状态检测防火墙使用基于连接状态的检测机制，将通信双方之间交互的属于同一连接的所有报文都作为整个数据流来对待。在状态检测防火墙看来，同一个数据流内的报文不再是孤立的个体，而是存在联系的。

状态检测机制开启状态下，只有首包通过设备才能建立会话表项，后续包直接匹配会话表项进行转发。非首包，不会创建会话并丢弃

状态检测机制关闭状态下，即使首包没有经过设备，后续包只要通过设备也可以生成会话表项。

对比以前单纯的包过滤技术，状态检测可以将数据识别为数据流，每个数据流的首包进行安全策略检查完后会创建一个会话表，同一个数据流的后续数据匹配此会话表，然后直接进行转发。

比如我们假设一个场景，PC1和PC2都直接与防火墙相连，如果是传统的包过滤技术，我们需要在防火墙上面写两条安全策略，分别放行PC1去往PC2的流量和PC2去往PC1的流量，因为我们在通信时数据是一来一回的。这种情况下，越是复杂的场景，我们需要创建的安全策略就越多，很显然单纯的包过滤防火墙已经被淘汰了。

基于状态检测技术的防火墙在应对以上场景时，可以只做一条策略放行PC1去往PC2的数据，后续PC2给PC1回包的时候会撞上首包的会话表，无需再放行回程流量。

总之，状态检测极大程度的简化了防火墙上面的安全策略，并对数据包进行一个流的标记。让防火墙更加智能的保护我们的网络。

限时福利  课程免费试听名额

扫码添加老师立即申请