Ja det minner jo, men om det er det det er jo også en definisjonssak.
Statefull inspection vil jo si evnen til å holde styr på "state controll" dvs at når en ip pakke paserer gjennom firewall så lukker firewall dynamisk opp for returtrafikken den motsatte vei vanligvis ved å lukke opp for avsenderporten som vanligvis vil være det samme som svarporten (men ikke for ftp.) Denne evnen til å lukke opp for porter dynamisk medfører at man kan "lage mindre hull" i firewallen ved konfigureringen på grunn av denne dynamiske evnen til å åpne for returtrafikk. Alternativet ved statless inspection det er å sette åpen en hel range av porter pga manglende evne til dynamisk åpning.
Firewall for XP har for så vidt til dels denne egenskapen, dvs den har det for utgående men ikke inngående trafikk. For XP firewall så virker dette for både TCP og UDP trafikken. For Windows 2000 så virker det bare for utgående trafikk og bare for TCP trafikken. Skal man for eksempel surfe på nettet via denne firewallen så må man åpne helt for UDP mens TCP kan kjøre "delvis statefull" dvs med åpning for returtrafikken.
Ser man på Linux sin terminologi så tilsvarer en Linux firewall der man har konfigurert vekk statefull inspection funksjonen og samtidig åpnet for utgående trafikk 100 % de funsjonene som finnes hos en XP firewall. Hos Linux så kaller man dette stateless inspection eller statisk konfigurering selv om man faktisk i noen grad holder styr på statecontroll likt det som skjer hos XP firewall.
Hos Linux, aktiviserer man statefull inspection så kan man også ivareta dynamisk åpning av returtrafikken fra serverfunksjonene. Eksempel: Man kan for eksempel ha en firewall som i utgangspunktet er helt lukket med unntak ap port 80, der slippes det inn trafikk. Webserver mottar på port 80 og svarer så tilbake for eksempel på port 2220. All utgående trafikk er i utgangspunktet stengt men firewall åpner port 2220 dynsmisk som følge av statefull inspection.
Det pussige med Linux det er jo at den egentlig fungerer ut fra prinsippet statefull inspection (??)(Hvis man kaller XP statefull inspection) den ene vei men ikke den annen når den kjører i static mode, mens den klarer full statefull begge veier når statefull inspection er aktivisert.
For statefull inspection så er det jo slik at man i utgangspunkter her en firewall som er helt stengt men som samtidig er åpen til å åpne en hvilken som helst port dersom den senser ritig type trafikk, dvs "state", trafikk den ene eller den annen vei pluss andre detaljer. Spørsmålet blir så: Kan man på noen måte lure statefull inspection ved å modifisere pakkene slik at firewall åpner dynamisk når den ikke skulle åpne ? Med riktig statefull inspection så skal firewall holde et komplett "arkiv" over all trafikk slik at den kotrollerer all trafikk mot tidlgere gjennomført komunikasjon. Ikke godt å si om Xp firewall eller Linux med "static inspection" virkelig gjør dette. Denne egenskapen ved "riktig statefull inspection" det medfører at den forbruker en del mere minne og prosessorkapasitet hvis statefull inspection er aktivisert (og ennå mye mere ved anvendelse av proxy funksjonene.)
"Statefull inspection" det kan vel egentlig være så mangt alt etter hva man nå legger i begrepet. I følge net-faq.dk så skulle det medføre en redusert sikkerhet i forhold til static inspection, men det tror jeg nå heller ikke er helt riktig.
http://www.net-faq.dk/faq.pl?get=firewall Mener at det heller ikke er riktig at det skjer inspesjon av serier av pakker under ett.
Når det gjelder Zone Alarm:
Jeg vet ikke om dette lengere er relevant eller riktig, men jeg leste tidligere om mange som hadde opplevd nokså store kompabilitetsproblemer mellom den versjon av Zone Alarm som kom etter 2.6 og Windows XP. Vet ikke om dette er et problem fremdeles.