2025年电信行业网络部网络工程师网络安全操作手册.docxVIP

2025年电信行业网络部网络工程师网络安全操作手册

第1章网络基础架构与安全策略

1.1核心交换机与防火墙部署规范

部署前需严格遵循《核心交换机硬件选型清单》，确保设备支持LACP链路聚合、VRRP自动组网及100G光模块接口，配置冗余电源模块与双通道风扇模块，将核心交换机部署在机房A区，并设置独立的物理隔离区用于存放核心设备。在交换机上启用基于IP地址的MAC地址绑定功能，将核心交换机管理端口（如VLAN1000-4000）的MAC地址与静态绑定，防止非法设备接入导致二层广播风暴，并配置端口安全协议以限制非法VLAN接入。

防火墙部署需采用基于应用层识别（Layer7）的下一代防火墙（NGFW），配置DMZ区（如/24）仅允许外部访问业务服务器，禁止直接访问核心业务区（如/24），并开启应用层过滤规则以拦截恶意HTTP请求。配置三层交换机时，必须启用IP地址漂移检测功能，在VLAN间配置动态路由协议（如OSPFv3），并设置路由优先级为最高，确保在网络故障切换时，核心路由表能优先指向备用链路，避免路由环路。针对核心交换机，实施基于ACL的端口访问控制，仅允许管理端口访问特定管理平面IP及必要业务端口，关闭所有非业务端口，并将默认策略设置为拒绝所有未授权访问，防止内部广播风暴扩散。

定期执行交