网络安全技术与管理手册（执行版）.docxVIP

网络安全技术与管理手册（执行版）

网络安全技术与管理手册（执行版）

第1章网络架构安全规范

1.1核心网络设备安全配置

所有核心交换机与路由器必须启用双活或主备冗余机制，配置HSRPv3或VRRP协议，确保网关故障时业务不中断，且备份设备IP地址需与主设备保持30秒以上的漂移时间，防止地址冲突。核心设备端口必须强制开启802.1X认证，部署RADIUS服务器，并配置EAP-TLS或PEAP-MSCHAPv2协议，禁止使用简单的PAP或CHAP凭证传输，确保只有经过身份验证的用户才能接入二层网络。

核心设备需实施基于MAC地址的ACL策略，仅允许经过认证的合法终端MAC地址访问管理平面，同时配置防重入攻击（DoS）机制，如开启TCP重传超时时间并限制单个会话的包速率，防止恶意流量耗尽CPU资源。核心设备管理平面必须关闭Telnet服务，强制启用SSHv2协议，并配置基于密钥的认证（Key-basedAuthentication），禁止使用明文密码，同时限制SSH服务仅开放22端口，禁止开放23端口。核心设备需配置日志审计功能，开启“敏感操作审计”模式，记录所有特权级（PrivilegedAccess）命令执行记录，包括登录时间、IP地址、操作命令及结果，日志保存周期不少于7