一个关于自反控制列表的问题．．请高手帮忙解答．．．

legend

<P>自反访问控制列表和带ESTABLISH的访问控制列表有什么区别呢。．．</P><P>两者不是都会了实现Ａ能ＰＩＮＧ　Ｂ，Ｂ无法ＰＩＮＧ　Ａ的功能．．．</P><P>那两者到底有什么区别。．．．．</P><P>恳请高手帮忙解答解答．．．</P>

王晓强

<P>能发现这个问题说明你对网络的理解已经挺不错了！</P><P>Establish 是专门用于TCP的访问列表。自反访问控制列表Reflexive Access Lists的功能比它强大很多。</P><P>两者是都能实现只有内网发起的TCP连接才被允许。</P><P>但Reflexive Access Lists功能强大得多：</P><H4><A name=xtocid7><A name=18465><A name=1000956>With Reflexive Access Lists</A></A></A></H4><P>Reflexive access lists, however, provide a truer form of session filtering, which is much harder to spoof because more filter criteria must be matched before a packet is permitted through. (For example, source and destination addresses and port numbers are checked, not just ACK and RST bits.) Also, session filtering uses temporary filters which are removed when a session is over. This limits the hacker&#39;s attack opportunity to a smaller time window.</P><P>Moreover, the previous method of using the <B>established</B> keyword was available only for the TCP upper-layer protocol. So, for the other upper-layer protocols (such as UDP, ICMP, and so forth), you would have to either permit all incoming traffic or define all possible permissible source/destination host/port address pairs for each protocol. (Besides being an unmanageable task, this could exhaust NVRAM space.)</P><P>要多理解技术产生的根源和场合，仅仅说两者不是都会了实现Ａ能ＰＩＮＧ　Ｂ，Ｂ无法ＰＩＮＧ　Ａ的功能．．．这个是不够的！这个问题算是比较难的！要好好理解！</P>

QQ-baby

<P>个人认为是工作原理上的区别,其原理如下:</P><P>自反访问表的基本的工作原理是:<BR>只能由内部网络始发的，外部网络的响应流量可以进入，<BR>由外部网络始发的流量如果没有明确的允许，是禁止进入的。</P><P><BR>1)Reflexive-ACL的工作流程：</P><P>a.由内网始发的流量到达配置了自反访问表的路由器，<FONT color=#0000ff>路由器根据此流量的第三层和第四层信息自动生成一个临时性的访问表，<BR></FONT>临时性访问表的创建依据下列原则：<BR>protocol不变，<BR>source-IP地址 , destination-IP地址严格对调，<BR>source-port,destination-port严格对调，<BR>对于ICMP这样的协议，会根据类型号进行匹配。</P><P>b.路由器将此流量传出，流量到达目标，然后响应流量从目标返回到配置了自反访问表的路由器。</P><P>c.路由器对入站的响应流量进行评估，只有当返回流量的第三、四层信息与先前基于出站流量创建的临时性访问表的第三、四层<BR>信息严格匹配时，路由器才会允许此流量进入内部网络。</P><P>-------------------------------</P><P>Cisco 路由器中ACL的参数establish的作用</P><P>　　该命令阻止任何本网外部用户试图建立的连接(如telnet连接)。当在ACL中加上establish参数后，路由器会滤除IP报头中SYNC置位的包(也就是连接请求的包)。而如果请求是内部用户发起的包，则不受影响。达到了控制外部用户的目的。<BR></P><P>&nbsp;</P>

丢丢

<P>由2位SPOTO最出色的学员的回答，楼主明白了么？</P>

chinamoon

呵呵，你们俩真专业，SPOTO的骄傲。

legend

<P>忽忽。．．谢谢两位高手的回答．．．<IMG src="http://www.spoto.net/bbs/images/Emotions/2.gif"></P>

寒星

顶，太厉害了。学习了。呵呵，前辈们就是厉害。

lover860305

前辈就是前辈呀！
我们这些后辈要好好学习了！