互联网安全技术与风险管理手册.docxVIP

互联网安全技术与风险管理手册

第1章网络安全基础架构与威胁监测

1.1网络拓扑分析与安全边界划分

在构建安全架构时，首先需绘制一张包含物理设备、虚拟网络及云资源的完整拓扑图，明确各节点间的连接关系。例如，在企业网络中，核心交换机应位于中心位置，连接所有接入层交换机，而路由器则作为网关位于边界，分别连接互联网和内部VLAN。安全边界划分必须基于“最小权限原则”，将网络划分为内网、外网及DMZ（外部中间区）三个独立区域，确保攻击者在突破外网后无法直接访问内网核心数据。

划分边界时需明确子网掩码和路由策略，例如将办公网网段设为/24，将服务器网段设为/24，并配置三层交换机进行路由转发。在边界划分过程中，必须识别并标记所有物理端口，例如将连接互联网的光纤端口标记为“外网口”，将连接内部数据库的端口标记为“内网口”，并记录对应的MAC地址。对于无线接入点（AP）部署，需将其位置靠近办公区，避免靠近电梯或出入口等潜在攻击源，并配置为只允许特定SSID的访客网络接入。

最后需进行边界验证测试，通过模拟黑客攻击工具检测防火墙规则是否生效，确认内网段未被意外暴露，并记录测试通过的日志。

1.2入侵检测系统（IDS）与防火墙部署策略

部署IDS前，需先定义检测规则，例如针对端口扫描行为设定规则：当检测到TCP135/137/139端口在短时间内频繁连接时，触发警报。