Как брандмауэр использует проверку с учетом состояния

Для отслеживания текущих соединений брандмауэр использует проверку с учетом состояния. Функция проверки с учетом состояния отслеживает исходные и целевые IP-адреса, порты, приложения и другую информацию о соединении. Перед обработкой правил брандмауэра клиент принимает решения относительно передачи трафика с учетом информации о соединении.
Например, если правило брандмауэра разрешает компьютеру подключаться к веб-серверу, то брандмауэр сохранит информацию о таком соединении. Получив ответ сервера, брандмауэр обнаружит, что ответ веб-сервера компьютеру ожидается. Он разрешит трафик веб-сервера в ответ на исходный запрос компьютера без проверки базы правила. Сохраняется информация только о тех исходящих соединениях, которые разрешены правилами.
Проверка с учетом состояния устраняет необходимость в создании новых правил. Такая проверка позволяет не создавать правил, разрешающих передачу данных в обоих направлениях, если основной трафик идет только в одном. К трафику клиента, передаваемому в одном направлении, относятся Telnet (порт 23), HTTP (порт 80) и HTTPS (порт 443). Клиенты отправляют этот исходящий трафик; требуется создать правило, разрешающее исходящий трафик для указанных протоколов. Функция проверки с учетом состояния автоматически разрешит обратный трафик в ответ на исходящий трафик. Поскольку принцип действия брандмауэра основан на учете состояния, необходимо создать только правила, устанавливающие соединение, а не характеристики конкретных пакетов. Все пакеты, принадлежащие разрешенному соединению, разрешены явным образом как его составляющие.
Проверка с учетом состояния выполняется для всех правил, управляющих передачей данных TCP.
Однако такая проверка не выполняется для правил, фильтрующих трафик ICMP. Для трафика ICMP требуется создать правила, разрешающие его передачу в обоих направлениях. Например, если клиент будет применять команду ping и получать ответы, то необходимо создать правило, разрешающее передавать пакеты ICMP в обоих направлениях.
Таблица состояния с информацией о соединениях периодически может очищаться. Например, она очищается, когда обрабатывается обновление политики брандмауэра или перезапускаются службы Symantec Endpoint Protection.