思科防火墙销售指南之应用篇(7)

当向内传输的包到达外部接口时，首先接受PIX Firewall适应性安全条件的检查。如果包能够通过安全测试，则PIX Firewall删除目标IP地址，并将内部IP地址插入到这个位置。包将被发送到受保护的接口。

ASA适用于动态转换插槽和静态转换插槽。静态转换插槽用static命令产生，动态转换插槽用global命令产生。总之，两种转换插槽都可以称为“xlates”。ASA遵守以下规则：

如果没有连接和状态，任何包都不能穿越PIX Firewall；

如果没有访问控制表的特殊定义，向外连接或状态都是允许的。向外连接指产生者或客户机的安全接口等级高于接收者或服务器。最安全的接口总是内部接口，最不安全的接口总是外部接口。周边接口的安全等级处于内部接口和外部接口之间；

如果没有特殊定义，向内连接或状态是不允许的。向内连接或状态指产生者或客户机的安全接口/网络等级低于接收者或服务器。用户可以为一个xlate（转换）应用多个例外。这样，就可以从互联网上的任意机器、网络或主机访问xlate定义的主机；

如果没有特殊定义，所有ICMP包都将被拒绝；

违反上述规则的所有企图都将失败，而且将把相应信息发送至系统日志。

PIX Firewall处理UDP数据传输的方式与TCP相同。为使DSN、Archie、StreamWorks、H.323和RealAudio能安全操作，PIX Firewall执行了特殊处理。当UDP包从内部网络发出时，PIX Firewall将生成UDP“连接”状态信息。如果与连接状态信息相匹配，这些流量带来的答复包将被接受。经过一小段时间的静默之后，连接状态信息将被删除。

“ASA适应性安全算法”与“数据包内容过滤”的比较

到目前为止，大量的包过滤防火墙仍完全不具备应用层保护能力，有些产品甚至连状态检测都不具备，这里所提到的“数据包内容过滤”是指那些能够提供对数据包内容进行检测的包过滤产品。