电信行业互联网部工程师网站安全维护手册.docxVIP

电信行业互联网部工程师网站安全维护手册

第1章网络架构与边界防护体系

1.1核心网络拓扑分析与流量特征

在电信行业互联网部，核心网络拓扑通常采用分层架构，底层为汇聚层汇聚至核心层，再经边缘层接入互联网，此结构旨在实现流量的分级过滤与快速收敛。工程师需首先绘制出包含骨干网、城域网及接入网的物理拓扑图，并标注关键设备如路由器、防火墙及负载均衡器的IP地址与接口VLAN划分。针对流量特征分析，需建立基于协议特征的基准线，例如识别HTTP/的80/443端口流量、DNS解析的53端口流量以及VoIP语音包的UDP特征。通过对比历史流量基线，可发现异常突发的数据交换行为，如短时间内大量非业务时段的加密流量激增。

结合BGP路由表分析，工程师应关注AS路径变更及BGP邻居关系建立状态，利用MIB-II等工具抓取路由信息，识别是否存在路由环路或非法的外部ASN注入，确保核心路由策略的稳定性。流量特征分析需结合实时监控系统（如NetFlow或sFlow）的聚合数据，通过流表匹配技术，将原始数据包映射到特定的业务应用类型，从而区分正常办公流量与潜在的恶意扫描或数据泄露流量。在分析过程中，需计算流量峰值与谷值的比率，识别是否存在异常的高频连接行为，这些行为可能是DDoS攻击的前兆或内部员工恶意刷量行为的证据，需立即触发告警机