12.校验数据流路径的合法性。

使用RPF(reversepathforwarding)反相路径转发，由于攻击者地址是违法的，所以攻击包被丢弃，从而达到抵御spoofing攻击的目的。RPF反相路径转发的配置命令为:ipverifyunicastrpf。注意:首先要支持CEF(CiscoExpressForwarding)快速转发。

13.防止SYN攻击。

目前，一些路由器的软件平台可以开启TCP拦截功能，防止SYN攻击，工作模式分拦截和监视两种，默认情况是拦截模式。(拦截模式:路由器响应到达的SYN请求，并且代替服务器发送一个SYN-ACK报文，然后等待客户机ACK。如果收到ACK，再将原来的SYN报文发送到服务器;监视模式：路由器允许SYN请求直接到达服务器，如果这个会话在30秒内没有建立起来，路由器就会发送一个RST,以清除这个连接。)首先，配置访问列表，以备开启需要保护的IP地址:accesslist[1-199][deny　permit]tcpanydestinationdestination-wildcard然后，开启TCP拦截：IptcpinterceptmodeinterceptIptcpinterceptlistaccesslist-numberIptcpinterceptmodewatch

14.使用安全的SNMP管理方案。

SNMP广泛应用在路由器的监控、配置方面。SNMPVersion1在穿越公网的管理应用方面，安全性低，不适合使用。利用访问列表仅仅允许来自特定工作站的SNMP访问通过这一功能可以来提升SNMP服务的安全性能。配置命令：snmp-servercommunityxxxxxRWxx;xx是访问控制列表号SNMPVersion2使用MD5数字身份鉴别方式。不同的路由器设备配置不同的数字签名密码，这是提高整体安全性能的有效手段。

综述：

路由器作为整个网络的关键性设备，安全问题是需要我们特别重视。当然，如果仅仅是靠上面的这些设置方法，来保护我们的网络是远远不够的，还需要配合其他的设备来一起做好安全防范措施，将我们的网络打造成为一个安全稳定的信息交流平台。