uRPF作用

通信网络中，诸如DoS攻击、TCP SYN洪泛攻击、UDP洪泛攻击和ICMP洪泛攻击等，都可能通过借助源地址欺骗的方式攻击目标设备或者主机，造成被攻击者系统性能严重的降低，甚至导致系统崩溃。uRPF技术就是网络设备为了防范此类攻击而使用的一种常用技术。

uRPF应用的一个简单实例如图所示。在Router A上伪造一个源地址为3.3.3.3/8的报文，向Router B发起请求，Router B响应请求时将向真正的“3.3.3.3/8”设备（Router C）发送报文。这种非法报文同时对Router B和Router C都造成了攻击。

uRPF可以应用在上述环境中，在Router B的接口上启用URPF功能，即可以阻止基于源地址欺骗的攻击行为。

在本例中，源地址使用一些保留的非全局的IP地址，因此不可达。其实即使是一个合法的IP地址，只要是不可达的也可以用来发起攻击。

另一种情况是攻击者还可以伪造一个源地址，该地址是另一个合法网络的地址并且在全局路由表中存在。例如，攻击者伪造一个源地址使得被攻击者认为攻击来自于伪造的源地址，但实际上该源地址是完全无辜的，并且有时候网络管理员会因此而关闭所有来自源地址的数据流，这样正好使得攻击者的拒绝服务攻击成功实现。

更复杂的情形是TCP SYN洪泛攻击将使得SYN-ACK数据包发送到完全与攻击无关的许多主机，而这些主机就成了牺牲者。这使得攻击者可以同时去欺骗一个或者多个系统。

uRPF对报文源地址的合法性检查主要有两种：严格型（strict）和松散型（loose）。另外还支持忽略缺省路由的uRPF检查以及配置了ACL规则的uRPF检查。

• 在接口上设置严格模式的uRPF：路由器对从该接口进入的数据包源地址进行查询，如果报文的源地址在路由表中存在（为正常的源地址路由或者缺省路由），并且报文的入接口等于路由的出接口，则认为该报文合法，否则丢弃该报文。

• 在接口上设置松散模式的uRPF：路由器仅检查报文的源地址是否在路由表中存在（正常的源地址路由或者缺省路由），而不再检查报文的入接口与路由表是否匹配。这使得uRPF既可以有效地阻止网络攻击，又可以避免错误的拦截合法用户的报文。

• 当路由器上配置了缺省路由后，会导致uRPF根据路由表检查源地址路由时，对查不到源地址路由的报文自动检查到缺省路由。针对这种情况，用户可以配置uRPF忽略缺省路由的检查。

通过ACL规则的引入，uRPF给用户提供了一种更加灵活的定制方案。配置了ACL后，在uRPF检查失败的情况下，路由器按照ACL规则permit或者deny报文进行操作。

通常情况下，网络中的路由器接收到报文后，获取报文的目的地址，针对目的地址查找路由，如果查找到则进行正常的转发，否则丢弃该报文。由此得知，路由器转发报文时，并不关心数据包的源地址，这就给源地址欺骗攻击有了可乘之机。

源地址欺骗攻击就是入侵者通过构造一系列带有伪造源地址的报文，频繁访问目的地址所在设备或者主机，即使受害主机或网络的回应报文不能返回到入侵者，也会对被攻击对象造成一定程度的破坏。

URPF通过检查数据包中源IP地址，并根据接收到数据包的接口和路由表中是否存在源地址路由信息条目，来确定流量是否真实有效，并选择数据包是转发或丢弃。

逆向转发严格模式

在严格模式下，每个传入数据包都根据FIB进行测试，如果“传入”接口不是最佳反向路径，则数据包检查失败。默认情况下，失败的数据包被丢弃。

Cisco设备上的示例命令：ip verify unicast source reachable-via {rx} - 严格模式, {any}- 宽松模式

逆向转发可能模式

在可能模式中，FIB维护到给定IP地址的备用路由。如果“传入”接口与任何与该IP地址相关联的路由匹配，则该分组被转发。否则，数据包被丢弃。

逆向转发宽松模式

在宽松模式，每个进入的单播数据包的来源地址同样会被检查。如果来源地址是无经由该接口的路径到达，检查将失败。

标准/认证 支持ACL安全过滤机制, 可提供基于用户, 地址, 应用以及端口级的安全控制功能, 并支持MPLS VPN特性

支持基于端口不同优先级对列的和基于流的入口和出口带宽限制, uRPF, 防DDOS攻击, SSH2.0安全管理, 802.1x接入认证及透传

机身重量 < 25