9.1.3.1 acl 规则优先级

    所有的acl 规则都分配有一个id——id 越小，优先级越高。防火墙先从数据包中抽取包头信息，然后根据信息是否与acl 规则相符来决定是丢弃或通过这个包。请注意acl 规则检查会先从最小的id 开始，直到有符合的匹配出现，或者所有的acl 规则都已经检查完毕。如果没有符合规则的匹配出现，包将会被丢弃；包被丢弃或通过取决于是否有符合acl规则。

    9.1.3.2 连接状态追踪

    防火墙中的状态封包检测引擎记录下了网络连接的状态、进程等。由于在状态表中存储了每次连接的信息，rx3042h 能很快地决定入站封包是否属于已建立的连接。如果是的话，此包可以不用经过acl 规则检查即可通过。

    举个例，一个acl 规则允许从192.168.1.1 发送icmp 数据包到192.168.2.1。当192.168.1.1 发送了一个icmp echo 请求（如一个ping 包) 到192.168.2.1，192.168.2.1 会发送一个icmp echo 回复给192.168.1.1。您不需要在rx3042h 中再建一个acl 规则，因为状态封包检测引擎已经记下了连接状态，允许icmp echo 回复通过防火墙。