Reflexív ACL-ek a csomagszűrést nem csupán IP cím alapon végzik, hanem vizsgálják a felsőbb rétegbeli session információkat is.
Általában a kimenő forgalmat engedélyezik, a bejövő irányban pedig visszafele csak a válaszforgalom engedélyezett.
Reflexiv ACL először a Cisco IOS 11.3-ban lett bevezetve, és csak named extended ACL-t lehet reflexív ként definiálni.
A következő pédában minden ICMP forgalom, még az TCP és UDP forgalom csak belülről mehet kifele, kívülről csupán a válasz forgalom, aminek a kérése eredetileg belülről ered engedélyezett:
interface Ethernet0/0
descripton *** to Internet ***
ip address 192.168.1.254 255.255.255.252
ip access-group ACL-filter-IN in
ip access-group ACL-filter-OUT out
ip access-list extended ACL-filter-OUT
permit icmp any any
permit tcp any any reflect REFLECT-TCP
permit udp any any reflect REFLECT-UDP
ip access-list extended ACL-filter-IN
permit icmp any any
evaluate REFLECT-TCP
evaluate REFLECT-UDP
Az interfész konfigurációjánál feltesszük a megfelelő in/out ACL-eket.
A kimenő ACL-be (ACL-filter-OUT) engedélyezzük az icmp, tcp és udp forgalmat, azonban a TCP és UDP forgalom reflektálva van REFLECT-TCP illetve REFLECT-UDP névvel. Ezt felhasználva a bejövő ACL-ben (evaluate) a belülről eredő forgalomra érkező válaszokat beengedjük, még minden más forgalom eldobásra kerül (implicit deny).