信息技术管理与网络安全手册（执行版）.docxVIP

信息技术管理与网络安全手册（执行版）

第1章信息技术基础设施规划与建设

1.1网络架构设计与拓扑规划

在进行网络架构设计时，必须首先明确业务需求与合规要求，例如为一家金融科技公司设计高可用架构，需确保核心交易系统与客服系统采用双活或三活部署模式，并预留至少50%的带宽冗余以应对突发流量冲击，防止单点故障导致业务中断。拓扑规划需严格遵循“核心-汇聚-接入”的三层架构逻辑，核心层负责跨地域数据交换，汇聚层负责汇聚各接入层流量，接入层直接连接终端用户；具体实例中，可将核心交换机部署在数据中心机房，通过光纤汇聚至汇聚交换机，再通过1000M以太网接入到各楼层的无线AP，形成覆盖范围达20层楼且无死角的路网。

在设计拓扑时，必须引入VLAN（虚拟局域网）技术以实现逻辑隔离，例如将办公网、访客网和VoIP语音网划分到不同的VLAN中，通过三层交换机进行互联，确保办公网与访客网在物理上隔离但逻辑互通，有效防止内部人员违规访问外部网络。网络边界防护是拓扑规划的关键环节，需在外网与内网之间部署下一代防火墙（NGFW），设定严格的访问控制列表（ACL），例如仅允许特定IP段（如/24）访问内网数据库端口，禁止外部直接访问服务器管理端口，从而阻断潜在的攻击路径。链路冗余设计需采用“双链路、多路径”策略，例如在核心链路中同时铺设双光纤线路，并在每根光