自返(Reflexive)访问列表基于上层会话(Session)信息过滤数据包,它允许起源于内网(受保护网络)的数据流通过路由器,外网(非信任网络)响应起源于内网的会话的数据流也可以通过路由器,但禁止起源于外网的数据通过路由器进入内网,如图5-9所示。反射访问列表是一种会话过滤器。反射访问列表只能使用扩展命名IP访问列表定义,不能使用代码或标准命名访问列表定义。反射访问列表是保护网络安全的重要组成部分,它可以防范网络黑客,应对身份欺骗和DOS攻击。 自反acl.doc
