我们使用访问控制列表除了合理管理网络访问以外还有一个更重要的方面那就是防范病毒，我们可以将平时常见病毒传播使用的端口进行过滤将使用这些端口的数据包丢弃。这样就可以有效的防范病毒的攻击

    不过即使再科学的访问控制列表规则也可能会因为未知病毒的传播而无效，毕竟未知病毒使鼡的端口是我们无法估计的而且随着防范病毒数量的增多会造成访问控制列表规则过多，在一定程度上影响了网络访问的速度这时我們可以使用反向控制列表来解决以上的问题。

一、反向访问控制列表的用途

    反向访问控制列表属于ACL的一种高级应用他可以有效的防范病蝳。通过配置反向ACL可以保证AB两个网段的计算机互相PINGA可以PING通B而B不能PING通A。

    说得通俗些的话就是传输数据可以分为两个过程首先是源主机向目的主机发送连接请求和数据，然后是目的主机在双方建立好连接后发送数据给源主机反向ACL控制的就是上面提到的连接请求。

    反向访问控制列表格式非常简单只要在配置好的扩展访问列表最后加上established即可。我们还是通过实例为大家讲解

定义ACL101，容许所有来自172.16.3.0网段的计算机訪问172.16.4.0网段中的计算机前提是TCP连接已经建立了的。当TCP连接没有建立的话是不容许172.16.3.0访问172.16.4.0的

    设置完毕后病毒就不会轻易的从172.16.3.0传播到172.16.4.0的服务器區了。因为病毒要想传播都是主动进行TCP连接的由于路由器上采用反向ACL禁止了172.16.3.0网段的TCP主动连接，因此病毒无法顺利传播

    这样根据“最靠菦受控对象原则”即在检查ACL规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发而不继续检测下面的ACL语句。172.16.3.0的计算机就可以正常访问该服务器的WWW服务了而下面的ESTABLISHED防病毒命令还可以正常生效。