状态防火墙，即可以根据连接状态来进行报文处理的防火墙。

应用场景

当想拒绝外部网络主动连接内网，但同时又允许内网主动和外网发起通信，这样防火墙应该放行外网的回应报文，这种情况下该防火墙非常有用。

比如，防火墙只开放了目的端口是80的访问。当内网主机使用源端口1234访问外网web服务器时，防火墙放过，当web服务器回应该请求时，目的端口是1234。这样该回应到达防火墙就被拦截了，无法通过。

使用状态防火墙后，当内网使用源端口1234访问外网web服务器的报文到达防火墙时，防火墙会记录该连接记录，把它加入到防火墙内的连接状态表中。当外网web服务器的回应报文到达防火墙后，会先在防火墙的连接状态表里查找，发现该回应的请求连接是有记录的，防火墙就可以根据rule放行该回应了。

TCP这种面向连接的协议，源和目的的连接终止时，状态防火墙通过检查TCP头的控制标记注意到这个过程，并动态地将该连接从状态表中删除。

UDP和ICMP不是面向连接的协议，无法通过报文来判断连接是否终止。状态防火墙会把将UDP流量看成是有连接的，通过在状态表中设置一个定时器，来定期的老化删除一些无用连接。

期望连接：

一些协议，连接时会分为控制连接和数据连接，我们把数据连接称为是控制连接的期望连接。

我们以tftp协议为例来说明一下期望连接

如果，客户端先发起连接，使用熟知的69端口。因为69端口是分给了tftp server的，tftp server接收到连接请求后，会自己申请一个server主机上未用的端口1235（因为tftp server的69端口还需要接收其他client发来的连接请求，所有不能使用69来传输数据），给tftp client发送回应。以后client和server就使用端口1235来进行通信了。

现在来看，上面连接是两条不同的连接。我们把第二条连接是其一条连接的期望连接。

比如防火墙上只放开了目的端口号69的访问，当内网访问外网的tftp server时，回应报文就会被拦截，导致tftp 功能失效。状态防火墙提出期望连接，当回应报文根据目的端口号发现该回应是已存在连接的期望连接，防火墙放过该回应报文，这样tftp功能OK。

做个实验：

在一台主机上配置如下规则：

iptables  -P  INPUT DROP   //丢弃所有到本机的报文

iptables -A INPUT -p udp --dport 69 -j ACCEPT //放行目的端口69的报文

这时把该主机当tftp client，从tftp server下载东西是无法下载的。

iptables -A INPUT -m conntrack --ctstatus EXPECTED -j ACCEPT//放行期望连接

这时tftp功能OK。

上面介绍了状态防火墙，以及期望连接。现在我们来看看Netfilter是怎么实现状态防火墙的功能。

Ipv4 Netfilter 的状态防火墙实现的基础是IP conntrack，并且结合扩展match  conntrack，完成了整个状态防火墙的功能。

结合上面的说明，我们先来归纳一下Netfilter中连接跟踪需要实现哪些功能。

1、需要一张连接状态表，来存放连接记录

2、连接状态表中，需要有定时的垃圾回收机制

3、根据报文进行连接状态的建立及对已有连接状态的更新

4、期望连接的建立和关联

5、在连接跟踪上需要提供易于扩展的接口，来实现用户自定义的一些功能。

（未完待续）