华为数通HCIE面试看这个就够了系列——安全技术

一、TCP的几种攻击手段和防范。

1. LAND攻击。

• 攻击原理：拒绝服务攻击的一种，攻击者利用TCP连接三次握手机制中的缺陷，向目标主机发送一个源地址和目的地址均为目标主机、源端口和目的端口相同的SYN报文，目标主机接收到该报文后，将创建一个源地址和目的地址均为自己的TCP空连接，直至连接超时。在这种攻击方式下，目标主机将会创建大量无用的TCP空连接，耗费大量资源，直至设备瘫痪。
• 防范：启用畸形报文攻击防范后，设备采用检测TCP SYN报文的源地址和目的地址的方法来避免LAND攻击。如果TCP SYN报文中的源地址和目的地址一致，则认为是畸形报文攻击，丢弃该报文。配置命令如下：
  

2.TCP SYN泛洪攻击。

• 攻击原理：也是拒绝服务攻击的一种，TCP SYN攻击利用了TCP三次握手的漏洞。在TCP的3次握手期间，当接收端收到来自发送端的初始SYN报文时，向发送端返回一个SYN+ACK报文。接收端在等待发送端的最终ACK报文时，该连接一直处于半连接状态。如果接收端最终没有收到ACK报文包，则重新发送一个SYN+ACK到发送端。如果经过多次重试，发送端始终没有返回ACK报文，则接收端关闭会话并从内存中刷新会话。在这段时间内，攻击者可能将数十万个SYN报文发送到开放的端口，并且不回应接收端的SYN+ACK报文。接收端内存很快就会超过负荷，且无法再接受任何新的连接，并将现有的连接断开。
• 防范：启用TCP SYN泛洪攻击防范后，设备对TCP SYN报文进行速率限制，保证受到攻击时目标主机资源不被耗尽。配置命令如下：
  • anti-attack tcp-syn enable命令用来使能TCP SYN泛洪攻击防范功能。
  • anti-attack tcp-syn car命令用来配置TCP SYN泛洪攻击报文的限制速率。如果收到的TCP SYN泛洪报文数目超过了限速值，设备会丢弃超出限速的报文，保证CPU的正常工作。

二、关于MAC地址的攻击手段和防范。

1.MAC地址的泛洪攻击。

• 攻击原理：泛洪攻击的目标就是想获取主机之间的通信数据。想达到这个目的，就需要强迫交换机进行数据广播，那就要实现MAC表中没有目标主机的MAC和端口绑定。泛洪攻击的实现方法就是通过伪造大量的未知MAC地址进行通信，交换机进行不断的学习，很快MAC表就会被充满，这样正常的主机的MAC地址在经过老化之后，就无法再添加到mac地址表中，导致之后的数据都变成了广播。如上图attacker想要获取PC1登录到FTP服务器的密码，所以就向伪造出许多对于SW来说的MAC地址未知的数据包，使交换机的MAC表充满，这样PC1在访问FTP服务器时，发向交换机的数据包查找不到相应的MAC地址表项，交换机就会做泛洪处理，使得attacker抓取到密码。
• 防范：
  • 可以提前在交换机上配置PC1的静态MAC地址的映射。配置如下：

    mac-address static xxxx-xxxx-xxxx GigabitEthernet 0/0/1 vlan 1
    

  • 可以在交换机上配置端口安全，限制交换机在接口上学习到的MAC地址数量。配置如下：

    interface GigabitEthernet0/0/3
    	port-security enable
        port-security protect-action protect
        port-security max-mac-num 3
    

2.MAC地址的欺骗攻击。

• 攻击原理：欺骗攻击的目标也是想获取主机之间的通信数据。除了上述方法，还有attacker可以伪装成用户，刷新交换机的MAC地址表。欺骗攻击的实现方法就是attacker通过伪造源MAC是用户主机MAC的数据包，使交换机的MAC地址表发生刷新，将MAC地址表项的出接口刷新到与attacker相连的接口上，这样服务器在回包时，交换机就会将数据包发送给攻击者。如上图attacker想要获取PC1和FTP服务器的交互数据，所以就向伪造出源MAC是PC1的数据包，使交换机的关于PC1的MAC表出接口刷新到g0/0/3，这样FTP服务器在向PC1回包时，发向PC1的数据包就会从g0/0/3接口发送给attacker，使得attacker获取到用户数据。
• 防范：
  • 通过MAC防漂移防止欺骗攻击，设置合法用户的MAC学习优先级高于非法用户的MAC学习优先级，在非法用户攻击时就不会触发MAC地址出接口漂移。配置如下：

    interface GigabitEthernet0/0/1
       mac-learning priority 2
    

  • 可以在交换机上配置端口安全，在接口上指定合法的MAC地址。

    interface GigabitEthernet0/0/1
       port-security enable
       port-security mac-address sticky
       port-security mac-address sticky 5489-9867-698F vlan 1
    

三、ARP的攻击手段和防范。

1.ARP欺骗攻击。

• 原理：局域网中UserA、UserB、UserC等用户通过Switch接入连接到Gateway访问Internet。正常情况下，UserA、UserB、UserC上线之后，通过相互之间交互ARP报文，UserA、UserB、UserC和Gateway上都会创建相应的ARP表项。此时，如果有攻击者通过在广播域内发送伪造的ARP报文，篡改Gateway或者UserA、UserB、UserC上的ARP表项，攻击者可以轻而易举地窃取UserA、UserB、UserC的信息或者阻碍UserA、UserB、UserC正常访问网络。
• 防范：
  • 配置动态ARP检测DAI，利用DHCP Snooping绑定表来防御中间人攻击。当设备收到ARP报文时，将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和DHCP Snooping绑定表的信息进行比较，如果信息匹配，说明发送该ARP报文的用户是合法用户，允许此用户的ARP报文通过，否则就认为是攻击，丢弃该ARP报文。由于当DHCP用户上线时，设备才会自动生成DHCP Snooping绑定表；对于静态配置IP地址的用户，设备不会生成DHCP Snooping绑定表，所以需要手动添加静态绑定表。配置如下：

    开启动态的ARP检测和告警：
    [Huawei] interface ethernet 2/0/1
    [Huawei-Ethernet2/0/1] arp anti-attack check user-bind enable
    [Huawei-Ethernet2/0/1] arp anti-attack check user-bind alarm enable
    配置DHCP Snooping静态绑定表和查看手写的静态绑定表：
    [Huawei] user-bind static ip-address 10.0.0.2 mac-address 0001-0001-0001 interface     GigabitEthernet 2/0/3 vlan 10
    [Huawei]display dhcp static user-bind  all 
    

  • ARP表项固化：使能ARP表项固化功能后，设备在第一次学习到ARP之后，不再允许用户更新此ARP表项或只能更新此ARP表项的部分信息，或者通过发送ARP请求报文的方式进行确认，以防止攻击者伪造ARP报文修改正常用户的ARP表项内容。它有以下三种模式：
    • fixed-all模式：如果设备收到的ARP报文中的MAC地址、接口或VLAN信息和ARP表中的信息不匹配，则直接丢弃该ARP报文。此模式适用于用户MAC地址固定，并且用户接入位置相对固定的场景。
    • fixed-mac模式：如果设备收到的ARP报文中的MAC地址与ARP表中对应条目的MAC地址不匹配，则直接丢弃该ARP报文；如果匹配，但是收到报文的接口或VLAN信息与ARP表中对应条目不匹配，则可以更新对应ARP条目中的接口和VLAN信息。此模式适用于用户MAC地址固定，但用户接入位置频繁变动的场景。
    • send-ack模式：如果设备收到的ARP报文A涉及ARP表项MAC地址、接口或VLAN信息的修改，设备不会立即更新ARP表项，而是先向待更新的ARP表项现有MAC地址对应的用户发送一个单播的ARP请求报文进行确认。此模式适用于用户的MAC地址和接入位置均频繁变动的场景。
    • 配置：arp anti-attack entry-check { fixed-mac | fixed-all | send-ack } enable
  • ARP防网关冲突：通过ARP防网关冲突功能，可以防止用户仿冒网关发送ARP报文，非法修改网络内其他用户的ARP表项。配置如下：

    arp anti-attack gateway-duplicate enable
    

  • 发送免费ARP报文：使能发送免费ARP报文功能后，设备作为网关，主动向用户发送以自己IP地址为目标IP地址的ARP请求报文，定时更新用户ARP表项的网关MAC地址，防止用户的报文不能正常的转发到网关或者被恶意攻击者窃听。配置如下：

    arp gratuitous-arp send enable
    

  • ARP报文内MAC地址一致性检查：通过ARP报文内MAC地址一致性检查功能，可以防止以太网数据帧首部中的源、目的MAC地址和ARP报文数据区中的源、目的MAC地址不一致的ARP欺骗攻击。

    interface g0/0/0
      arp validate { source-mac | destination-mac }
    

  • ARP报文合法性检查：使能ARP报文合法性检查功能后，设备会对以太网数据帧首部中的源MAC地址和ARP报文数据区中的源MAC地址不一致的ARP报文进行过滤。配置如下：

    arp anti-attack packet-check sender-mac
    

  • 使能ARP表项严格学习功能后，只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP，其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP。这可以防止设备因收到伪造的ARP报文，错误地更新ARP表项，导致合法用户的通信流量发生中断。配置如下：

    arp learning strict
    

2.ARP泛洪攻击。

• 原理：局域网中用户通过SwitchA和SwitchB接入连接到Gateway访问Internet。当网络中出现过多的ARP报文时，会导致网关设备CPU负载加重，影响设备正常处理用户的其它业务。另一方面，网络中过多的ARP报文会占用大量的网络带宽，引起网络堵塞，从而影响整个网络通信的正常运行。
• 防范：
  • ARP报文限速：通过ARP报文限速功能，可以防止设备因处理大量ARP报文，导致CPU负荷过重而无法处理其他业务。

    arp speed-limit source-mac maximum maximum，配置根据任意源MAC地址进行ARP报文限速的限速值
    arp speed-limit source-mac mac-address maximum maximum，配置对指定MAC地址用户的ARP报文进行限速的限速值
    arp speed-limit source-ip [ ip-address ] maximum maximum  命令用来配置根据源IP地址进行ARP报文限速的限速值
    

  • ARP Miss消息限速：通过ARP Miss消息限速功能，可以防止设备因收到大量目的IP不能解析的IP报文，触发大量ARP Miss消息，导致CPU负荷过重而无法处理其他业务。
    • 设备在转发报文时，如果报文的目的地址和设备三层接口地址在同一个网段，正常情况下会查找arp进行直接转发，如果查找不到arp表项，就会上送CPU触发ARP-MISS流程来学习ARP。
    • 上层软件收到ARP Miss消息后，首先生成一个ARP假表项发送给设备，防止相同的ARP Miss消息不断上报；然后上层软件发送ARP请求报文，在收到回应后，用学习到的ARP表项替换原有的假表项发送给设备，流量可以正常转发。
    • 动态ARP假表项有一个老化时间，在老化时间之内，设备不再向上层软件发送ARP Miss消息。老化时间超时后，假表项被清除，设备转发时再次匹配不到对应的ARP表项，重新生成ARP Miss消息上报给上层软件。如此循环重复。
    • 配置：arp-miss speed-limit source-ip maximum maximum，配置根据源IP地址进行ARP Miss消息限速的限速值
  • 使能ARP表项严格学习功能后，只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP，其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP。这可以防止设备收到大量ARP攻击报文时，ARP表被无效的ARP条目占满。系统或接口视图下配置：arp learning strict
  • ARP表项限制：使能ARP表项限制功能后，设备接口只能学习到设定的最大动态ARP表项数目。这可以防止当一个接口所接入的某一台用户主机发起ARP攻击时整个设备的ARP表资源都被耗尽。配置如下：

    interface vlanif interface-number
    		arp-limit maximum maximum
    		
    interface interface-type interface-number 
           arp-limit vlan vlan-id1 [ to vlan-id2 ] maximum maximum
    

四、DHCP服务器的攻击手段和防范。

1.DHCP饿死攻击。

• 攻击原理：攻击者持续大量地向DHCP服务器申请IP地址，直到耗尽DHCP服务器地址池的IP地址，使DHCP服务器无法再给正常的主机分配IP地址。如上图，在PC机给DHCP Server发送的DHCP Discover 报文中有一个CHADDR字段，该字段是由DHCP客户端填写的，用来表示客户端的硬件地址（MAC地址），而DHCP Server 也是根据CHADDR字段来分配IP地址的，对于不同的CHADDR，DHCP Server会分配不同的IP地址，因为DHCP Server 无法识别CHADDR的合法性，攻击者就利用这个漏洞，不断的改变CHADDR字段的值，来冒充不同的用户申请IP地址，使DHCP Server 中IP池枯竭，从而达到攻击目的。

2.DHCP欺骗攻击。

• 攻击原理：在执行完DHCP饿死攻击之后，当攻击者运行或配置DHCP Server程序，把自己伪装成DHCP Server，这就DHCP欺骗。当PC机发送DHCP Discover报文申请地址时，由于正常的DHCP Server受到了DHCP饿死攻击导致地址池枯竭了，无法回复DHCP Offer报文，那么PC1一定收到的是攻击者仿冒的DHCP Server回复的DHCP Offer报文，这样会导致PC机分配到错误的IP地址参数，导致PC客户端无法访问网络。

3.DHCP Snooping。

  DHCP Snooping是DHCP的一种安全特性，用于保证DHCP客户端从合法的DHCP服务器获取IP地址，并记录DHCP客户端IP地址与MAC地址等参数的对应关系，防止网络上针对DHCP攻击。

（1）信任功能。

  DHCP Snooping的信任功能，能够保证客户端从合法的服务器获取IP地址。防御DHCP欺骗攻击。DHCP Snooping信任功能将接口分为信任接口和非信任接口：

• 信任接口正常接收DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文。
• 非信任接口在接收到DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文后，丢弃该报文。
• 配置如下：
  

（2）分析功能。
  开启DHCP Snooping功能后，设备能够通过分析DHCP的报文交互过程，生成DHCP Snooping绑定表，绑定表项包括客户端的MAC地址、获取到的IP地址、与DHCP客户端连接的接口及该接口所属的VLAN等信息。

• DHCP Snooping绑定表根据DHCP租期进行老化或根据用户释放IP地址时发出的DHCP Release报文自动删除对应表项。
• 管理员可以根据DHCP Snooping绑定表方便的记录DHCP用户申请的IP地址与所用主机的MAC地址之间的对应关系。
• 由于DHCP Snooping绑定表记录了DHCP客户端IP地址与MAC地址等参数的对应关系，故通过对报文与DHCP Snooping绑定表进行匹配检查，能够有效防范非法用户的攻击。
• 为了保证设备在生成DHCP Snooping绑定表时能够获取到用户MAC等参数，DHCP Snooping功能需应用于二层网络中的接入设备或第一个DHCP Relay上。
• 防止DHCP饿死攻击，通过对用户侧接口配置检查检测DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段是否一致功能和接口允许学习的DHCP Snooping绑定表项的最大个数。
• 配置如下：
  

五、网络安全管理机制。

1.AAA。

  AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，是网络安全的一种管理机制，提供了认证、授权、计费三种安全功能。

• 认证：验证用户是否可以获得网络访问权。
• 授权：授权用户可以使用哪些服务。
• 计费：记录用户使用网络资源的情况。

  AAA可以通过多种协议来实现，在实际应用中，最常使用RADIUS协议，还有一种华为的HWTACACS认证协议。

（1）RADIUS。
  RADIUS（Remote Authentication Dial In User Service，远程用户拨号认证服务），RADIUS是一种分布式的、客户端/服务器结构的信息交互协议，该协议定义了基于UDP的RADIUS报文格式及其传输机制，并规定UDP端口1812、1813分别作为默认的认证、计费端口。 它拥有两种认证方式：

• 直接认证：
  • RADIUS客户端向RADIUS服务器发送包含用户名和密码信息的认证请求报文。
  • RADIUS服务器对用户身份的合法性进行检验：
    • 如果用户身份合法，RADIUS服务器向RADIUS客户端返回认证接受报文，允许用户进行下一步动作。
    • 如果用户身份不合法，RADIUS服务器向RADIUS客户端返回认证拒绝报文，拒绝用户访问接入网络。
• EAP中继认证：
  • RADIUS客户端向RADIUS服务器发送只包含用户名的认证请求报文。
  • RADIUS服务器接收到Access-Request报文中携带的用户名信息后，会随机生成一个MD5挑战字，同时将此挑战字通过Access-Challenge报文发送给RADIUS客户端。
  • RADIUS客户端使用该挑战字对用户密码进行MD5加密，将MD5值通过Access-Request报文发送给RADIUS服务器。
  • RADIUS服务器将收到的MD5值和本地经过MD5加密运算后的密码信息进行对比，如果相同，则该用户为合法用户。

下面是RADIUS认证、授权、计费流程：

• 当用户接入网络时，用户发起连接请求，向RADIUS客户端（即设备）发送用户名和密码。
• RADIUS客户端向RADIUS服务器发送包含用户名和密码信息的认证请求报文。
• RADIUS服务器对用户身份的合法性进行检验：
  • 如果用户身份合法，RADIUS服务器向RADIUS客户端返回认证接受报文，允许用户进行下一步动作。由于RADIUS协议合并了认证和授权的过程，因此认证接受报文中也包含了用户的授权信息。
  • 如果用户身份不合法，RADIUS服务器向RADIUS客户端返回认证拒绝报文，拒绝用户访问接入网络。
• RADIUS客户端通知用户认证是否成功。
• RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入，则RADIUS客户端向RADIUS服务器发送计费开始请求报文。
• RADIUS服务器返回计费开始响应报文，并开始计费。
• 用户开始访问网络资源。
• （可选）在使能实时计费功能的情况下，RADIUS客户端会定时向RADIUS服务器发送实时计费请求报文，以避免因付费用户异常下线导致的不合理计费。
• （可选）RADIUS服务器返回实时计费响应报文，并实时计费。
• 用户发起下线请求，请求停止访问网络资源。
• RADIUS客户端向RADIUS服务器提交计费结束请求报文。
• RADIUS服务器返回计费结束响应报文，并停止计费。
• RADIUS客户端通知用户访问结束，用户结束访问网络资源。

（2）HWTACACS。

  HWTACACS(Huawei Terminal Access Controller Access Control System，终端访问控制器控制系统协议)是在TACACS协议的基础上进行了功能增强的安全协议。该协议与RADIUS协议的功能类似，采用客户端/服务器模式实现NAS与TACACS+服务器之间的通信。

（1）HWTACACS协议与RADIUS协议的比较。

（2）认证流程。

• Telnet用户请求登录设备。
• HWTACACS客户端收到请求之后，向HWTACACS服务器发送认证开始报文。
• HWTACACS服务器发送认证回应报文，请求用户名。
• HWTACACS客户端收到回应报文后，向用户询问用户名。
• 用户输入用户名。
• HWTACACS客户端收到用户名后，向HWTACACS服务器发送认证持续报文，其中包括了用户名。
• HWTACACS服务器发送认证回应报文，请求密码。
• HWTACACS客户端收到认证回应报文，向用户询问密码。
• 用户输入密码。
• HWTACACS客户端收到密码后，向HWTACACS服务器发送认证持续报文，其中包括了密码信息。
• HWTACACS服务器发送认证回应报文，指示用户通过认证。
• HWTACACS客户端向HWTACACS服务器发送授权请求报文。
• HWTACACS服务器发送授权回应报文，指示用户通过授权。
• HWTACACS客户端收到授权回应报文，向用户输出设备的配置界面。
• HWTACACS客户端向HWTACACS服务器发送计费开始请求报文。
• HWTACACS服务器发送计费开始回应报文，指示计费开始请求报文已经收到。
• 用户请求断开连接。
• HWTACACS客户端向HWTACACS服务器发送计费结束请求报文。
• HWTACACS服务器发送计费结束回应报文，指示计费结束请求报文已经收到。

2.802.1X。

  802.1X协议是一种基于接口的网络接入控制协议。“基于接口的网络接入控制”是指，在局域网接入设备的接口这一级，接入设备通过认证来控制用户对网络资源的访问。

（1）认证触发方式。
  802.1X的认证过程可以由客户端主动发起，也可以由接入设备发起。设备支持的认证触发方式包括以下两种：

• 客户端主动触发方式：用户主动开启客户端输用户名和密码向接入设备发送EAP报文来触发认证。
• 接入设备主动触发方式：接入设备在接收到用户终端发送的DHCP/ARP报文后，主动触发用户终端自动弹出客户端界面，用户输入用户名和密码即可启动认证。

（2）EAP中继方式业务流程。

• 当用户需要访问外部网络时打开802.1X客户端程序，输入已经申请、登记过的用户名和密码，发起连接请求。此时，客户端程序将向接入设备发出认证请求报文，开始启动一次认证过程。
• 接入设备收到认证请求报文后，向用户发出用户名请求报文，要求用户的客户端程序发送输入的用户名。
• 客户端程序响应接入设备发出的请求，将用户名信息发送给接入设备。
• 接入设备将客户端发送的用户名信息发送给认证服务器进行处理。
• 认证服务器收到接入设备转发的用户名信息后，按照如下方式对其密码进行验证。
  • 认证服务器将用户名信息与数据库中的用户名列表进行对比，找到该用户名对应的密码信息。
  • 认证服务器用随机生成的一个MD5 Challenge对密码进行加密处理，并将此MD5 Challenge通过接入设备发送给客户端。
  • 客户端收到由接入设备转发的MD5 Challenge后，用该Challenge对密码部分进行加密处理，之后将加密后的密码通过接入设备发送到认证服务器。
  • 认证服务器将收到的已加密的密码信息和本地经过加密运算后的密码信息进行对比。如果相同，则认为该用户为合法用户；如果不同，则认为该用户为非法用户。
• 密码验证成功后，认证服务器向接入设备发送认证成功报文。
• 设备收到认证成功报文后向客户端发送认证成功报文，并将接口改为授权状态，允许用户通过接口访问网络。
• 客户端可以发送下线报文给接入设备，主动要求下线。
• 接入设备把接口状态从授权状态改变成未授权状态，并向客户端发送认证失败报文同时删除用户上线信息。
  注：EAP终结方式与EAP中继方式的认证流程相比，不同之处在于步骤4和5。对于EAP终结方式，当接入设备将客户端发送的用户名信息发送给认证服务器时，会随机生成一个MD5 Challenge并发送给客户端（MD5 Challenge由接入设备生成而非认证服务器生成）。之后接入设备会把用户名、MD5 Challenge和客户端加密后的密码信息一起送给认证服务器，进行相关的认证处理。

六、其他安全技术。

1.IPSG技术。

  IPSG（IP Source Guard，IP源防攻击）功能是基于绑定表（DHCP动态和静态绑定表）对IP报文进行匹配检查。当设备在转发IP报文时，将此IP报文中的源IP、源MAC、端口、VLAN信息和绑定表的信息进行比较，如果信息匹配，表明是合法用户，则允许此报文正常转发，否则认为是攻击报文，并丢弃该IP报文。
（1）应用场景。

• 防止攻击者仿冒其他主机IP地址。可以配置静态的绑定表。
• 限制非法主机访问内网。例如：Host通过Router接入网络，Gateway为企业出口网关，各Host均使用静态配置的IP地址。管理员在Router上做了接口限制，希望Host使用管理员分配的固定IP地址、从固定的接口上线。同时为了安全考虑，不允许外来人员的电脑随意接入内网。
  
• 配置思路：
  • 创建Host_1和Host_2的静态绑定表项。
  • 配置上行口Eth0/0/4为信任接口。
  • 在连接Host的VLAN10上使能IPSG功能。
  • ip source check user-bind enable命令用来使能IP报文检查功能。
  • ip source check user-bind check-item命令用来配置基于VLAN或接口的IP报文检查项，该命令只对动态绑定表生效。

2.URPF。

  URPF（Unicast Reverse Path Forwarding）是单播逆向路径转发的简称，其主要功能是防止基于源IP地址欺骗的网络攻击行为。

（1）原理。

• 严格模式：
  • 严格模式下，设备不仅要求路由表中存在去往报文源IP地址的路由，还要求报文入接口与路由出接口一致。
  • 建议在路由对称的环境下使用严格模式。例如两个网络边界设备之间只有一条路径，此时使用严格模式能够保证网络的安全性。
• 松散模式：
  • 松散模式下，设备仅要求路由表中存在去往报文源IP地址的路由，不要求报文入接口与路由出接口一致。
  • 建议在不能保证路由对称的环境下使用松散模式。例如两个网络边界设备之间有多条路径，路由的对称性无法保证，此时松散模式既可以有效地阻止网络攻击，又可以避免合法报文被错误丢弃。

（2）应用场景。

  拒绝服务DoS（Denial of Service）攻击是一种阻止连接服务的网络攻击。DoS的攻击方式有很多种，最基本的DoS攻击就是利用大量合法或伪造的请求占用过多的服务资源，从而使合法用户无法得到正常服务。
  URPF根据报文的源IP地址查找路由表中是否存在去往该地址的路由，并判断报文入接口与路由出接口是否一致。如果路由表不存在去往该源IP地址的路由或报文入接口与路由出接口不一致，则丢弃该报文，从而预防IP欺骗，特别是针对伪造源IP地址的DoS攻击非常有效。

• 如果AS1中的主机PC A伪造了一个源地址为10.2.2.2的报文，向AS3中的Server发送请求。SwitchC在接收到这个报文后，检查其入接口是否匹配，发现源地址为10.2.2.2的报文应该从Interface2进入，则SwitchC认为该报文源地址是伪造的，直接丢弃该报文。从AS2发向Server的正常报文，检查通过后，被正常转发。
  
• 为了保证可靠性，某公司网络和某个ISP之间有两条连接。这时就不能够保证Enterprise和ISP之间路由的对称性，必须使用URPF松散模式。
  
• 客户与多个ISP连接，很难保证Enterprise和两个ISP之间路由的对称性，必须使用URPF松散模式。客户与多个ISP连接下的URPF可以具有以下应用：
  • 如果用户希望某些特殊报文任何情况都可以通过URPF的检查，可以在利用ACL指定这些特殊的源地址允许通过。
  • 许多用户连接的设备可能只有一条缺省路由指向ISP，此时，需要配置允许匹配缺省路由选项。

（3）配置。

• 接口视图下：urpf { loose | strict } [ allow-default-route ] [ acl acl-number ]
  • Loose URPF将进行松散检查。只要求报文的源地址在路由表或ARP表中存在，不管其相应的出接口和报文的入接口是否一致，都将被转发
  • strict URPF将进行严格检查。报文的源地址要在路由表或ARP表中存在，同时其相应的出接口和报文的入接口要一致，这样才能被转发
  • allow-default-route 允许对缺省路由进行特殊处理
  • acl acl-number 指定ACL的编号，对符合此ACL规则的报文做URPF检查。URPF检查仅支持匹配ACL规则中的源IP和目的IP