ネットワークのアクセス制御のうち、通常のパケットフィルタリングのようにIPアドレス、ポート番号といったヘッダーのアドレス情報のみでなく、IPヘッダーのフラグフィールドやオフセット、TCPヘッダーのフラグフィールド、さらには上位のアプリケーション層のコマンド、レスポンス等の内容も考慮してアクセスの許可、禁止を決定するルーターやファイアウォールの機能。TCPやUDPのコネクションを区別できるものも多い。例えばWAN側から内部DMZへのFTP接続はTCP21番の制御ポートが開いてからでないとTCP20番ポートのデータ転送用のコネクションをオープンしない。