stateful inspection：状态检测

状态检测（stateful inspection），也称为动态数据包过滤（dynamic packet filtering），是一种防火墙技术，用于监测活动连接的状态，并使用此信息来决定网络数据包能否通过防火墙。

　　状态检测在很大程度上取代了旧技术，静态数据包过滤。在静态数据包过滤中，只检查数据包的头——这意味着攻击者有时可以通过简单地在数据包头中显示“答复”，来让信息通过防火墙。另一方面，状态检测在应用层上分析数据包。通过记录会话信息，如IP地址和端口号，动态数据包过滤器可以实现比静态数据包过滤器更严格的安全状况。

　　状态检测（stateful inspection）在一段时间内监测通信数据包，并检查传入和传出数据包。跟踪请求特定类型传入数据包的传出数据包，这样只有那些构成适当响应的传入数据包才允许通过防火墙。

　　在使用状态检测的防火墙中，网络管理员可以设置参数，以满足特定需求。在典型的网络中，端口是关闭的，除非传入数据包请求连接到一个特定的端口，端口才会打开。这样做可以防止端口扫描，著名的黑客技术。

　　Check Point软件技术公司在二十世纪九十年代初就开发了状态检测（stateful inspection）。

最近更新时间：2009-10-09 翻译：曾芸芸EN