电信行业网络部网络工程师网络安全防护手册（执行版）.docxVIP

电信行业网络部网络工程师网络安全防护手册（执行版）

第一章网络架构与基础安全

第一节网络拓扑设计与物理隔离原则

在设计电信行业网络架构时，必须遵循“核心层、汇聚层、接入层”的三层逻辑分层模型，其中物理隔离是防止横向移动的最有效防线。具体实施中，需在核心层与汇聚层之间部署专用的物理防火墙或光闸设备，确保底层核心路由协议（如OSPF、BGP）仅能访问汇聚层的特定IP段，严禁直接通过核心交换机端口访问外部互联网，从而阻断攻击者从核心层向全网扩散的路径。物理隔离的具体操作要求所有核心交换机端口采用专用的管理接口（如环网桥或专用管理VLAN），并启用严格的MAC地址绑定与端口安全