答え ウ
【解説】
従来のパケットフィルタリング方式のファイアウォールではTCPやUDP、IPのヘッダー情報を基に通過するパケットと遮断するパケットを定義しています。
しかし、このパケットフィルタリングは正常に送信されたパケットに対しては適切に機能するが、特定のサーバを攻撃するために生成された不正なパケットは適切に処理できないことがありました。
例えば、TCPのACKパケットはWAN側からであっても通過させる設定にするが、このACKパケットに不正なデータを付加して送信することで攻撃をすることが可能です。
ステートフルパケットインスペクション方式のファイアウォールでは、パケットフィルタリングを拡張し通過するパケットのデータを読み取り、内容を判断して動的にポートを開放・閉鎖する決定します。