Los firewalls de inspección con estado realizan un seguimiento del estado de las conexiones de red. Si una máquina interna inicia una conexión a un host en la red pública (por ejemplo, una solicitud web), el firewall registra esto. Luego, cuando un paquete de devolución (por ejemplo, la página web) proviene de la red pública, el firewall verifica si coincide con la conexión de salida registrada previamente. Si lo hace, permite el tráfico entrante. Si no lo hace (lo que significa que es un tráfico entrante no solicitado), lo bloquea. Esto evita las conexiones entrantes no autorizadas.