三次握手
                                        Three-way Handshake

一个虚拟连接的建立是通过三次握手来实现的

1. (B) --> [SYN] --> (A)       [客户端给服务器端说，我要连你了]
 假如服务器A和客户机B通讯，当A要和B通信时，B首先向A发一个SYN (Synchronize 同步) 标记的包，告诉A请求建立连接.

注意:
 一个SYN包就是仅SYN标记设为1的TCP包(参见TCP包头Resources). 认识到这点很重要，只有当A受到B发来的SYN包,才可建立连接，除此之>外别无他法。因此，如果你的防火墙丢弃所有的发往外网接口的SYN包，那么你将不能让外部任何主机主动建立连接。

2. (B) <-- [SYN/ACK] <--(A)    [OK, 我知道了，资源给你分配好了，你连吧]
 接着，A收到后会发一个对SYN包的确认包(SYN/ACK)回去，表示对第一个SYN包的确认，并继续握手操作.

注意:
  SYN/ACK包是仅SYN和ACK标记为1的包.

3. (B) --> [ACK] --> (A)       [好的]
 B收到SYN/ACK 包,B发一个确认包(ACK)，通知A连接已建立。至此，三次握手完成，一个TCP连接完成Note: ACK包就是仅ACK 标记设为1的TCP包
.
 需要注意的是当三此握手完成、连接建立以后，TCP连接的每个包都会设置ACK位这就是为何连接跟踪很重要的原因了. 没有连接跟踪,防火
墙将无法判断收到的ACK包是否属于一个已经建立的连接.一般的包过滤(Ipchains)收到ACK包时,会让它通过(这绝对不是个好主意). 而当状
态型防火墙收到此种包时，它会先在连接表中查找是否属于哪个已建连接，否则丢弃该包.