Per prima cosa, definiamo sia ciò che un filtro non statico e un stateful firewall o filtro è:
Firewall non statico: questo era il metodo firewall originale. Date le regole del firewall su quali porte IP sono aperte o meno.
Se un pacchetto in entrata (di solito da internet) non specifica una porta consentita dalle regole, viene eliminato / interrotto dal firewall.
Firewall di stato: tutte le porte sono bloccate dal firewall (per impostazione predefinita, e questo si applica solo al traffico dall'esterno / Internet). Quando un computer dietro / all'interno del firewall vuole stabilire una connessione attraverso il firewall, il firewall controlla che il primo pacchetto si spenga (su qualunque porta venga selezionata dal computer) su un computer remoto (web). Il firewall memorizza l'indirizzo IP a cui è stato inviato il pacchetto e quale porta è stata utilizzata dal computer di invio / interno e (per un periodo di tempo limitato) consente ai pacchetti provenienti da quell'indirizzo IP esterno che utilizzano quella porta) di passare attraverso il firewall per raggiungere la rete interna. Stateful in questo caso indica che lo stato del filtro (regole) del firewall dipende da quale traffico è stato avviato dai computer sul lato interno (nominalmente sicuro) del firewall. Per impostazione predefinita, tutti i pacchetti dall'esterno vengono arrestati dal firewall a meno che non facciano parte di una conversazione in corso avviata dal computer interno.
Entrambi i precedenti richiedono solo la visualizzazione delle intestazioni dei pacchetti in entrata e in uscita, che includono gli IP di invio e indirizzati (da e verso gli indirizzi) e la porta IP.
In seguito, i firewall iniziarono anche a fare "deep packet inspection" dove guardavano anche il contenuto dei pacchetti.
Se capisco la tua domanda, stai chiedendo alla possibilità di un firewall di sapere quale applicazione sta tentando di connettersi attraverso il firewall.
Molte applicazioni utilizzano alcune porte predefinite . Ad esempio, HTTP (pagine Web) utilizzano la porta 80, mentre HTTPS (pagine Web protette / crittografate) utilizzano la porta 443. Quindi, solo guardando la porta utilizzata si dice al firewall quale applicazione viene probabilmente utilizzata. Mentre Internet si muove sempre di più verso le comunicazioni crittografate (HTTPS ovunque e l'uso di VPN o altri collegamenti di comunicazione crittografati), i firewall sono sempre meno in grado di esaminare il contenuto del traffico IP, quindi vedere la porta IP diventerà nel tempo l'unica modo il firewall può dire quale applicazione sta comunicando. Esistono modi per consentire a un firewall sofisticato di di esaminare i pacchetti crittografati, ma normalmente saranno utilizzati solo da organizzazioni di grandi dimensioni (e alcuni ISP snoopy) ma non dagli utenti domestici.