包过滤、状态化、七层防火墙

包过滤防火墙：又被称为三层防火墙，笼统认为与ACL无异，针对IP包头拆开源IP与目的IP，原端口与目的端口进行匹配。

状态化防火墙：防火墙维护一个状态化记录表（默认只维护tcp/udp），当防火墙收到一个不在状态表中的包时，他会与过滤规则进行比较，不管这个包是syn,ack或者是其他什么包，如果过滤规则允许接受这个会话，那么这个会话就被加入转态连接表中去，后续的包都会与状态化连接表比较，如果会话在状态连接表中，则不再与过滤规则进行比较，状态化表大大减轻了防火墙的匹配规则资源，降低了使用性能。

状态检测机制

状态检测机制开启状态下，只有首包通过设备才能建立会话表项，后续包直接匹配会话表项进行转发。

状态检测机制关闭状态下，即使首包没有经过设备，后续宝只要通过设备也可以生成会话表项。

对于TCP报文
开启状态检测机制时，首包（SYN报文）建立会话表项。对除SYN报文以外的其他报文，如果没有对应会话表项（设备没有收到SYN报文或者会话表项已经老化），则予以丢弃，也不会建立会话表项。
关闭状态检测机制时，任何格式的报文在没有对应会话表项的情况下，只要通过各项安全机制的检查，都可以为其建立会话表项。
对于UDP报文
由于UDP是基于无连接的通信，任何UDP格式的报文在没有对应会话表项的情况下，只要通过各项安全机制的检查，都可以为其建立会话表项。
对于ICMP报文
开启状态检测机制时，没有对应会话表项的ICMP应答报文将被丢弃。
关闭状态检测机制时，没有对应会话表项的ICMP应答报文将以首包形式处理

转载于https://www.freebuf.com/articles/network/255486.html

状态检测"机制，是以流量为单位来对报文进行检测和转发，即：对一条流量的第一个报文(首包)进行包过滤规则检查，第一次来的包（防火墙可以区分是去的，还是回的），并将判断结果作为该条流量的"状态"记录进会话表项，建立两个缓存的session(一个去包缓存、一个回包缓存)，后续属于同一数据流的数据包匹配缓存表后放行

基于状态检测防火墙组成

在基于状态检测的防火墙中，有两张表：规则表和状态表(会话表)

规则表

规则表表示了防火墙的过滤规则

规则表由 六元组构成

sa	da	sp	dp	protocol_type	direction
源地址	目的地址	源端口	目的端口	协议类型	数据流方向

状态表

状态表表示了数据包连接的属性

状态表由九元组构成

protocol_type	state	sequence_number	Timeout	N
协议类型	该次连接的状态	TCP包序列号(其他此处为空)	该次连接超时值	连接以通过数据包个数

前四项与规则表一致，此处省略

protocol_type:分为TCP、UDP、ICMP、其他协议

TCP数据包的检测流程

TCP是基于连接的协议，通过三次握手确保数据的稳定传输

在TCP连接首次建立的过程中：

发起连接的SYN报文只通过规则表的检查，

其余报文(非SYN数据包)则需要通过状态表的匹配

状态检测接口接收到 TCP 数据包后：

1：首先对 TCP 包进行完整性检查
和流量检查：通过检查来判断数据包长度是否相等、物理地址是否正确等等

2：其次判断是否是 SYN 连接

3：若为SYN首包，由于TCP连接通过三次握手建立(SYN->SYN/ACK->ACK),所以在确认SYN为三次握手的首包，并匹配规则表后，会建立一个临时的"连接未完成表"——Pending表，Pending表是为还未进行的两次握手(SYN/ACK，ACK)建立的临时表，从而避免了后续的握手包还需要经过规则表匹配，提高效率