IT运维与网络安全指南.docxVIP

IT运维与网络安全指南

第1章基础设施安全加固

1.1网络边界防御策略

部署下一代防火墙（NGFW）时，必须启用基于应用层的深度检测（DLP）功能，并配置“默认拒绝”策略，仅允许白名单中的业务端口（如80,443,22）通过，严禁任何未知服务端口穿透内网。在边界路由器或交换机上开启防欺骗（Anti-Spoofing）和防重定向（Anti-Replay）功能，针对广域网WAN链路，配置静态MAC地址绑定表，确保进入核心网段的数据包来源MAC地址与注册表一致。

实施严格的访问控制列表（ACL）隔离，将核心业务区与办公区、财务区完全隔离，仅在需要跨区访问时临时开放特定IP段，并启用“超时即断网”机制，防止僵尸主机通过ARP欺骗获取网关IP。配置IDS/IPS探针，在边界网关处部署Web应用防火墙（WAF），对HTTP/流量进行实时清洗，自动拦截SQL注入、XSS跨站脚本及常见的恶意载荷特征码。建立高频次的边界日志审计机制，保留所有进出核心网段的流量日志至少180天，利用SIEM系统关联分析，一旦发现非工作时间的大流量或异常DNS查询，立即触发阻断告警。

定期执行边界设备漏洞扫描，强制要求每季度进行一次第三方渗透测试，重点检查防火墙规则是否存在默认开放端口、弱口令配置以及日志记录是否被禁用，确保防御体系处于“零信任”