第一次握手，内部主机10.112.100.101使用随机端口10025访问外部的WebServer

200.100.1.2的TCP 80

三层信息

源IP地址：10.112.100.101 目标IP地址：200.100.1.2源端口：TCP 10025 目标端口：TCP 80

由于内部接口放行所有流量，所以这个第一次握手的流量被放行了

但此时，防火墙在连接表中生成了如下内容：

第二次握手时，是外部主机被动弹回的流量

源地址（外部）：200.100.1.2 源端口（外部）：TCP 80

目标地址（内部）：10.112.100.101 目标端口（内部）：TCP 10025

此时，防火墙会暂时拦截流量，然后检查连接表，看看内部主机的IP和端口，外部主机的IP和端口是否与连接表中记录的相同，如果相同，它就会放行这个流量。

如果是外部主动发起的流量，而防火墙又没有允许它访问内部，由于是外部主动发起的流量，所以防火墙的连接表里没有相应的信息，这就会遭到防火墙的拒绝。

从而达到既保证了内部到外部的正常通信，又使得内部主机不受到外部的侵犯，这就是状态检测型防火墙的魅力所在。

目前主流的硬件防火墙几乎都支持状态监测功能。

3：代理型防火墙

代理型防火墙一般是一个安装在多网卡服务器上的软件，拥有状态监测的功能，但是多了一项功能就是代理服务器功能。一般有正向代理和反向代理两种功能：

正向代理用于内部主机访问Internet服务器的时候，特别是Web服务的时候很管用。当内部主机第一次访问外部的Web服务器时，代理服务器会将访问后的内容放在自己的“高速缓存”中。

当内部主机再次访问该Web服务器的时候，如果有相同的内容，代理服务器就会将这个访问定位到自己的高速缓存，从而提升内部主机的访问速度。

反向代理和正向代理有点类似，只不过访问的方向是外部到内部。

当外部主机要访问内部发布的某个服务器的时候，不会让它把访问目标定位到内部服务器上，而是反向代理设备上。

反向代理设备会从真实的服务器上抽取数据到自己的缓存中，起到保护真实服务器的功能。