La inspección con estado es una técnica utilizada en los cortafuegos de la red informática para proteger una red del acceso no autorizado. También conocido a veces como filtrado dinámico, el método es capaz de inspeccionar un paquete de datos completo antes de que ingrese a la red. De esta manera, cada paquete que ingresa a cualquier interfaz en el cortafuegos se verifica por completo para verificar la validez de los tipos de conexiones que pueden pasar al otro lado. El proceso recibe su nombre porque no solo inspecciona los paquetes de datos, sino que también monitorea el estado de una conexión que se ha establecido y permitido a través del firewall.

La idea de la inspección con estado fue ideada por primera vez por el software Check Point®, a mediados de la década de 1990. Antes del software del motor Check Point® Firewall-1 INSPECT ™, los firewalls supervisaban la capa de aplicación, en la parte superior del modelo de interconexión de sistemas abiertos (OSI). Esto solía ser muy exigente para el procesador de una computadora, por lo que la inspección de paquetes se movió hacia abajo de las capas del modelo OSI a la tercera capa, la capa de red. La inspección temprana de paquetes solo verificó la información del encabezado, el direccionamiento y la información del protocolo, de los paquetes y no tenía forma de distinguir el estado del paquete, como si se trataba de una nueva solicitud de conexión.

En un firewall de inspección con estado, el método de filtrado de paquetes rápido y amigable con los recursos se fusiona de alguna manera con la información más detallada de la aplicación. Esto proporciona cierto contexto al paquete, proporcionando así más información desde la cual basar las decisiones de seguridad. Para almacenar toda esta información, el firewall debe establecer una tabla, que luego define el estado de la conexión. Los detalles de cada conexión, incluida la información de la dirección, los puertos y protocolos, así como la información de secuencia para los paquetes, se almacenan en la tabla. El único momento en que los recursos se agotan es durante la entrada inicial en la tabla de estado; después de eso, cualquier otro paquete que coincida con ese estado apenas utiliza recursos informáticos.

El proceso de inspección con estado comienza cuando se captura e inspecciona el primer paquete que solicita una conexión. El paquete se compara con las reglas del firewall, donde se compara con una serie de posibles parámetros de autorización que son infinitamente personalizables para admitir software, servicios y protocolos previamente desconocidos o aún por desarrollar. El paquete capturado inicializa el protocolo de enlace y el firewall envía una respuesta al usuario solicitante que reconoce una conexión. Ahora que la tabla se ha llenado con información de estado para la conexión, el siguiente paquete del cliente se compara con el estado de la conexión. Esto continúa hasta que la conexión se agota o finaliza, y la tabla se borra de la información de estado para esa conexión.

Esto provoca uno de los problemas que enfrenta el firewall de inspección con estado: el ataque de denegación de servicio. Con este tipo de ataque, la seguridad no se ve comprometida en la medida en que el firewall se bombardea con numerosos paquetes iniciales que solicitan una conexión, lo que obliga a la tabla de estado a llenarse de solicitudes. Una vez llena, la tabla de estado ya no puede aceptar ninguna solicitud, por lo que se bloquean todas las demás solicitudes de conexión. Otro método de ataque contra un firewall con estado aprovecha las reglas del firewall para bloquear el tráfico entrante, pero permite cualquier tráfico saliente. Un atacante puede engañar a un host en el lado seguro del firewall para que solicite conexiones desde el exterior, abriendo efectivamente cualquier servicio en el host para que el atacante lo use.