互联网安全防护与攻击防御手册（执行版）.docxVIP

互联网安全防护与攻击防御手册（执行版）

第1章

网络基础架构与边界防护

1.1核心网络设备配置与策略管理

在核心交换机上部署基于MAC地址的VLAN隔离策略，将内网办公区、研发测试区及访客网络划分为逻辑隔离的独立广播域，确保不同业务流量无法相互干扰。配置基于IP地址前缀的ACL（访问控制列表）进行精细化流量过滤，仅允许特定网段（如/8）访问核心交换机管理接口IP（如），并禁止源地址为/24的流量进入核心层。

启用基于端口的安全策略（SecurityPolicy），规定来自外部互联网（/0）仅能访问核心层特定业务端口（如80和443），并阻断所有其他非授权端口连接，防止端口扫描攻击。配置动态ARP检测（D）功能，在核心交换机上开启ARP欺骗防护，当检测到非法ARP响应时，立即丢弃该包并记录日志，阻断基于ARP的MAC地址欺骗攻击。设置基于业务流的QoS（服务质量）策略，根据业务优先级（如VoIP流量标记为高优先级，视频流标记为中优先级）分配带宽资源，确保关键业务不卡顿。

定期导出并分析核心设备的安全日志，检查是否存在异常的数据包转发行为，确保策略配置符合最新的安全基线，并每季度进行一次策略复审。

1.2边界防火墙深度防御机制

部署下一代防火墙（NGFW）时，务必开启应用识别（App-ID）功能，不仅匹配