网络安全防护与风险应对手册.docxVIP

网络安全防护与风险应对手册

第1章网络基础设施安全建设

1.1核心网络设备加固与配置审计

在核心交换机上，建议将默认的管理界面IP地址从修改为54，并配置强密码策略，强制要求包含大小写字母、数字及特殊符号，长度不少于16位，并启用强密码验证功能，防止暴力破解。针对VLAN接口，必须关闭默认允许所有流量的模式，仅开启特定业务VLAN的允许访问，并配置基于源IP和目的IP的访问控制列表（ACL），禁止未知源地址访问核心层设备，阻断潜在的内网横向移动路径。

在设备配置中，务必关闭Telnet等不安全的远程管理协议，仅启用SSHv2.0服务，并强制开启IP地址欺骗（IPSpoofing）保护，防止攻击者通过伪造源IP发起攻击。启用设备的全局日志记录功能，将日志级别设置为DEBUG或INFO，确保所有关键操作（如配置变更、认证失败、异常流量）均被记录，并配置日志轮转策略，避免日志文件无限增长导致系统性能下降。定期执行配置审计脚本，对比当前配置与最新的安全基线标准，识别未修改的默认凭证、过期的安全补丁以及未关闭的端口服务，确保核心设备处于“零信任”状态。

在物理层部署光猫或交换机时，必须使用强加密的光猫模块（如支持AES-256加密），避免使用弱加密或无加密的光猫，防止通过光纤链路进行数据窃听或中间人攻击。

1.2