Jak zapora stosuje stanową analizę pakietów

Zapora stosuje analizę stanową do śledzenia bieżących połączeń. Analiza stanowa śledzi źródłowe i docelowe adresy IP, porty, aplikacje oraz inne informacje o połączeniu. Zanim klient sprawdzi reguły zapory, podejmuje decyzje dotyczące przepływu ruchu na podstawie informacji o połączeniu.
Jeśli na przykład reguła zapory zezwala na połączenie komputera z serwerem internetowym, zapora rejestruje informacje o połączeniu. Gdy serwer odpowiada, zapora odkrywa, że na komputerze spodziewana jest odpowiedź z serwera internetowego. Zezwala na przepływ ruchu z serwera internetowego do inicjującego komputera bez sprawdzania bazy reguł. Reguła musi zezwalać na początkowy ruch wychodzący, zanim zapora zarejestruje informacje o połączeniu.
Stanowa analiza pakietów eliminuje konieczność tworzenia nowych reguł. Dla ruchu inicjowanego w jednym kierunku nie trzeba tworzyć reguł zezwalających na ruch w obu kierunkach. Ruch klienta inicjowany w jednym kierunku to ruch protokołów Telnet (port 23), HTTP (port 80) i HTTPS (port 443). Ruch wychodzący inicjują komputery klienckie. Należy utworzyć regułę zezwalającą na ruch wychodzący tych protokołów. Stanowa analiza pakietów automatycznie zezwala na ruch zwrotny przesyłany w odpowiedzi na ruch wychodzący. Ponieważ zapora z natury przeprowadza analizę stanową, należy jedynie utworzyć reguły inicjujące połączenie, a nie charakterystyki poszczególnych pakietów. Wszystkie pakiety należące do dozwolonego połączenia są automatycznie przepuszczane jako część tego samego połączenia.
Pełna analiza pakietów obsługuje wszystkie reguły kierujące ruchem TCP.
Stanowa analiza pakietów nie obsługuje reguł filtrowania ruchu protokołu ICMP. Dla ruchu protokołu ICMP należy utworzyć reguły dopuszczające ruch w obu kierunkach. Jeśli na przykład klienci mają mieć możliwość używania polecenia ping i otrzymywania odpowiedzi, należy utworzyć regułę dopuszczającą ruch protokołu ICMP w obu kierunkach.
Tabela stanu z informacjami o połączeniu może być co pewien czas czyszczona. Jest ona na przykład czyszczona podczas aktualizacji zasady zapory i ponownego uruchomienia usług Symantec Endpoint Protection.