安防行业网络部网安员网络安全防护手册（执行版）.docxVIP

安防行业网络部网安员网络安全防护手册（执行版）

第1章网络架构安全

1.1网络拓扑设计与边界防护

在规划物理网络拓扑时，必须遵循“边界即防线”的原则，首先部署高防防火墙（WAF）作为网络的第一道物理屏障，其入口流量需经过严格的身份认证与内容过滤，确保所有外部接入流量在进入核心区域前即被拦截或清洗。核心交换机作为数据交换的枢纽，必须配置“端口安全”与“MAC地址绑定”功能，通过限制单端口最大接入设备数量及绑定特定MAC地址，防止非法设备插入导致网络震荡或数据泄露，同时启用“防攻击端口”（DoSProtection）防止单端口被刷流。

在边界防护层面，需部署下一代防火墙（NG