ダイナミックなパケットフィルタリングの一種。
レイヤ3のIPパケットが、どのレイヤ4(TCP/UDP)セッションに属するものであるか判断して、正当な手順のTCP/UDPセッションによるものとは判断できないような不正なパケットを拒否する。そのため、TCP/UDPセッションの一部情報を記憶して判断動作する。具体例として、ヘッダのSYNやACKフラグのハンドシェイクの状態などを記憶し、不正に送られてきSYN/ACKパケットを廃棄する。
要するにパケット単体だけでなくその前後関係をキチン記録してパケットの通過・破棄を判断してくれるってことでよいかな。注意点としては安易な設定は運用上の負担となることとネットワーク上の負荷となり遅延などを引き起こしかねないという点