IT系统运维与网络安全手册（执行版）.docxVIP

IT系统运维与网络安全手册（执行版）

第1章

基础设施安全与访问控制

1.1核心网络设备安全配置指南

在配置交换机端口安全时，需将端口安全模式设置为“限制”，并限制每个端口最多允许接入2个MAC地址，同时启用“不学习MAC地址”功能以防止未知设备接入。针对核心交换机，必须开启“防伪造ARP功能以阻断ARP欺骗攻击，并配置静态ARP表项，将特定IP地址与对应的MAC地址进行绑定，确保路由转发路径的稳定性。

对路由器接口进行安全加固时，应关闭默认的IP地址自动分配功能，手动配置静态IP，并设置接口安全访问控制列表（ACL），仅允许管理VLAN的特定IP段通过。启用端口安全后，系统会自动丢弃不符合MAC地址数量限制或MAC地址漂移异常的流量包，并在日志中记录违规尝试，帮助管理员及时排查非法接入行为。配置DHCP安全服务时，应关闭“自动提供IP地址”功能，强制客户端在获取IP地址前必须通过DHCP服务器进行身份验证，防止IP地址被恶意抢占。

定期执行端口安全策略的“验证”命令，检查当前端口实际接入的设备数量是否超过设定的限制，若超过则立即切断端口并通知运维人员处理非法设备。

1.2物理终端与服务器访问策略

在物理服务器端部署防火墙时，应配置基于IP地址的访问控制列表（ACL），仅允许来自内部办