答案:Ciscopix放火墙采用的是自适应安全算法,这是一种同设备连接状态密切相关的安全检测的方法。每一个进入放火墙的数据包都要通过自适应安全算法和内存中的连接状态信息的检查。 通过这种面向连接的动态防火墙设备,能同时处理500000个并发的连接和高达1Gbps的吞吐量。可想而知这种同连接状态有关的方法比仅仅检查数据包(如访问列表)筛选的方法安全的多
。当一个向外发送的包到达一个Pix放火墙较高级别接口时,不管前一个包是否来自哪个主机,Pix放火墙用自适应安全算法检察该包是否有效。如果不是,该包属于一个新的连接,Pix放火墙
会为该连接在状态表中创建转换槽。Pix放火墙存储在转换槽中的信息包括内部的IP地址和全局唯一的IP地址,该地址由NAT,PAT,或身份分配。Pix放火墙接着改变包的源地址为全局唯一地址
,按照要求修改校验和以及其他域的地址,并将包转发给较低的安全级别借口。
|