互联网安全技术与防范手册（执行版）.docxVIP

互联网安全技术与防范手册（执行版）

第1章网络基础设施安全与物理防护

1.1核心网络设备配置加固

在交换机端口层面，必须实施基于MAC地址的MAC地址过滤功能，并配置“端口安全”特性，将每个端口绑定的MAC地址数量限制为3个，同时启用802.1X认证协议，确保只有经过身份验证的用户设备才能接入网络，防止未授权终端通过广播风暴攻击。针对无线接入点（AP），需开启WPA3加密标准，并将WPA2-PSK密钥强度限制为WPA2-CCMP，禁止使用WEP或TKIP等弱加密算法，同时配置802.11n或802.11ac的高速率模式，确保设备在5GHz频段下传输速率不低于2.5Gbps，以抵御高速扫描与嗅探攻击。

服务器层面应部署堡垒机进行统一运维管理，配置双因素认证（如USBKey或动态令牌），并开启端口转发功能，将管理控制台端口映射至内网安全区域，禁止通过公网直接访问服务器管理界面，杜绝远程暴力破解风险。在防火墙策略中，严格遵循“最小权限原则”，仅开放业务必需的IP段，并启用防扫描（Anti-Spoofing）与防重放（Anti-Replay）机制，对异常流量进行实时阻断，同时配置日志审计功能，保留所有安全事件的详细记录不少于6个月，便于溯源分析。对于存储设备，必须开启“磁盘加密”功能，将加密密钥与磁盘物理介质分离存储，并配置数据完整性校