网络安全测试与评估手册.docxVIP

网络安全测试与评估手册

第1章网络基础架构与安全策略

1.1网络拓扑结构与通信协议

在构建安全网络时，必须首先明确物理与逻辑拓扑结构，例如采用星型拓扑（StarTopology）作为核心交换机与终端设备的互联方式，确保所有数据流量汇聚于中心节点，便于集中监控与故障定位。通信协议的选择需严格遵循OSI七层模型，具体配置为：应用层使用(TLS1.3)加密通道以保障数据传输的机密性，传输层采用TCP协议并开启SYN包检测以防止中间人攻击。

网络架构设计应包含冗余链路，例如部署双活数据中心架构，当主链路中断时，通过BGP路由重定向技术将业务流量无缝切换至备用链路，确保网络可用性达到99.99%。必须配置VLAN（虚拟局域网）隔离策略，将办公网、访客网及IoT设备网划分为不同逻辑域，并实施基于MAC地址的端口访问控制列表（ACL），防止跨域非法流量渗透。在物理布线层面，需遵循“零信任”原则，确保所有网线两端均连接认证设备，并定期使用光纤替代铜缆以减少电磁干扰和信号窃听风险。

关键设备（如核心交换机、防火墙）应部署工业级电源模块，并配置UPS不间断电源，确保在15秒断电情况下业务系统仍能持续运行，数据不丢失。

1.2网络边界防护与准入控制

网络边界必须部署下一代防火墙（NGFW），配置基于深度包检测（DPI）的访问控制策略，