网络信息安全防护与应急响应手册（执行版）.docxVIP

网络信息安全防护与应急响应手册（执行版）

第1章网络基础架构安全

1.1网络拓扑与访问控制

在构建网络安全防线时，首先必须绘制清晰的物理与逻辑网络拓扑图，明确核心交换机、汇聚层、接入层及各业务网段的连接关系，确保所有设备IP地址规划遵循CIDR规范，避免地址冲突。例如，在部署企业网时，可将内网划分为DMZ区、内网区及私有VLAN区，通过VLANTrunk协议将不同业务流量隔离在独立的VLAN上，防止非法访问内网资源。访问控制列表（ACL）是实施策略的关键，需根据最小权限原则配置，仅允许必要的源IP访问特定端口，例如在路由器或交换机上配置ACL规则，仅允许外部办公网段/24访问内网数据库的3306端口，而拒绝其他所有非授权访问，从源头阻断攻击面。

基于角色的访问控制（RBAC）应贯穿整个架构，将管理员权限细分为“超级管理员”、“系统管理员”、“普通用户”等角色，并绑定具体职责，例如在堡垒机或认证系统中设置不同角色的登录脚本，确保只有具备特定操作权限的用户才能执行高危命令，杜绝越权操作。实施端口安全功能可防止非法设备接入网络，例如在交换机上启用PortSecurity功能，限制每个端口最多允许接入3个MAC地址，若检测到超过限制则立即将该端口置为禁用状态并记录日志，有效防范“钓鱼”攻击和非法设备接入。网络分段管理