网络信息安全防护与应急处置手册（执行版）.docxVIP

网络信息安全防护与应急处置手册（执行版）

第1章网络基础架构与资产安全

1.1网络拓扑结构与核心设备管理

在构建网络安全防御体系时，首先需绘制清晰的网络拓扑图，明确网络中各层设备的连接关系与数据流向。例如，在典型的三层架构中，核心交换机应位于网络中心，连接汇聚交换机与接入层交换机，确保故障时链路冗余；若采用双核心部署，则需确保两台核心交换机互为热备，通过心跳检测协议实时同步状态，单点故障时自动切换。针对核心设备（如核心交换机、防火墙、负载均衡器），必须执行严格的配置审计与基线加固。例如，核心路由器的路由表应限制最大条目数为10000条，并启用动态路由协议（如OSPF）的防攻击机制，防止邻居关系被恶意注入后导致路由震荡。

核心设备的访问控制列表（ACL）需基于最小权限原则进行精细化配置，仅允许特定源IP访问特定目的端口。例如，对核心交换机管理端口，仅允许源IP来自管理VLAN（如VLAN10）且源IP为的设备访问，拒绝所有其他流量，并开启针对SSH和Telnet的加密协议检测。必须配置设备日志审计与告警联动机制，确保异常行为能被实时捕捉。例如，当核心交换机检测到来自外部IP的ICMP包频率超过阈值（如每秒50次）时，系统应自动触发“潜在攻击”告警并阻断该源IP的入站流量。核心设备需部署防欺骗与防篡改检测系统，确保设