金融行业科技部程序员系统运维维护手册.docxVIP

金融行业科技部程序员系统运维维护手册

第1章系统架构与基础设施

1.1网络拓扑与接入管理

核心交换机需部署为双活冗余模式，通过10GE光模块直连核心层设备，确保单链路故障时全网业务零中断，配置VLAN划分策略，将金融交易区、客户交互区逻辑隔离，防止外部攻击通过非法VLAN内网渗透。接入层端口采用网闸（DMZ）隔离技术，所有互联网出口流量必须经过物理网闸单向传输，禁止直接访问核心数据库，并配置基于MAC地址和IP地址的源地址过滤策略，阻断非授权IP访问。

内部网络采用双路由备份机制，主路由指向核心交换机，备用路由指向同城异地机房的主备交换机，通过BGP协议动态学习路径，确保在核心设备宕机时毫秒级切换至备用链路。终端接入区部署专用无线AP集群，每个AP独立配置SSID并启用WPA3加密协议，禁止使用WEP或WPA2-PSK弱加密模式，同时部署802.1x认证系统，强制用户刷卡或扫码登录，杜绝未授权终端接入。网络访问控制列表（ACL）需精细到字节级，对端口443和80开放HTTP/服务，同时严格限制SSH端口（22）仅允许特定管理IP访问，并配置ICMP探测响应时间阈值，防止因虚假扫描导致误判。

定期执行网络连通性测试脚本，验证从边缘网关到核心数据库的端到端延迟不超过20ms，丢包率低于