2025年互联网安全技能与职业发展手册_1.docxVIP

2025年互联网安全技能与职业发展手册

第1章网络基础设施与基础防御

1.1网络拓扑设计原则与物理连接规范

在设计核心网络时，必须遵循“单点故障隔离”原则，将核心交换机与接入层交换机通过冗余链路（如双链路或光纤环网）连接，确保单条链路中断不影响业务连续性。物理连接需严格区分核心网段（VLAN100-200）与接入网段（VLAN201-300），通过三层交换机进行逻辑隔离，防止内网违规访问外网。

所有接入端口必须启用“端口安全”功能，限制每个端口最大接入MAC地址数量（默认2-3个），并绑定静态ARP地址表，杜绝MAC地址欺骗攻击。核心路由器的路由表应通过静态配置或NTP同步机制定期校验，避免因配置漂移导致路由环路或流量黑洞。建立“零信任”接入原则，即“永不信任，始终验证”，所有外部设备接入前必须经过身份认证及最小权限原则的权限审查。

定期执行物理层资产盘点，对废弃服务器、闲置端口进行物理拆除或封禁，防止“钓鱼线缆”攻击或物理入侵。

1.2核心交换机端口安全与VLAN划分策略

在交换机配置中，需为每个端口定义“安全描述符”，明确允许通过的IP地址段、端口允许访问的端口列表及VLANID。利用“端口安全”命令限制单端口最大MAC地址数，并启用Port-in限制”以阻断非法MAC地址的ARP请求，防止ARP欺