PIX和ASA在7.x上默认是不检查穿越防火墙的icmp的状态的，这意味着从内向外做出的ping操作只能单向穿越防火墙，被ping设备回应的icmp echo-reply无法穿越防火墙——防火墙会认为这些数据包是来自安全级别低的外网的，不可以穿过。

默认情况下，PIX/ASA 7.x会监控下面这些协议的状态：
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
在PIX/ASA不做任何安全配置的情况下，内网用户是可以正常发起向外的TCP请求，也可以正常使用FTP等需要反向穿越防火墙的协议的(inspect FTP)。使用下面的命令可以实现让内网用户可以收到正常ping到外网的echo-reply回应：
pixfirewall(config)# policy-map global_policy
pixfirewall(config-pmap)# class inspection_default
pixfirewall(config-pmap-c)# inspect icmp