Cisco路由器防止分布式拒绝服务攻击?

以下是ISP端边界路由器的访问控制列表（ACL）例子：
　　access-list 190 permit ip {客户端网络} {客户端网络掩码} any 　　access-list 190 deny ip any any [log]
　　interface {内部网络接口} {网络接口号}
　　ip access-group 190 in
　　　　以下是客户端边界路由器的ACL例子：
　　access-list 187 deny ip {客户端网络} {客户端网络掩码} any
　　access-list 187 permit ip any any
　　access-list 188 permit ip {客户端网络} {客户端网络掩码} any
　　access-list 188 deny ip any any
　　interface {外部网络接口} {网络接口号}
　　ip access-group 187 in
　　ip access-group 188 out
　　如果打开了CEF功能，通过使用单一地址反向路径转发（Unicast RPF），能够充分地缩短访问控制列表（ACL）的长度以提高路由器性能。为了支持Unicast RPF，只需在路由器完全打开CEF；打开这个功能的网络接口并不需要是CEF交换接口。
　　　　4、使用CAR（Control Access Rate）限制ICMP数据包流量速率
　　　　参考以下例子：
　　interface xy
　　rate-limit output access-group 2020 3000000 512000 786000 conform-action
　　transmit exceed-action drop
　　access-list 2020 permit icmp any any echo-reply
　　　　5、设置SYN数据包流量速率
　　　　Interface {int}
　　rate-limit output access-group 153 45000000 100000 100000 conform-action
　　transmit exceed-action drop
　　rate-limit output access-group 152 1000000 100000 100000 conform-action
　　transmit exceed-action drop
　　access-list 152 permit tcp any host eq www
　　access-list 153 permit tcp any host eq www established
　　　　在实现应用中需要进行必要的修改，替换：
　　45000000为最大连接带宽
　　1000000为SYN flood流量速率的30%到50%之间的数值。