Stateful Inspection ist der de-facto Standard für Firewalls. Das Prinzip basiert darauf, dass jedes Datenpaket einer bestimmten aktiven Session zugeordnet wird. Dadurch lassen sich sogar stateless protocols überwachen, wie z.B. UDP (User Datagram Protocol). Die einzelnen Datenpakete werden anhand bestimmter Merkmale (z.B. IP-Adresse und Portnummer) zu einem logischen Datenstrom (je nach Hersteller "Session", "Flow" oder "Slot" genannt) zusammengefasst. Wesentlich ist, dass sowohl Hin- als auch Rückrichtung zum logischen Datenstrom gezählt werden. Dadurch werden auch Antwortpakete vom Firewall durchgelassen. Nicht zugehörige Pakete, z.B. solche die nicht innerhalb einer vorgegebenen Zeit eintreffen, werden verworfen.
Besteht ein Firewall aus mehreren Hardware-Einheiten, von denen eine aktiv und die anderen Standby sind (Firewall-Cluster), so sind aufwändige Maßnahmen erforderlich, um die Standby-Geräte permanent über den aktuellen Zustand aller logischen Datenströme zu informieren (Synchronisation). Bei Ausfall des aktiven Firewalls kann dadurch ein Standby-Gerät sofort und ohne Paketverlust übernehmen.
Die Firma Check Point Software Technologies Ltd. nimmt für sich in Anspruch, diese Technik erfunden und patentiert zu haben (U.S. Patent # 5,606,668).