防火墙

会话表使用来记录TCP、UDP、ICMP等协议连接状态的表项，是防火墙转发报文的重要依据。

防火墙采用了基于“状态”的报文控制机制：只对首包或者少量报文进行检测就确定一条连接的状态，大量报文直接根据所述连接状态进行控制。这种状态监测机制迅速提高了防火墙的监测和转发效率。会话表就是为了记录连接的状态而存在的。设备在转发TPC、UDP和ICMP报文时都需要查询会话表，来判断该报文所属连接并采用相应的处理措施。

防火墙为各种协议设定了会话老化机制，当一条会话在老化时间内没有被任何报文匹配，则会被从会话表删除。这种机制避免了防火墙设备资源被大量无用、陈旧的会话表项消耗。

但对于某些特殊业务中，一条回话的两个连续报文可能间隔时间长。例如：

• 用户通过FTP下载大文件，需要间隔很长时间才会控制通道继续发送控制报文。
• 用户需要查询数据库服务器上的数据，这个查询操作时间间隔远大于TCP的会话老化时间。

为了不中断业务就需要长链接（Long Link）机制给部分连接设定超长老化时间来解决问题。

针对应用层的包过滤（Application Specific Packet Filter，ASPF）也称作基于状态的报文过滤，ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息放下相应的发访问规则，即生成Server-map表。

Serve-map表也记录了类似会话表中连接状态。Server-map表中的信息相对简单，是简化的会话表，在真实流量到达前生成。在流量真是到达防火墙时，防火墙会基于Server-map表生成会话表，然后执行转发。

开启ASPF解决多通道协议问题，是生成Server-map表的一种方式。

防火墙上配置ASPF功能后，会检测FTP控制连接中协商的数据连接端口信息，然后生成Server-map表项。Server-map表项包含FTP控制通道中协商的数据通道信息。防火墙为命名为Server-map表的数据创建会话表。