网络安全防护与漏洞扫描手册（执行版）.docxVIP

网络安全防护与漏洞扫描手册（执行版）

网络安全防护与漏洞扫描手册（执行版）

第一章网络基础架构与资产盘点

1.1网络拓扑图绘制与访问控制

本节目标：构建可视化的网络蓝图，明确设备位置关系，并基于此建立严格的边界访问控制策略，确保数据流向可追溯、可审计。

绘制核心交换机连接矩阵：首先需收集所有核心交换机、汇聚交换机及接入层交换机的MAC地址、IP地址及连接端口信息，使用专业绘图工具（如Visio或CiscoPacketTracer）绘制拓扑图。图中必须清晰标注VLANID、物理链路类型（直连或三层互联）、设备型号及固件版本，确保拓扑图准确反映当前网络架构，为后续安全策略落地提供空间依据。定义VLAN间默认隔离策略：基于拓扑图，严格执行VLAN间默认隔离原则，禁止不同VLAN之间的直连链路。具体配置中，需为每个VLAN设置独立的广播域，并在交换机上配置“禁止VLAN间路由”（NoSwitchportTrunkingAllowUntrustedInterfaces）命令，确保无法通过二层链路进行跨网段通信，除非经过三层网关转发。

配置三层网关安全策略：在核心交换机上配置三层网关（Layer3Gateway），并启用严格的安全策略。具体示例为：在入方向（Inbound）接口应用访问控制列表（ACL），仅允许特定源IP