华为USG防火墙入门基础01_状态检测_华为防火墙首包检测

通过状态检测功能，设备可以对报文的链路状态的合法性进行检测。

简介

        FW通过状态检测功能来对报文的链路状态进行合法性检查，丢弃链路状态不合法的报文。状态检测功能不仅检测普通报文，也对内层报文（VPN报文解封装后的报文）进行检测。

        当FW作为网络的唯一出口时，所有报文都必须经过FW转发。在这种情况下，一次通信过程中来回两个方向的报文都能经过FW的处理，这种组网环境也称为报文来回路径一致的组网环境。此时就可以在FW上开启状态检测功能，保证业务安全。

        但是在报文来回路径不一致的组网环境中，FW可能只会收到通信过程中的后续报文，而没有收到首包，如图1所示。

图1 报文来回路径不一致组网图
​

        在这种情况下，为了保证业务正常，就需要关闭FW的状态检测功能。当关闭状态检测功能后，FW可以通过后续报文建立会话，保证业务的正常运行。

        FW对TCP、UDP和ICMP协议的报文创建会话的情况，如表1所示。当然，前提还是这些报文要通过防火墙上包括安全策略在内的各项安全机制的检查，然后才会创建会话。

表1 TCP、UDP和ICMP协议报文创建会话情况