UDP比较难于通过防火墙来跟踪。它是无连接的，并且没有状态机器允许ASA决定连接的发起者或当前状态。因此ASA就基于定时器跟踪UDP会话。无论什么时候通过PIX产生UDP会话，ASA都会基于源IP地址和目的IP地址以及分组中的端口号产生一个连接槽并启动定时器。在定时器停止前，所有对于该特定连接槽的返回流量都允许通过。在给定的时间内某UDP会话中如果没有UDP流量流经PIX，那么这个空闲的定时器就停止工作。虽然这种控制保证了某些安全，但是它仍然不像对TCP的处理那样严格。

图8-3显示了一个UDP会话怎样由ASA通过PIX防火墙一步一步进行处理。

（点击查看大图）图8-3  UDP传送