网络信息安全防护指南（执行版）.docxVIP

网络信息安全防护指南（执行版）

第1章网络信息安全防护指南（执行版）

1.1操作系统核心配置优化

在Linux系统中，首先执行`sudosysctl-wnet.ipv4.conf.all.rp_filter=1`命令开启内核的RPF（反向路径过滤）功能，该功能能自动丢弃来自非本机可信源的反向路由数据包，有效防止重放攻击和DNS欺骗。配置`sudosysctl-wnet.ipv4.conf.all.accept_redirects=0`关闭IP地址重定向功能，防止攻击者通过重定向漏洞将流量导向恶意服务器，同时配合`sudosysctl-wnet.ipv4.conf.all.rp_filter=1`形成双重防护。

设置`sudosysctl-wnet.ipv4.conf.all.rp_ignore=1`启用反向路径忽略机制，当检测到非预期的反向路由时直接丢弃，而非直接拒绝，这为后续配置RPF提供了更灵活的容错空间。修改`sudosysctl-wnet.ipv4.conf.all.accept_source_route=0`关闭源路由过滤，避免因源路由配置不当导致数据包被错误地丢弃，从而确保网络连接的稳定性。配置`sudosysctl-wnet.ipv4.conf.all.bogon_filte