Způsob, kterým brána firewall využívá stavovou inspekci

Ochrana brány firewall používá kontrolu stavu ke sledování aktuálních připojení. Kontrola stavu sleduje adresy IP zdroje a cíle, porty, aplikace a další informace o připojení. Před tím, než klient ověří pravidla brány firewall, provádí rozhodnutí o toku provozu, která jsou založena na informacích o připojení.
Například pokud pravidlo brány firewall povoluje počítači připojit se k webovému serveru, brána firewall zaznamená informace o připojení do protokolu. Když server odpoví, brána firewall zjistí, že se odpověď od webové stránky očekává. Povolí provozu webové stránky procházet k počítači, který komunikaci započal, bez zkoumání databáze pravidel. Aby mohla brána firewall zaznamenat informace o připojení do protokolu, pravidlo musí nejdříve povolit počáteční odchozí provoz.
Stavová inspekce eliminuje potřebu vytvářet nová pravidla. U provozu, který je iniciován v jednom směru, nemusíte vytvářet pravidla, která povolují provoz v obou směrech. Mezi klientský provoz iniciovaný v jednom směru patří protokoly Telnet (port 23), HTTP (port 80) a HTTPS (port 443). Tento odchozí provoz zahajují klientské počítače, proto stačí vytvořit pravidlo, které pro tyto protokoly povoluje odchozí provoz. Kontrola stavu automaticky povoluje provoz ve zpětném směru, který reaguje na odchozí provoz. Jelikož je brána firewall stavová, je třeba vytvořit pouze pravidla, která zahajují spojení, nikoliv charakteristiky konkrétních paketů. Všechny pakety patřící do povoleného připojení jsou implicitně povoleny jako nedílná součást stejného připojení.
Kontrola stavu podporuje všechna pravidla řídící provoz přes protokol TCP.
Kontrola stavu nepodporuje pravidla filtrující provoz přes protokol ICMP. U provozu protokolu ICMP je nutné vytvořit pravidla povolující provoz v obou směrech. Například u klientů používajících příkaz ping a přijímajících odezvu je třeba vytvořit pravidlo povolující provoz přes protokol ICMP v obou směrech.
Tabulka stavu, ve které jsou uvedeny informace o připojení, může být pravidelně mazána. Například bude smazána při aktualizaci zásad brány firewall nebo při restartu služeb aplikace Symantec Endpoint Protection.