Olekupõhine kontroll on tehnika, mida kasutatakse arvutivõrgu tulemüürides võrgu kaitsmiseks volitamata juurdepääsu eest. Seda meetodit tuntakse ka kui dünaamilist filtreerimist, mis on võimeline kontrollima kogu andmepaketti enne selle võrku sisenemist. Sel viisil kontrollitakse iga tulemüüri liidesesse siseneva paketi kehtivust nende ühenduste tüüpide suhtes, mis on lubatud teisele poolele. Protsess saab oma nime, kuna see mitte ainult ei kontrolli andmepakette, vaid jälgib ka tulemüüri kaudu loodud ja lubatud ühenduse olekut.
Olekupõhise kontrolli idee töötas esmakordselt välja Check Point® tarkvara 1990. aastate keskel. Enne Check Pointi® Firewall-1 INSPECT™ mootoritarkvara jälgisid tulemüürid avatud süsteemide vastastikuse ühenduse (OSI) mudeli ülaosas rakenduskihti. See kippus arvuti protsessorit väga koormama, nii et pakettide kontrollimine liikus OSI mudeli kihtidest allapoole kolmandale, võrgukihile. Varajane paketikontroll kontrollis ainult pakettide päiseteavet, aadressi- ja protokolliteavet ning ei suutnud eristada paketi olekut, näiteks seda, kas tegemist oli uue ühenduse taotlusega.
Olekupõhise kontrolli tulemüüris liidetakse ressursisõbralik ja kiire pakettide filtreerimise meetod mõnevõrra üksikasjalikuma rakenduse teabega. See annab paketile teatud konteksti, pakkudes seeläbi rohkem teavet turvaotsuste tegemiseks. Kogu selle teabe salvestamiseks peab tulemüür looma tabeli, mis seejärel määratleb ühenduse oleku. Seejärel salvestatakse tabelisse iga ühenduse üksikasjad, sealhulgas aadressiteave, pordid ja protokollid, samuti pakettide järjestusteave. Ainus ajaressurss, mida üldse pingutatakse, on esmasel olekutabelisse sisenemisel; pärast seda ei kasuta iga teine selle olekuga sobitatud pakett peaaegu mingeid arvutusressursse.
Olekupõhise kontrolli protsess algab siis, kui esimene ühendust taotlev pakett on hõivatud ja kontrollitud. Paketti võrreldakse tulemüüri reeglitega, kus seda kontrollitakse paljude võimalike autoriseerimisparameetrite suhtes, mida saab lõputult kohandada, et toetada varem tundmatuid või alles väljatöötatavaid tarkvara, teenuseid ja protokolle. Püütud pakett initsialiseerib käepigistuse ja tulemüür saadab ühendust taotlevale kasutajale tagasi vastuse, mis kinnitab ühenduse loomist. Nüüd, kui tabel on ühenduse olekuteabega täidetud, sobitatakse järgmine kliendi pakett ühenduse olekuga. See jätkub kuni ühenduse aegumiseni või katkestamiseni ja tabelist selle ühenduse olekuteave kustutatakse.
See toob kaasa ühe olekupõhise kontrolli tulemüüri probleemi, teenuse keelamise rünnaku. Seda tüüpi ründe puhul ei kahjustata turvalisust niivõrd, kuivõrd tulemüüri pommitatakse arvukate ühendust taotlevate algpakettidega, mis sunnib olekutabelit päringutega täitma. Kui olekutabel on täis, ei saa olekutabel enam taotlusi vastu võtta ja seetõttu blokeeritakse kõik muud ühenduse taotlused. Teine olekupõhise tulemüüri vastu suunatud ründemeetod kasutab tulemüüri reegleid sissetuleva liikluse blokeerimiseks, kuid lubab igasuguse väljuva liikluse. Ründaja võib petta tulemüüri turvalise poole hosti, et ta küsiks väljastpoolt ühendusi, avades ründajale tõhusalt kõik hostiteenused.