十、防止包嗅探，黑客经常将嗅探软件安装在已经侵入的网络上的计算机内，监视网络数据流，从而盗窃密码,包括SNMP 通信密码，也包括路由器的登录和特权密码，这样网络管理员难以保证网络的安全性。

　　在不可信任的网络上不要用非加密协议登录路由器。如果路由器支持加密协议，请使用SSH 或 Kerberized Telnet，或使用IPSec加密路由器所有的管理流。

　　十一、使用RP反相路径转发，由于攻击者地址是违法的，所以攻击包被丢弃，从而达到抵御spoofing 攻击的目的。RPF反相路径转发的配置命令为: ip verify unicast rpf。 注意: 首先要支持 CEF(Cisco Express Forwarding) 快速转发。

　　十二、目前，一些路由器的软件平台可以开启TCP 拦截功能，防止SYN 攻击，工作模式分拦截和监视两种，默认情况是拦截模式。

　　(拦截模式: 路由器响应到达的SYN请求，并且代替服务器发送一个SYN-ACK报文，然后等待客户机ACK。如果收到ACK，再将原来的SYN报文发送到服务器;

　　监视模式：路由器允许SYN请求直接到达服务器，如果这个会话在30秒内没有建立起来，路由器就会发送一个RST,以清除这个连接。)

　　首先，配置访问列表，以备开启需要保护的IP地址: access list [1-199] [deny|permit] tcp any destination destination-wildcard 然后，开启TCP拦截： Ip tcp intercept mode intercept Ip tcp intercept list access list-number Ip tcp intercept mode watch

　　利用访问列表仅仅允许来自特定工作站的SNMP访问通过这一功能可以来提升SNMP服务的安全性能，配置命令： snmp-server community xxxxx RW xx ;xx是访问控制列表号 SNMP Version 2使用MD5数字身份鉴别方式。

　　不同的路由器设备配置不同的数字签名密码，这是提高整体安全性能的有效手段。