网络安全防护与威胁分析手册（执行版）.docx

网络安全防护与威胁分析手册（执行版）

第1章网络架构安全与边界防御

1.1核心网络设备配置加固

在核心交换机上启用基于树协议（STP）的根桥选举机制，将交换机IP地址设置为全网唯一的虚拟IP（VIP），并开启BPDUGuard功能以防范非法设备接入导致的路由环路风险。配置端口安全（PortSecurity）限制，设定最大端口数为4个，并绑定特定的MAC地址表项，同时启用ViolationMode为shutdown，确保非法端口接入即自动切断链路。

在非管理平面端口开启802.1X认证，强制要求终端设备提供EAP-TLS证书进行身份验证，仅允许