关于SmartView Tracker中“TCP out of state” 的探讨

network

TCP out of state 这个在SmartView Tracker中经常会出现，具体原因探讨如下:
在检查TCP连接建立期间，防火墙并不是从rule base中检查第一个授权的SYN数据包，防火墙接收到SYN-ACK的数据包时，它到到火墙状态表中寻找这个链接(SYN已经在表里面了)，如果火墙没有找到这个链接，那么数据包被丢弃并显示“ "TCP packet out of state" ”。

这种现象通常出现在非对称网络中，数据包的访问出去的路径与回包路径不匹配，导致火墙忽略这种连接。

通常我们可以禁止这个消息在SmartView Tracker中出现：
1. 打开SmartDashBoard,
2. 选择 'Policy' > 'Global Properties'.
3. 选择'Stateful Inspection'.
4.   清除掉'Out of state packets', 中 'Drop out of state TCP packets' 的选项.
5. 点击'OK'下发策略。

但通常不推荐直接禁用掉这个属性，这会允许所有out of state packets 通过。