网络安全与数据分析手册（执行版）.docxVIP

网络安全与数据分析手册（执行版）

第1章网络安全基础架构与风险评估

1.1网络拓扑结构与安全边界定义

网络拓扑结构是网络安全设计的物理骨架，它定义了数据流的路径和设备的连接关系。在构建企业级网络时，通常采用分层架构，将核心层（CoreLayer）、汇聚层（AggregationLayer）和接入层（AccessLayer）进行逻辑隔离。核心层负责高速数据传输，汇聚层负责流量聚合与路由策略，接入层则直接连接终端设备，通过VLAN技术将办公网、访客网和IoT设备网在逻辑上完全割裂。安全边界定义是隔离内网与外网的最后一道防线，必须严格遵循最小权限原则。例如，在部署防火墙时，应将DMZ区（外部中间区）置于内网与互联网之间，确保外部攻击者无法直接访问核心业务系统。所有进出网络的流量都必须经过边界防火墙的严格过滤，利用ACL（访问控制列表）规则精确匹配源IP、目的IP及端口号，禁止未知源访问敏感端口，从而在物理和逻辑上构建起不可逾越的屏障。

物理边界与逻辑边界需同步加固，防止内部攻击横向移动。物理边界包括部署在机房外部的周界报警系统、门禁控制系统以及网络出口处的物理隔离墙，任何试图绕过物理封锁的行为都会被立即阻断。逻辑边界则体现在对服务器、数据库及核心交换机的访问控制上，通过部署下一代防火墙（NGFW）并配置严格的IP白名单策略，确保只有授权的内网