Un cortafuegos de estado o State full inspection firewall, es una técnica o tipo de cortafuego que trabaja en 3 de las capas del modelo OSI para el TCP/IP:

-Capa 3 (Capa de red – Internet Protocol)
-Capa 4 (Capa de Transporte –TCP)
-Capa 5 (Capa de Aplicación).

Se caracterizan porque mantienen una tabla de las sesiones TCP y las "pseudo" sesiones UDP activas, en cada entrada de esta tabla se va almacenando la dirección IP de origen, de destino, los puertos de origen y destino y la secuencia del paquete TCP, de esta forma el sistema sólo necesita comparar con las políticas de acceso el primer paquete que llega y el resto si continua la secuencia de una misma comunicación lo deja pasar. Por otro lado gracias a la capacidad de recordar las sesiones anteriores, su capacidad de analizar la capa 4 y 5, hacen que el sistema pueda analizar una serie de situaciones y detectar una serie de ataques que hasta antes de la existencia de esta técnica no era posible hacerlo. De lo anterior se desprende el nombrecillo de este tipo de cortafuegos, cortafuegos de estado, es decir, entiende del estrado de las conexiones, cosa que por ejemplo no hace ZA y resto de cortafuegos para windows.

Además, cortafuegos de estado pueden autenticar los usuarios que establecen las conexiones, pueden determinar si un paquete que dice ser del tipo http realmente transporta este tipo de tráfico e incluso pueden denegar conexión en función al URL, como se puede ver tienen una mayor profundidad en sus características de filtrado.