Os firewalls que realizam inspeção de estado, não fazem isso...

A alternativa correta é: C - certo.

Vamos entender por que essa alternativa é correta e explorar um pouco mais sobre o funcionamento dos firewalls com inspeção de estado.

Os firewalls são dispositivos de segurança de rede que monitoram e controlam o tráfego de rede com base em regras de segurança predefinidas. Eles são essenciais para proteger redes contra acessos não autorizados e ataques cibernéticos. Existem diferentes tipos de firewalls, e um dos mais importantes é o firewall com inspeção de estado ou stateful firewall.

O firewall com inspeção de estado tem a capacidade de monitorar o estado das conexões de rede (por exemplo, TCP e UDP) e tomar decisões com base na tabela de estado das conexões. Esse tipo de firewall rastreia todas as conexões estabelecidas através dele e pode distinguir entre tráfego legítimo de novas conexões e tráfego relacionado a conexões existentes.

A questão diz que os firewalls que realizam inspeção de estado não fazem isso tendo como base os estados das conexões TCP. Vamos analisar isso:

Para um firewall que realiza inspeção de estado, é essencial rastrear o estado das conexões TCP, já que o protocolo TCP é baseado em estados, como SYN, SYN-ACK, ACK, FIN, FIN-ACK, e RST. O firewall utiliza essas informações para permitir ou bloquear o tráfego com base no estado atual da conexão. Portanto, afirmar que tais firewalls não fazem isso tendo como base os estados das conexões TCP está incorreto, pois eles de fato utilizam esses estados.

Por outro lado, a questão pode ser interpretada como indicando que não é a única base para a inspeção. De fato, a inspeção de estado não se limita apenas às conexões TCP, mas também pode incluir UDP e ICMP, entre outros. No entanto, a principal funcionalidade de um firewall com inspeção de estado é justamente analisar o estado das conexões TCP.

Assim, o enunciado da questão está afirmando algo que é uma meia-verdade, mas o foco principal da inspeção de estado ainda é o TCP. Como tal, para o contexto de concursos, a alternativa C - certo é considerada correta no sentido de que a inspeção de estado pode ser mais ampla.

Alguém pode comentar?

Os firewalls de filtro de pacotes baseados em estados faz a verificação justamente com base nos estados das conexões TCP, não é isso?

     Pelo que eu entendi:

     Inspeção de Estado, o Firewall compara o padrão de bits do pacote(nº de porta, end de origem/destino, etc) com um padrão conhecido (armazena características do estabelecimento da conexão), decidindo se uma porta de retorno pode ou não ser aberta.

    Estados de Conexões TCP - Como nós sabemos, para ocorrer a transmissão de dados deve-se estabelecer uma seção de comunicação entre as duas partes (three way handshake), como o início e o fim de uma seção são bem definidos, o TCP acompanha o estado de suas conexões com flags.

Exemplo de estados: LISTEN (O host está esperando um pedido para iniciar uma conexão),                                                                                                                        SYN-SENT ( O host enviou um SYN p/ iniciar a conexão),                                                                                                                                                              ESTABLISHED(a conexão foi estabelecida)., etc 

  Logo a Inspeção de estado não tem nada a ver com os estados de Conexão TCP  

fonte: wikipedia e networkexperts.com.br 

Citando o comentário do amigo leoh, questão Q69658, cujo conteúdo também cita que o Firewall de Estado também trata TCP, UDP e ICMP:

Isso é verdade e já foi cobrado de outras formas pelo CESPE quando afirmava que firewall de estado era somente para protocolos com estado.
Ocorre que o firewall usa de outros subterfúgios para identificar o estado de uma conexão. Pode ser usado ip origem/destino juntamente com porta, por exemplo. Durante um tempo aquele tráfego fica permitido e após um período ele negado caso não seja mais necessário."

Não entendo muito de redes, mas creio que como o Firewall de Estados trata tanto de protocolos com estado, (TCP) quanto sem estados (UDP e ICMP), a afirmação de que ele realiza inspeção de estado, fazendo isso tendo como base os estados das conexões TCP, está errada.

Uma explicação que vi a lista timaster (http://br.groups.yahoo.com/group/timasters/message/112396) e me convenceu:
"Apesar do nome "tabela de estados" elas não se baseiam nos estados das conexões TCP. Na verdade os firewalls com inspeção de estado (statefull) levam em consideração os dados dos cabeçalhos e a própria tabela de estados. É por causa disso que a tabela de estados registra também ocorrências com UDP e ICMP, protocolos que não requerem conexão."

A questão está errada. O examinador deve ter trocado o final da frase, que deveria ser: "com base na tabela de estados". Contudo, a nova frase continua correta, pois na tabela de estados guarda os estados da conexões TCP. Esse é mais uma daquelas feitas pelo estagiário do CESPE. Infelizmente, as questoes de TI do CESPE ainda estão longe da qualidade das questões de outras disciplinas. Mas um dia a banca vai evoluir.