防火牆如何使用狀態式檢測

防火牆防護會使用狀態式檢測追蹤目前連線。狀態式檢測可追蹤來源及目的 IP 位址、通訊埠、應用程式以及其他連線資訊。用戶端檢查防火牆規則之前,會先根據連線資訊決定流量。
例如,如果防火牆規則允許電腦連線至 Web 伺服器,防火牆便會記錄連線資訊。當伺服器回覆時,防火牆預測會產生從 Web 伺服器到電腦的回應。便會允許 Web 伺服器流量傳送到發起流量的電腦,而不會檢查規則資料庫。在防火牆將連線記錄之前,規則必須允許最初的離埠流量。
使用狀態式檢測就不必再建立新規則。對於單向起始的流量,您無須建立允許雙向流量的規則。單向起始的用戶端流量包括 Telnet (通訊埠 23)、HTTP (通訊埠 80) 及 HTTPS (通訊埠 443)。用戶端電腦會發起此離埠流量,您可以為這些通訊協定建立允許離埠流量的規則。狀態式檢測會自動允許回應出埠流量的傳回流量。由於防火牆在本質上是狀態式的﹐因此您只需建立起始連線的規則﹐無需建立特定封包的特性。所有屬於允許連線的封包隱含允許作為同一連線不可缺少的部分。
狀態式檢測支援指引 TCP 流量的所有規則。
狀態式檢測不支援篩選 ICMP 流量的規則。對於 ICMP 流量,您必須建立允許雙向流量的規則。例如,若要讓用戶端使用 Ping 指令並接收回覆,您必須建立允許雙向 ICMP 流量的規則。
您可以定期清除維護連線資訊的狀態表。例如,當防火牆政策更新已處理或 Symantec Endpoint Protection 服務已重新啟動時,便會清除它。