自反ACL

這樣您可以更加嚴格地控制哪些流量能進入您的網路，並提升了擴展訪問列表的能力。

網路管理員使用自反 ACL 來允許從內部網路發起的會話的 IP 流量，同時拒絕外部網路發起的 IP 流量。此類 ACL 使路由器能動態管理會話流量。路由器檢查出站流量，當發現新的連線時，便會在臨時 ACL 中添加條目以允許應答流量進入。自反 ACL 僅包含臨時條目。當新的 IP 會話開始時（如數據包出站），這些條目會自動創建，並在會話結束時自動刪除。

與前面介紹的帶 established 參數的擴展 ACL 相比，自反 ACL 能夠提供更為強大的會話過濾。儘管在概念上與 established 參數相似，但自反 ACL 還可用於不含 ACK 或 RST 位的 UDP 和 ICMP。established 選項還不能用於會動態修改會話流量源連線埠的應用程式。permit established 語句僅檢查 ACK 和 RST 位，而不檢查源和目的地址。

自反 ACL 不能直接套用到接口，而是“嵌套”在接口所使用的擴展命名 IP ACL 中。

自反 ACL 僅可在擴展命名 IP ACL 中定義。自反 ACL 不能在編號 ACL 或標準命名 ACL 中定義，也不能在其它協定 ACL 中定義。自反 ACL 可以與其它標準和靜態擴展 ACL 一同使用。

自反 ACL 具有以下優點：

幫助保護您的網路免遭網路黑客攻擊，並可內嵌在防火牆防護中。

提供一定級別的安全性，防禦欺騙攻擊和某些 DoS 攻擊。自反 ACL 方式較難以欺騙，因為允許通過的數據包需要滿足更多的過濾條件。例如，源和目的地址及連線埠號都會檢查到，而不只是 ACK 和 RST 位。

此類 ACL 使用簡單。與基本 ACL 相比，它可對進入網路的數據包實施更強的控制。

自反ACL永遠是permit的；

自反ACL允許高層Session信息的IP包過濾；

利用自反ACL可以只允許出去的流量，但是阻止從外部網路產生的向內部網路的流量，從而可以更好地保護內部網路；

自反ACL是在有流量產生時（如出方向的流量）臨時自動產生的，並且當Session結束時條目就自動刪除；

自反ACL不是直接被套用到某個接口下的，而是嵌套在一個擴展命名訪問列表下的。