillé la couche application, au sommet de l'interconnexion de systèmes ouverts (OSI). Cette tendance à être très exigeant sur le processeur d'un ordinateur, de sorte packet inspection déplacé vers le bas des couches du modèle OSI à la troisième couche, la couche réseau. L'inspection des paquets au début que la vérification des informations d'en-tête, l'adressage et des informations protocolaires, de paquets et n'avait aucun moyen de distinguer l'état du paquet, comme s'il s'agissait d'une nouvelle demande de connexion.Dans un pare-feu stateful inspection,
la méthode paquets ressource conviviale et rapide de filtrage est fusionné avec un peu les informations d'application plus détaillées. Cela donne un peu de contexte pour le paquet, ce qui donne plus d'informations à partir de laquelle les décisions de sécurité de base. Pour stocker toutes ces informations, le pare-feu doit établir un tableau qui définit alors l'état de la connexion. Les détails de chaque connexion, y compris les informations d'adresse, les ports et les protocoles, ainsi que les informations de séquence pour les paquets sont ensuite stockés dans la table. Le seul moment où les ressources sont tendues à tous est au cours de la première entrée dans le tableau d'état, et après cela, chaque paquet d'autres en correspondance avec cet état utilise peu de ressources informatiques
Le procédé d'inspection d'état commence lorsque le premier paquet de demande de connexion est saisi et inspecté. Le paquet est comparé aux règles du pare-feu, où il est comparé à un tableau de paramètres d'autorisation possibles qui sont sans cesse personnalisable afin de soutenir jusque-là inconnues, ou encore à développer, logiciels, services et protocoles. Le paquet capturé initialise la poignée de main, et le pare-feu envoie une réponse à l'utilisateur qui demande la reconnaissance d'une connexion. Maintenant que la table a été remplie avec les informations d'état de la connexion, le prochain paquet du client est comparé à l'état de connexion. Cela continue jusqu'à ce que la connexion soit expire ou est résilié, et la table est débarrassée des informations d'état pour cette connexion.
Cela porte sur l'un des problèmes rencontrés par le pare-feu stateful inspection de l'attaque par déni de service. Avec ce type d'attaque, la sécurité n'est pas compromise pour autant que le pare-feu est bombardée avec de nombreux paquets initiaux demandant une connexion, ce qui oblige la table d'état pour remplir les demandes. Une fois pleine, la table d'état ne peut plus accepter de demandes, et ainsi de toutes les autres requêtes de connexion sont bloquées. Une autre méthode d'attaque contre un pare-feu dynamique tire parti des règles du pare-feu pour bloquer le trafic entrant, mais ne permettent aucun trafic sortant. Un attaquant peut tromper un hôte du côté sécurisé du pare-feu en demandant pour les connexions de l'extérieur, de manière efficace l'ouverture de tous les services sur l'hôte pour l'attaquant à utiliser.