自反 ACL 允許最近出站數據包的目的地發出的應答流量回到該出站數據包的源地址。這樣您可以更加嚴格地控制哪些流量能進入您的網路,並提升了擴展訪問列表的能力。
網路管理員使用自反 ACL 來允許從內部網路發起的會話的 IP 流量,同時拒絕外部網路發起的 IP 流量。此類 ACL 使路由器能動態管理會話流量。路由器檢查出站流量,當發現新的連線時,便會在臨時 ACL 中添加條目以允許應答流量進入。自反 ACL 僅包含臨時條目。當新的 IP 會話開始時(例如,數據包出站),這些條目會自動創建,並在會話結束時自動刪除。
與前面介紹的帶 established 參數的擴展 ACL 相比,自反 ACL 能夠提供更為強大的會話過濾。儘管在概念上與 established 參數相似,但自反 ACL 還可用於不含 ACK 或 RST 位的 UDP 和 ICMP。established 選項還不能用於會動態修改會話流量源連線埠的應用程式。permit established 語句僅檢查 ACK 和 RST 位,而不檢查源和目的地址。
自反 ACL 不能直接套用到接口,而是“嵌套”在接口所使用的擴展命名 IP ACL 中。
自反 ACL 僅可在擴展命名 IP ACL 中定義。自反 ACL 不能在編號 ACL 或標準命名 ACL 中定義,也不能在其它協定 ACL 中定義。自反 ACL 可以與其它標準和靜態擴展 ACL 一同使用。
自反 ACL 具有以下優點:
幫助保護您的網路免遭網路黑客攻擊,並可內嵌在防火牆防護中。
提供一定級別的安全性,防禦欺騙攻擊和某些 DoS 攻擊。自反 ACL 方式較難以欺騙,因為允許通過的數據包需要滿足更多的過濾條件。例如,源和目的地址及連線埠號都會檢查到,而不只是 ACK 和 RST 位。
此類 ACL 使用簡單。與基本 ACL 相比,它可對進入網路的數據包實施更強的控制。
