自返（reflexsive）ACL的配置方法-CU168007041-ChinaUnix博客

自返（Reflexive）访问列表基于上层会话（Session）信息过滤数据包，它允许起源于内网（受保护网络）的数据流通过路由器，外网（非信任网络）响应起源于内网的会话的数据流也可以通过路由器，但禁止起源于外网的数据通过路由器进入内网，如图5-9所示。反射访问列表是一种会话过滤器。

反射访问列表只能使用扩展命名IP访问列表定义，不能使用代码或标准命名访问列表定义。

反射访问列表是保护网络安全的重要组成部分，它可以防范网络黑客，应对身份欺骗和DOS攻击。