但问题是 ACK 标志仅在 TCP 确认数据包上设置，就最终用户而言，它不携带任何有用的信息，因此如果您只允许设置了该标志的数据包，您将丢弃所有有用的数据包。

虽然 ACK 数据包可能不包含任何有用的数据，但数据包本身非常有用。ACK 数据包告诉连接的另一端“我收到了你发送的数据，我已经准备好接受更多了。” 如果由于丢包、防火墙阻止或任何其他原因而未收到 ACK，则 ACK 的连接发送方将不断重新发送相同的 ACK，直到另一方发送更多数据。

现在让我们退后一步，讨论您提到的 Web 服务器场景。

三路握手完成后，客户端将发送一个页面请求。这将包含“有用的”数据，因为它告诉服务器客户端想要什么页面。然后服务器发送一个 ACK​​ 让客户端知道请求已经收到。然后服务器发回包含请求页面的数据包。然后客户端发送一个或多个 ACK​​ 以让服务器知道它已收到所有发送的数据。

请注意，以上所有内容都发生在单个 TCP 连接上。换句话说，双方可以通过一个连接发送和接收数据，他们不需要一个。

最后，仅供参考，出于安全目的基于 TCP 标志阻止流量几乎与阻止端口号一样弱。原因是恶意用户可以按照他们喜欢的任何方式制作数据包，因此发送所有设置了 ACK 位的数据包完全没有问题。如果您有兴趣阅读有关此内容的更多信息，请查看 Scapy。

您是对的：HTTP 和 TCP 位于不同的层。TCP 将允许建立连接。建立连接时，流是双向的。

无论如何，防火墙只能在 TCP 层工作，因此您可以完全忘记 HTTP。

假设您希望您的用户通过端口 80 连接到外部。您将让每个 IP 数据报、协议 TCP、dst 端口 80 连接到外部。这还不够，因为您必须添加规则才能让流量从 Internet 返回到您的网络。

我只会让所有东西都进来，但只允许 SYN（SYN/ACK 没问题）。这个文档建议只让 ACK 数据包返回，这对我来说似乎也很正确（但不完全：FIN 或 RESET 数据包可以由远程端首先发送，据我所知，没有 ACK）。

请记住，ACK 只是一个标志：真实数据位于 TCP 段中，因此您的应用程序数据将在其中（此处为 http）。

无状态过滤器仍然用于高流量、低预算的防火墙。