2、 TCP SYN的防范。如：
　　A: 通过访问列表防范。
　　Router(Config)# no access-list 106
　　Router(Config)# access-list 106 permit tcp any 192.168.0.0 0.0.0.255 established
　　Router(Config)# access-list 106 deny ip any any
　　Router(Config)# interface eth 0/2
　　Router(Config-if)# description “external Ethernet”
　　Router(Config-if)# ip address 192.168.1.254 255.255.255.0
　　Router(Config-if)# ip access-group 106 in
　　B：通过TCP截取防范。(这会给路由器产生一定负载)
　　Router(Config)# ip tcp intercept list 107
　　Router(Config)# access-list 107 permit tcp any 192.168.0.0 0.0.0.255
　　Router(Config)# access-list 107 deny ip any any
　　Router(Config)# interface eth0
　　Router(Config)# ip access-group 107 in
　　3、 LAND.C 进攻的防范。
　　Router(Config)# access-list 107 deny ip host 192.168.1.254 host 192.168.1.254
　　Router(Config)# access-list 107 permit ip any any
　　Router(Config)# interface eth 0/2
　　Router(Config-if)# ip address 192.168.1.254 255.255.255.0
　　Router(Config-if)# ip access-group 107 in
　　4、 Smurf进攻的防范。
　　Router(Config)# access-list 108 deny ip any host 192.168.1.255
　　Router(Config)# access-list 108 deny ip any host 192.168.1.0
　　Router(Config)# access-list 108 permit ip any any
　　Router(Config-if)# ip access-group 108 in
　　5、 ICMP协议的安全配置。对于进入ICMP流，我们要禁止ICMP协议的ECHO、Redirect、Mask request。也需要禁止TraceRoute命令的探测。对于流出的ICMP流，我们可以允许ECHO、Parameter Problem、Packet too big。还有TraceRoute命令的使用。
　　! outbound ICMP Control
　　Router(Config)# access-list 110 deny icmp any any echo
　　Router(Config)# access-list 110 deny icmp any any redirect
　　Router(Config)# access-list 110 deny icmp any any mask-request
　　Router(Config)# access-list 110 permit icmp any any
　　! Inbound ICMP Control
　　Router(Config)# access-list 111 permit icmp any any echo
　　Router(Config)# access-list 111 permit icmp any any Parameter-problem
　　Router(Config)# access-list 111 permit icmp any any packet-too-big
　　Router(Config)# access-list 111 permit icmp any any source-quench
　　Router(Config)# access-list 111 deny icmp any any
　　! Outbound TraceRoute Control
　　Router(Config)# access-list 112 deny udp any any range 33400 34400
　　! Inbound TraceRoute Control
　　Router(Config)# access-list 112 permit udp any any range 33400 34400
　　6、 DDoS(Distributed Denial of Service)的防范。
　　! The TRINOO DDoS system
　　Router(Config)# access-list 113 deny tcp any any eq 27665
　　Router(Config)# access-list 113 deny udp any any eq 31335
　　Router(Config)# access-list 113 deny udp any any eq 27444
　　! The Stacheldtraht DDoS system
　　Router(Config)# access-list 113 deny tcp any any eq 16660
　　Router(Config)# access-list 113 deny tcp any any eq 65000
　　! The TrinityV3 System
　　Router(Config)# access-list 113 deny tcp any any eq 33270
　　Router(Config)# access-list 113 deny tcp any any eq 39168
　　! The SubSeven DDoS system and some Variants
　　Router(Config)# access-list 113 deny tcp any any range 6711 6712
　　Router(Config)# access-list 113 deny tcp any any eq 6776
　　Router(Config)# access-list 113 deny tcp any any eq 6669
　　Router(Config)# access-list 113 deny tcp any any eq 2222
　　Router(Config)# access-list 113 deny tcp any any eq 7000
　　Router(Config)# access-list 113 permit ip any any
　　Router(Config-if)# ip access-group 113 in
　　7、 Sql蠕虫的防范
　　Router(Config)# access-list 114 deny udp any any eq 1434
　　Router(Config)# access-list 114 permit ip any any
　　Router(Config-if)# ip access-group 114 in
　　8、 减少BGP的收敛时间，保证黑客攻击后网络能尽快恢复。
　　建议增加如下配置：(需在所有运行BGP的路由器上增加)
　　1、在每个BGP互连的接口上，增加hold-queue 1500命令，将接口的hold-queue由默认的75增加到1500。在做此配置之前需要先检查板卡的内存，确保其free memory至少为20M。
　　2、增加以下有关TCP的配置，增强BGP的收敛性能。
　　ip tcp selective-ack
　　ip tcp mss 1460
　　ip tcp window-size 65535
　　ip tcp queuemax 50
　　ip tcp path-mtu-discovery
　　3、在GSR上，增加ip cef linecard ipc memory 10000命令，提高download FIB的速度。
　　9、 启用CAR和系统日志等来增强（略）
　　其他注意事项：
　　1,及时的升级IOS软件，并且要迅速的为IOS安装补丁。
　　2,要严格认真的为IOS作安全备份。
　　3,要为路由器的配置文件作安全备份。
　　4,购买UPS设备，或者至少要有冗余电源。
　　5,要有完备的路由器的安全访问和维护记录日志。