IT运维与网络安全指南.docx

IT运维与网络安全指南

第1章基础设施与网络架构安全

1.1核心网络设备加固与配置审计

需对核心交换机（如CiscoCatalyst系列或华为Core系列）进行全链路配置审计，重点检查VLAN划分策略、STP树协议（STP）的根桥选举是否合理，防止单点故障导致全网瘫痪。必须强制关闭所有未使用的端口（PortChannel）和冗余链路的备用接口，并将端口安全模式从“允许MAC地址”升级为“仅允许特定MAC地址”，同时启用“端口安全”（Port-Security）功能并限制最大接入端口数为3。

接着，对路由器（如CiscoIOS）执行配置审计，确保所有