在之前的拓扑实验中手动配置了安全策略，允许trust到untrust之间进行通信，也允许untrust到trust之间进行通信。意味着，防火墙是支持单方向管控的，意思是inbound和outbound方向的流量管控需要分别配置。

当在配置trust到untrust的安全策略的时候，会遇到源地址和目的地址的配置，那涉及到目的地址怎么写，如果是访问Internet就需要配置all，主机可以访问网络上的所有地址；在回传的时候，从untrust到trust，源地址InternetIP配置成all，目的地址配置成目标IP，这样就会存在一个问题，我的主机可以主动访问出去，但是所有的Internet的流量都可以进入到主机内网，这样防火墙就很危险。所以就要实现，要我主机向外请求的流量可以出去，外网的流量可以回复回来，但是外网主动访问内网，防火墙是不允许的。要实现这样的效果就需要防火墙的状态检测功能。

防火墙的状态检测功能，就是只需要配置一个方向的安全关卡就好。

现在在防火墙就配置trust到untrust反向的安全策略，把untrust到trust的安全策略取消掉。现在安全策略配置只剩下trust到untrust安全策略。

现在用主机PC1去尝试ping服务器依然可以ping通，现在只是允许trust到untrust，不允许untrust到trust，本来就是ping的回包不能通过untrust到trust到达主机，就应该ping通的，这就是防火墙的单向机制，也叫状态检测机制。就是在配置的安全策略上我向外访问，我的流量可以向外访问，访问的回包也能回来，但是外部的网络要主动向内网访问是不通的。用服务器去主动向trust访问主机PC1，通信失败。

防火墙状态检测机制是通过防火墙的会话表来实现的防火墙的会话表有协议号、源地址、源端口、目的地址、目的端口，五元素来构建的。当一个流量进入到防火墙的时候，防火墙会匹配安全策略，判断这个流量允不允许通过，当这个流量允许通过的时候，防火墙就会根据流量中的信息来创建会话表。当回包的流量进入防火墙之后，会匹配防火墙创建的会话表，只有回包的流量匹配到会话表才允许通过。需要知道的是，防火墙的会话表不会长期存在，相当于在回包的流量使用匹配之后就会删除，如果不使用匹配的话，时间到了也会自动删除，不会长期存在，要删除会话的时间称之为老化时间。目的是防止外部网络主动向内部网络发起攻击。

命令：[FW01]display firewall session table，通过这条命令，可以查看防火墙会话（session）表的信息，当前的会话数量是0。现在会话表是没有条目的。

用主机ping服务器192.168.2.1用主机ping了三次，防火墙收到流量生成会话表，分别是协议号icmp、源IP、源端口、目的IP、目的端口。在主机PC1上面抓包，查看第三个request请求，可以看到源IP192.168.1.1、目的IP192.168.2.1、协议号icmp、源端口号62373对应会话表的第一条。再看第三个请求的回包第三个请求的回包，协议号是icmp、源IP地址是192.168.2.1、目的IP是192.168.1.1、端口号是62373，和防火墙的会话表是匹配的，允许通过。

现在再查看一下防火墙的会话表的信息发现目前的会话数量是0，证明刚刚生成的会话表已经删除了。

这就是防火墙的状态检测机制，当一个流量进入防火墙，并且允许通过之后就会创建流量表，流量到来之后先匹配会话表，然后再匹配安全策略进行深度检查，最后再发送给主机。如果两个都没匹配到，或者其中有任何一个匹配失败，数据都会丢弃。这样就可以实现，我主动访问出去可以，但是你主动访问我，就需要满足我的要求才可以进来。

在真正访问网络时五元素防火墙会话表的状态实验实验拓扑图，增加了一个客户端，增加了一个服务器，配置号客户端和服务器的IP和网关地址服务器设置为http服务器，然后启动。
在客户端上申请http服务，IP地址为192.168.2.2，然后点击获取。出现这个表示获取到数据。发送申请之前，先在交换机和客户端的接口g0/0/2上抓包。

先回到防火墙看会话表​​​​​​​抓包器上看第一个SYN请求有源IP地址192.168.1.2、目的IP地址192.168.2.2、源端口2050、目的端口是80第二个数据包SYN，ACK的回包，有源IP地址192.168.2.2、目的IP地址192.168.1.2、源端口是80，目的端口是2050。这个数据回包和发包的时候IP地址和端口相反，和防火墙的会话表能够匹配。