9.1.3.1 acl 优先级规则

    所有的acl 规则都有指派的规则id - 规则id 越小，优先权越大。防火墙从封包中抽取重要信息，然后透过检视重要信息与acl 规则表是否吻合，再摒弃或传送封包，防火墙透过此举监视着流通的信息。请注意，acl 规则检查从最小的规则id 开始，直到出现了两者匹配的信息或所有的acl 规则都已检查完毕。如果二者之间并无匹配，那么封包被摒弃；另外，基于匹配的acl 规则定义的举动，封包会被摒弃，或被传送。

    9.1.3.2 追踪联机状态

    防火墙的静态检查引擎持续追踪网络联机的状态进展。透过在状态表中存储所有的联机信息，网际网络安全路由器能快速判断流经防火墙的封包是否属于已建立的联机形式。若是，封包就直接流经防火墙而无须透过acl 规则评判。

    例如，acl 规则允许出站的从192.168.1.1 到192.168.2.1 的icmp 封包。当192.168.1.1 送出icmp 请求至192.168.2.1 时，192.168.2.1 将送出icmp 响应给192.168.1.1。在网际网络安全路由器中，您无须建立另外的acl 规则，因为静态封包检查引擎将记住联机状况，并允许icmp 响应透过防火墙。