思科IOS防火墙分类：包过滤、代理和状态监测包过滤

思科的IOS路由器防火墙大体分三类，包过滤防火墙、代理防火墙和状态监测包过滤防火墙。
凡是使用IOS系统的路由器大体可以实现第一种和第三种防火墙，包过滤防火墙就是传统意义上的ACL列表；状态监测包过滤防火墙就是IOS的CBAC防火墙或者zone防火墙。
我一直有一个细节分不清，今天终于清楚了，ACL有一个功能是叫做established，理解为记忆放过的包，自动放行回来的流量，这个其实在Linux的iptables里面也有相应的功能，这个功能算是包过滤防火墙的金典功能了，我一直把他和状态监测包过滤混了。
现在才分清了http://www.luyouqiwang.com/13804/ 这个功能是路由器自动把返回的流量也放过了，是一个方便用户的方式，不用用户在考虑返回的流量了。
而状态监测包过滤是监测四层或更高的层的工作过程，因为有些协议会动态的协商出新的端口，状态监测包过滤是监测的这种新端口，这种端口是无法让ACL感知到的。