网络安全与信息安全防护手册（执行版）.docxVIP

网络安全与信息安全防护手册（执行版）

第1章网络基础架构与访问控制

1.1核心网络设备配置与管理

在交换机核心端口启用树协议（STP）并配置Rapid-PVST模式，将二层环路风险降至最低，确保单点故障时网络仍可用。配置IP地址为/24，设置MTU为1500字节，并开启DHCPSnooping以验证DHCP消息的合法性，防止欺骗攻击。

将VLAN1的默认网关指向下一跳路由器接口IP，并配置静态NAT映射，确保内网/24网段可访问外网。在路由器接口开启ACL过滤，仅允许SSH（22端口）和HTTP/（80/443端口）通过，阻断Telnet及FTP等明文传输服务。为关键服务器接口配置DHCP中继（DHCPRelay），将内网DHCP服务器地址池/24正确转发至网关。

定期使用`showipinterfacebrief`和`showrunning-config`命令检查配置漂移，确保所有变更已持久化保存。

1.2网络边界防护策略部署

在路由器WAN口配置静态路由，将外部网络路由条目指向本地防火墙策略，确保外部流量进入内网时经过严格过滤。部署下一代防火墙（NGFW）并配置IPS引擎，开启应用识别功能，自动拦截已知恶意软件特征包和异常流量模式。

针对HTTP