uRPF應用的一個簡單實例如圖所示。在Router A上偽造一個源地址為3.3.3.3/8的報文，向Router B發起請求，Router B響應請求時將向真正的“3.3.3.3/8”設備（Router C）發送報文。這種非法報文同時對Router B和Router C都造成了攻擊。

uRPF可以應用在上述環境中，在Router B的接口上啟用URPF功能，即可以阻止基于源地址欺騙的攻擊行為。

在本例中，源地址使用一些保留的非全局的IP地址，因此不可達。其實即使是一個合法的IP地址，只要是不可達的也可以用來發起攻擊。

另一種情況是攻擊者還可以偽造一個源地址，該地址是另一個合法網絡的地址并且在全局路由表中存在。例如，攻擊者偽造一個源地址使得被攻擊者認為攻擊來自于偽造的源地址，但實際上該源地址是完全無辜的，并且有時候網絡管理員會因此而關閉所有來自源地址的數據流，這樣正好使得攻擊者的拒絕服務攻擊成功實現。

更復雜的情形是TCP SYN洪泛攻擊將使得SYN-ACK數據包發送到完全與攻擊無關的許多主機，而這些主機就成了犧牲者。這使得攻擊者可以同時去欺騙一個或者多個系統。

uRPF對報文源地址的合法性檢查主要有兩種：嚴格型（strict）和松散型（loose）。另外還支持忽略缺省路由的uRPF檢查以及配置了ACL規則的uRPF檢查。

• 在接口上設置嚴格模式的uRPF：路由器對從該接口進入的數據包源地址進行查詢，如果報文的源地址在路由表中存在（為正常的源地址路由或者缺省路由），并且報文的入接口等于路由的出接口，則認為該報文合法，否則丟棄該報文。

• 在接口上設置松散模式的uRPF：路由器僅檢查報文的源地址是否在路由表中存在（正常的源地址路由或者缺省路由），而不再檢查報文的入接口與路由表是否匹配。這使得uRPF既可以有效地阻止網絡攻擊，又可以避免錯誤的攔截合法用戶的報文。

• 當路由器上配置了缺省路由后，會導致uRPF根據路由表檢查源地址路由時，對查不到源地址路由的報文自動檢查到缺省路由。針對這種情況，用戶可以配置uRPF忽略缺省路由的檢查。

通過ACL規則的引入，uRPF給用戶提供了一種更加靈活的定制方案。配置了ACL后，在uRPF檢查失敗的情況下，路由器按照ACL規則permit或者deny報文進行操作。

通常情況下，網絡中的路由器接收到報文后，獲取報文的目的地址，針對目的地址查找路由，如果查找到則進行正常的轉發，否則丟棄該報文。由此得知，路由器轉發報文時，并不關心數據包的源地址，這就給源地址欺騙攻擊有了可乘之機。

源地址欺騙攻擊就是入侵者通過構造一系列帶有偽造源地址的報文，頻繁訪問目的地址所在設備或者主機，即使受害主機或網絡的回應報文不能返回到入侵者，也會對被攻擊對象造成一定程度的破壞。

URPF通過檢查數據包中源IP地址，并根據接收到數據包的接口和路由表中是否存在源地址路由信息條目，來確定流量是否真實有效，并選擇數據包是轉發或丟棄。

通信網絡中，諸如DoS攻擊、TCP SYN洪泛攻擊、UDP洪泛攻擊和ICMP洪泛攻擊等，都可能通過借助源地址欺騙的方式攻擊目標設備或者主機，造成被攻擊者系統性能嚴重的降低，甚至導致系統崩潰。uRPF技術就是網絡設備為了防范此類攻擊而使用的一種常用技術。

逆向轉發嚴格模式

在嚴格模式下，每個傳入數據包都根據FIB進行測試，如果“傳入”接口不是最佳反向路徑，則數據包檢查失敗。默認情況下，失敗的數據包被丟棄。

Cisco設備上的示例命令：ip verify unicast source reachable-via {rx} - 嚴格模式, {any}- 寬松模式

逆向轉發可能模式

在可能模式中，FIB維護到給定IP地址的備用路由。如果“傳入”接口與任何與該IP地址相關聯的路由匹配，則該分組被轉發。否則，數據包被丟棄。

逆向轉發寬松模式

在寬松模式，每個進入的單播數據包的來源地址同樣會被檢查。如果來源地址是無經由該接口的路徑到達，檢查將失敗。

標準/認證 支持ACL安全過濾機制, 可提供基于用戶, 地址, 應用以及端口級的安全控制功能, 并支持MPLS VPN特性

支持基于端口不同優先級對列的和基于流的入口和出口帶寬限制, uRPF, 防DDOS攻擊, SSH2.0安全管理, 802.1x接入認證及透傳

機身重量 < 25