Refleksif ACL’ler ağ yöneticilerinin ağı dış saldırılardan korumak için kullandıkları etkili sistemlerdir. Burada temel amaç belirtilen özelliklerdeki veri trafiğinin oluşturulabilmesini ancak ve ancak iç ağ tarafından oturum başlatılması koşuluna bağlamaktır. Bu sayede dış ağdan başlatılacak olası saldırılar önlenebilmektedir. Bu bağlamda refleksif bir ACL yapısından en iyi verimin alınabilmesi için konfigürasyon uygulanırken iç ağımızı internet ağına açan interface esas alınmalıdır. Refleksif ACL sisteminin çalışabilmesi için 3 farklı ACL görev paylaşımı yapar.Bunlardan ilki dış ağ yönüne uygulanmak üzere yazılır. Bu ACL’de kontrol altına alınmak istenen trafiğin özellikleri belirlenerek bu trafiğe izin verilir. Bu konfigürasyon yapılırken komutun sonunda belirtilen ve sistemde çalışacak olan ikinci ACL oluşturulur. Bu ACL refleksif ACL’dir ve sistemin temelini oluşturur. Normal şartlarda refleksif ACL’nin altında hiçbir ACE (Access Control Entry- Erişim Kontrol Girdisi) yoktur. İç ağdan belirtilen özellikte trafik başlatıldığında dış ağdan iç ağ yönüne de trafiğin devam ettirilebilmesi adına bu refleksif ACL altına iç yönde izin veren ACE’ler kendiliğinden oluşur. Oturum tamamlandığında ise bu ACE’ler yine kendiliğinden silinirler. Sistemde çalışan son ACL ise iç yönde yazılır. Bu ACL yalnızca “evaluate (değerlendir)” komutuyla iç yönde trafiğin refleksif ACL’nin o anki durumuna göre filtreleneceğini belirtir.
Refleksif ACL sisteminin dış yönde ve iç yöndeki ACL’lerinin oluşturulması için gerekli komutlar şu şekildedir;
Ardından iç ve dış yöndeki ACL’ler belirlenen interface üzerine atanarak işlem tamamlanır.
Bu işlem tamamlanınca cihazın konfigürasyon çıktısında pasif refleksif ACL ve diğer ACL’ler şu şekilde görünür;
Şekilde göründüğü gibi, pasif halde refleksif ACL altında hiçbir ACE bulunmaz. Bir trafik oluşturulduğunda ise refleksif ACL aktif hale gelerek aşağıdaki durumu alır.
