1689261222,

问题描述：

防火墙发现会话状态机为TCP_ESTABLISHED状态，这是不是说明Tcp三次握手已经成功了？如果是，防火墙开启会话统计功能后，查询会话，为什么会话统计中只有一个入方向的包呢，不应该是至少两个入包，一个回包吗？

组网及组网描述：

6小时前提问

您好，看这个

防火墙TCP会话的几个过程 - 知了社区 (h3c.com)

6小时前回答

大佬，我问的是TCP三次握手成功了，为什么防火墙开了会话统计，统计到的报文数不对

（1）三次握手：

FW收到首包syn，新建会话状态为  TCP_SYN_SENT；

收到回包syn ack，刷新状态成为TCP_SYN_RECV ；

再收到ack，就是Established ，状态为： TCP_ESTABLISHED 

（2）四次挥手：

*Jan 17 18:45:23:154

 Tuple5  (FSM): 1.1.1.2/36742-->1.1.3.10/

 FSM:TCP_ESTABLISHED-->TCP_FIN_WAIT, dir:REPLY, PacketType:FIN(17)

*Jan 17 18:45:23:155

 Tuple5  (FSM): 1.1.1.2/36742-->1.1.3.10/

 FSM:TCP_FIN_WAIT-->TCP_CLOSE_WAIT, dir:ORIGIN, PacketType:ACK(16)

*Jan 17 18:45:23:449

 Tuple5  (FSM): 1.1.1.2/36742-->1.1.3.10/

 FSM:TCP_CLOSE_WAIT-->TCP_LAST_ACK, dir:REPLY, PacketType:FIN(25)

*Jan 17 18:45:23:491

 Tuple5  (FSM): 1.1.1.2/36742-->1.1.3.10/

 FSM:TCP_LAST_ACK-->TCP_TIME_WAIT, dir:ORIGIN, PacketType:ACK(16)

6小时前回答

大佬，我问的是TCP三次握手成功了，为什么防火墙开了会话统计，统计到的报文数不对

你正在内容来源：知了社区,防火墙会话状态机