完整的三次握手如下图所示:
首先,客户机向服务器发送一个SYN数据包。服务器收到这个数据包之后将编辑一个回答数据包。这个服务器打开ACK标记确认客户机通讯的请求。然后,服务器打开SYN标记请求相对方向的一个通讯频道:从服务器到客户机。当客户机收到这个SYN/ACK数据包之后,它必须回复一个ACK数据包确认服务器-客户机连接请求。在这个时候,客户机和服务器也许就可以双向通讯了。
然而,代理防火墙把自己注入到这些过程之间从而影响正常的TCP握手。见下图:
客户机连接到代理防火墙,以为他们已经与服务器建立了连接。这个代理防火墙然后代表这个客户机打开一个单独的与服务器的连接。这种独特的方法在客户机与服务器之间提供了一个增加的隔离层,并且允许防火墙调节这个会话,也许检查应用层通讯中潜在的恶意内容。
代理防火墙的存在使排除客户机与服务器之间的连接故障更复杂了。为了诊断一个故障,需要对防火墙的两边都进行监视。我们需要一个查看防火墙外部通讯的外部监视设备,还需要一个查看防火墙的每个内部接口的内部监视设备。让我们看几个普通的连接问题以及它们在tcpdump输出中是如何出现的。我们的所有例子都将使用上面解释的连接情况。需要指出的是web服务器有两个IP地址:192.168.3.150是服务器在有防火墙的局域网内部的服务器专用地址。10.0.0.120是暴露给世界的公共地址。
