网络安全与维护手册.docxVIP

网络安全与维护手册

第1章网络基础架构与安全策略

1.1网络拓扑结构与设备管理

网络拓扑图是网络设计的“蓝图”，必须清晰展示从核心交换机到终端设备的物理连接与逻辑层级。在部署初期，需根据业务需求绘制出包含VLAN划分、路由器的三层链路及无线接入点的完整拓扑，确保关键业务网段（如金融交易区）与办公网段物理隔离，避免跨VLAN的非法流量直连。设备管理遵循“最小权限原则”，所有网络设备（如路由器、防火墙、无线控制器）必须安装统一的网管软件，并配置唯一的SNMP管理IP和OID标识。管理员需定期通过SSH协议登录设备，执行版本升级、补丁安装及配置备份操作，确保设备固件版本不低于行业标准（如CiscoIOS15.0+或华为VRP8.0+）。

网络接口卡（NIC）的MAC地址必须与设备绑定表（CAM表）中的记录保持同步，任何MAC地址的变更都应立即触发系统告警并记录日志，防止设备被替换或克隆。在配置中，需将核心交换机与防火墙的MAC地址绑定策略设置为“动态学习+静态绑定”，确保流量源头的可信度。设备端口安全功能需配置为“端口安全”模式，限制单端口接入的VLAN数量及最大端口数。例如，在接入层交换机上配置：`switchportport-securitymaximum2`,`switchportport-secu