自反访问表是CISCO提供给企业网络的一种较强的安全手段，利用自反访问表可以很好的保护企业内部网络，免受外部非法用户的攻击。 

自反访问表的基本的工作原理是:

只能由内部网络始发的，外部网络的响应流量可以进入，

由外部网络始发的流量如果没有明确的允许，是禁止进入的。

1)Reflexive-ACL的工作流程：

a.由内网始发的流量到达配置了自反访问表的路由器，路由器根据此流量的第三层和第四层信息自动生成一个临时性的访问表，

临时性访问表的创建依据下列原则：

protocol不变，

source-IP地址 , destination-IP地址严格对调，

source-port,destination-port严格对调，

对于ICMP这样的协议，会根据类型号进行匹配。

b.路由器将此流量传出，流量到达目标，然后响应流量从目标返回到配置了自反访问表的路由器。

c.路由器对入站的响应流量进行评估，只有当返回流量的第三、四层信息与先前基于出站流量创建的临时性访问表的第三、四层信息严格匹配时，路由器才会允许此流量进入内部网络。

2)自反访问表的超时： 

a.对于TCP流量，当下列三种情况中任何一种出现时，才会删除临时性的访问表：

a)两个连续的FIN标志被检测到，之后5秒钟删除。

在正常情况下，TCP在断开连接时需要经历四次握手:

TCP是一个双向的协议,前两次握手，断开从source到destination的连接，后两次握手，断开从destination到source的连接。

临时性访问表的删除之所以要延迟5秒，是为了给TCP连接的断开一个缓冲的时间，保证TCP能够平滑的断开连接。

b)RST标志被检测到，立即删除。 

c)配置的空闲超时值到期(缺省是300秒)。

b.对于UDP，由于没有各种标志，所以只有当配置的空闲超时值(300秒)到期才会删除临时性的访问表

本文转自loveme2351CTO博客，原文链接：http://blog.51cto.com/loveme23/19841 ，如需转载请自行联系原作者