В предыдущих заметках были вкратце рассмотрены обычные списки доступа, списки, срабатывающими в заданное время Time-Based ACL и динамические списки доступа Dynamic ACL.
Здесь же разберем еще один интересный вид ACL, частично выполняющий функции примитивного межсетевого экрана с отслеживанием состояний сессий (Stateful Firewall).
С помощью Reflexive ACL маршрутизатор может отслеживать инициируемые TCP/UDP/ICMP сессии и автоматически разрешать ответный трафик в рамках этих сессий, открывая динамические правила в списке доступа, примененном в обратном направлении.
Для функционирования такого базового межсетевого экрана помимо самого Reflexive ACL, требуются еще два расширенных (extended) списка доступа, работающих в разных направлениях. Они могут быть на одном и том же интерфейсе (направление действия in/out), либо на двух различных (направление действия in/in).
Один список доступа служит для отслеживания исходящих сессий, а второй для блокировки входящих соединений и создания в нем динамических правил для зеркального входящего трафика.
Ключевые слова, используемые в Reflexive ACL – это reflect для исходящего трафика и evaluate для входящего.