Modalità di esecuzione dell'ispezione con stato da parte del firewall

La protezione firewall utilizza il processo di controllo con stato per tenere traccia delle connessioni esistenti. Il processo di stateful inspection controlla gli indirizzi IP di destinazione e di origine, le porte, le applicazioni e altre informazioni sulla connessione. Prima di controllare le regole del firewall, il client prende le decisioni relative al flusso del traffico basate sulle informazioni di connessione.
Se ad esempio una regola firewall consente a un client di connettersi a un server Web, il firewall registra le informazioni sulla connessione. Quando il server risponde, il firewall rileva che una risposta dal server Web al computer è prevista. Consente al traffico del server Web di fluire al computer di origine senza controllare la base delle regole. Una regola deve consentire il traffico in uscita iniziale prima che il firewall registri la connessione.
L'ispezione con stato elimina la necessità di creare nuove regole. Per il traffico che ha avuto origine in una direzione, non è necessario creare le regole che consentono il traffico in entrambe le direzioni, ad esempio il traffico Telnet (porta 23), HTTP (porta 80) e HTTPS (porta 443). I computer client danno origine a questo traffico in uscita; creare una regola che consenta il traffico in uscita per questi protocolli. Il processo di controllo con stato autorizza automaticamente il traffico di ritorno che risponde al traffico in uscita. Poiché il firewall è per natura con stato, è necessario creare soltanto regole che avviano una connessione, non le caratteristiche di un pacchetto specifico. Tutti i pacchetti appartenenti a una connessione consentita sono implicitamente consentiti come parte integrante della stessa connessione.
Il processo di controllo con stato supporta tutte le regole che gestiscono il traffico TCP,
mentre non supporta le regole che filtrano il traffico ICMP. Per il traffico ICMP, è necessario creare regole che consentano il traffico in entrambe le direzioni. Ad esempio, per fare sì che i client utilizzino il comando ping e ricevano risposte, è necessario creare una regola che consenta il traffico ICMP in entrambe le direzioni.
La tabella dello stato che contiene le informazioni sulla connessione può essere cancellata periodicamente. Ad esempio, viene cancellata quando un aggiornamento di politica del firewall viene elaborato o se i servizi di Symantec Endpoint Protection sono riavviati.