电信行业网络安全部工程师网络安全防护手册.docx

电信行业网络安全部工程师网络安全防护手册

第1章总体架构与安全管理规范

1.1网络安全分区与边界防御设计

首先明确物理隔离原则，将核心业务区、办公区及公共区严格物理分离，确保核心数据无法通过普通网络端口访问，所有对外通信必须经过统一的防火墙网关进行流量清洗与过滤，防止外部攻击直接穿透至核心机房。构建逻辑隔离的虚拟边界，在核心数据中心内部部署基于VLAN的三层交换架构，将不同业务域划分为独立的广播域，利用网闸（Firewall）作为数据交换的唯一出口，实施基于IP地址和MAC地址的双因素认证机制，杜绝内部横向移动风险。

实施严格的访问控制策略，为每个网络区域配置唯一的静