网络安全防护与风险评估手册.docxVIP

网络安全防护与风险评估手册

第1章网络基础架构与边界防护

1.1核心网络拓扑分析与安全域划分

需绘制组织核心网络的全景拓扑图，明确区分内部办公网、数据中心业务网及外部互联网接口。对于典型的企业架构，内部办公网应划分为用户接入层、服务器接入层及核心交换层三个层级，其中核心交换层需部署三层交换机，确保VLAN间路由隔离，防止横向攻击扩散。在安全域划分上，必须依据“最小权限原则”进行物理或逻辑隔离。例如，将核心数据库服务器集群独立划分至DMZ区之外的私有网段，并配置独立的VLANID（如/24），使其无法通过常规路由直接访问互联网，从而阻断外部勒索病毒或勒索软件攻击。

需利用网络流量分析工具（如Wireshark）对核心链路进行基线流量审计，识别异常突增的IP连接数。若发现某非授权IP段在短时间内连接核心交换机超过50次且时长持续，应立即触发告警并溯源，防止内网被渗透后利用内网接口向外发起攻击。针对关键业务系统，应实施严格的访问控制策略，确保只有授权的安全组或用户才能访问特定IP段。例如，将核心业务网段设置为/24，并仅允许来自/24网段的安全组进行TCP端口443（）和80（HTTP）的访问，禁止任何非标准端口连接。需配置动态ARP检测（DynamicARPInspection）功能，防止因ARP欺骗攻击导致核心