一、连接跟踪的相关概念
     所谓连接，通常是指有方向性的数据流量，在连接创建的初级阶段会自动生成一个专属的数据包，这个数据包通常被称为初始连接数据包。其后的一系列连接跟踪技术，都是以这个初始连接数据包为源点实现的。而在防火墙系统中，对所有产生初始连接数据包的连接线路进行追踪的步骤，就是所谓的连接跟踪。在连接跟踪的过程中，可以把一些从同源头到同目的地不停循环的流量数据统一称为“会话”。会话通常是以TCP/UDP作为源头或目的地，每个会话都具有自己固定的协议内容。所以，会话通常被认为是连接跟踪中的一个基础集合单位。而在表述的过程中，通常把源头标记为src，把目的地标记为dst，一个会话则表示为由src到dst的连接会话；由src到dst的流量方向被称为“初始方向”，由dst到src的流量方向被称为“应答方向”。在防火墙安全检测技术中，IP数据包通常会封装多种ICMP（关注信息差错标注包文）包文供高层协议使用，其类型标述通常为：DU（即dest_unreach，目标不可到达）、TE（即time_exceeded，连接超时）、PP(即parameter_prob ，参数错误)、IR（即icmp_redirect，重新确定连接方向），在生成连接的过程中必须标注其连接的方向性，即src到dst/dst到src。
     二、以连接跟踪为基础的安全检测技术实现结构
     从整体上看，常规的连接跟踪检测技术结构由会话主控版块、方向哈希表（也就是常说的HASH表）控制版块以及超时分析版块三大部分组成。其中，会话主控版块包括：连接管理/控制、连接监视/控制、会话管理/控制、超时管理/分析四项基本职能；方向哈希表控制版块及超时分析版块共享：IP荷载分析版块中的TCP分析、UDP分析、ICMP分析以及应用层/连接协议分析版块中的HTTP分析、FTP分析、SMTP分析的相关数据，并按照协议内容进行逻辑性处理。其具体实现结构如图1所示。
     三、连接跟踪安全检测的基理分析
     1．会话多种状态的处理
     首先，在会话初始包创建阶段，防火墙系统会自动生成连接控制版块对会话初始包进行预处理，此时会话初始包既没有输出也没有转发，在会话连接的src、dst两端均只有一个封包通过，这个检测过程被称为“应达完成”；其次，以应答完成为基础条件后，以初始方向（即src到dst）为连接方向上有N（任意自然数）个数据封包通过，且会话连接稳定，这个检测过程则被称为“建立确定”。应答完成和建立确定就是连接跟踪中会话处理的基本方式。
     2．连接跟踪工作基理
     从根本上来看，连接跟踪为基础的安全检测技术，就是通过检测每一份有效连接通过防火墙的数据封包，对其进行跟踪分析和控制信息比对，以达到保证网络信息安全的效果。