2025年网络安全防护与态势感知手册.docxVIP

2025年网络安全防护与态势感知手册

第1章网络基础设施安全加固

1.1核心网络设备配置加固

在核心交换机上启用基于VLAN的三层路由策略，并配置静态路由表项指向核心网段，同时开启BGP邻居认证机制（MD5或ECMP），确保路由交换的不可篡改性。对核心交换机端口实施访问控制列表（ACL）精细化控制，仅允许特定管理IP地址段和业务端口进入，关闭所有未授权的二进制端口（如Telnet、FTP），并将SSH版本强制升级至SSH-2.0协议。

配置核心交换机日志记录功能（Syslog转发至安全审计服务器），设定日志级别为INFO及以上，并启用“日志过滤