如图，路由器是否受到攻击，如何防御？

·     开启指定攻击类型报文的IDS防范（选中您需要防范的攻击类型，单击<应用>按钮生效）

·     选择基于哪个表项（静态路由表、静态ARP表、动态ARP表）来对报文进行源认证（选中相应的功能项，单击<应用>按钮生效）

启用基于静态路由的报文源认证功能

开启该功能后，路由器将根据静态路由表对所有报文的源IP地址进行检查。如果静态路由表中存在到该源IP地址的表项，则转发该报文；否则丢弃该报文

比如：路由器LAN口下挂的设备接口地址为192.168.1.5/24，内网为192.200.200.0/24网段。同时，您设置静态路由目的地址为192.200.200.0/24，下一跳为192.168.1.5，出接口为LAN口。此时，路由器允许从192.200.200.0/24网段转发过来的报文通过

启用基于ARP绑定、DHCP分配ARP防护下的报文源认证功能

开启该功能后，路由器将根据静态ARP表的绑定关系及DHCP分配列表中的对应关系，来认证内网的报文。如果报文的源IP地址/MAC地址与静态ARP表中的IP地址/MAC地址对应关系存在冲突，则路由器将其直接丢弃

比如：您设置了一条ARP静态绑定项（将源IP地址：192.168.1.100与源MAC地址：08:00:12:00:00:01绑定）。当路由器LAN侧收到一个报文，其源IP地址为192.168.1.100，但源MAC地址为08:00:12:00:00:02，路由器会将该报文丢弃

启用基于动态ARP的报文源认证功能

开启该功能，路由器将会根据动态ARP表的对应关系，来认证内网的报文。如果报文的源IP地址/MAC地址与已确认合法的动态ARP表的IP地址/MAC地址对应关系存在冲突，则路由器将其直接丢弃

比如：路由器动态学习到一条ARP表项（源IP地址：192.168.1.100，源MAC地址：08:00:12:00:00:01），当路由器LAN侧在该ARP表项老化之前收到一个报文，其源IP地址为192.168.1.100，但源MAC地址为08:00:12:00:00:02，路由器会将该报文丢弃

·     选择防护等级来对异常主机流量进行防护（选中“启用异常主机流量防护功能”复选框，并设置异常流量阈值和选择相应的防护等级，单击<应用>按钮生效）

启用异常主机流量防护功能

通过该选项，您可以开启或关闭异常主机流量防护功能。下挂路由器的流量不在异常流量防护功能处理范围之内

高

启用该项，防护等级最高，设备会进行异常主机流量检查，并且自动把检查到的攻击主机添加到攻击列表中，在指定的生效时间范围内，禁止其访问本设备和Internet，以尽量减少这台异常主机对网络造成的影响

中

启用该项，防护等级居中，设备会把内网主机上行流量分别限制在异常流量阈值范围内，超过阈值的流量将被设备所丢弃

低

启用该项，防护等级低，设备仅对超过异常流量阈值的事件记入日志，仍然允许对应的主机访问设备和Internet

MAC地址

被加入攻击列表主机的AMC地址

对应主机

被加入攻击列表主机可能对应的IP地址

剩余时间

该主机将被阻断时间的倒计时