PIX Firewall使用手册(3)

　　如果没有特殊定义，所有ICMP包都将被拒绝；

　　违反上述规则的所有企图都将失败，而且将把相应信息发送至系统日志。

　　PIX Firewall处理UDP数据传输的方式与TCP相同。为使DSN、Archie、StreamWorks、H.323和RealAudio能安全操作，PIX Firewall执行了特殊处理。当UDP包从内部网络发出时，PIX Firewall将生成UDP“连接”状态信息。如果与连接状态信息相匹配，这些流量带来的答复包将被接受。经过一小段时间的静默之后，连接状态信息将被删除。

　　多个接口和安全等级（Multiple Interfaces and Security Levels）

　　所有PIX Firewall都至少有两个接口，默认状态下，它们被称为外部接口和内部接口，安全等级分别为0和100。较低的优先级说明接口受到的保护较少。一般情况下，外部接口与公共互联网相连，内部接口则与专用网相连，并且可以防止公共访问。

　　许多PIX Firewall都能提供八个接口，以便生成一个或多个周边网络，这些区域也称为堡垒网络或非军管区（DMZ）。DMZ的安全性高于外部接口，但低于内部接口。周边网络的安全等级从0到100。一般情况下，用户需要访问的邮件服务器或Web服务器都被置于DMZ中的公共互联网上，以便提供某种保护，但不致于破坏内部网络上的资源。

　　数据在PIX Firewall中的移动方式（How Data Moves Through the PIX Firewall）

　　当向外包到达PIX Firewall上安全等级较高的接口时（安全等级可以用show nameif命令查看），PIX Firewall将根据适应性安全算法检查包是否有效，以及前面的包是否来自于此台主机。如果不是，则包将被送往新的连接，同时，PIX Firewall将在状态表中为此连接产生一个转换插槽。PIX Firewall保存在转换插槽中的信息包括内部IP地址以及由网络地址转换（NAT）、端口地址转换（PAT）或者Identity（将内部地址作为外部地址使用）分配的全球唯一IP地址。然后，PIX Firewall将把包的源IP地址转换成全球唯一地址，根据需要修改总值和其它字段，然后将包发送到安全等级较低的接口。

　　当向内传输的包到达外部接口时，首先接受PIX Firewall适应性安全条件的检查。如果包能够通过安全测试，则PIX Firewall删除目标IP地址，并将内部IP地址插入到这个位置。包将被发送到受保护的接口。

　　内部地址的转换（Translation of Internal Addresses）