2025年电信网络安全与防护手册.docxVIP

2025年电信网络安全与防护手册

第4章网络边界与传输安全

1.4防火墙策略与入侵防御

防火墙策略的核心在于构建基于“状态检测”与“应用层识别”的双层防御体系。在2025年的安全架构中，必须严格遵循“默认拒绝”原则，仅允许白名单内的特定源IP和目的IP访问特定端口和服务。例如，在配置策略时，应明确指定源地址为`/24`，目的地址为`/8`，协议类型为TCP的443端口，并添加“状态检测”标志以允许已建立的连接通过，从而有效阻断未授权的内网主机向互联网发起的随机端口扫描。针对勒索病毒和高级持续性威胁（APT），入侵防御系统（IPS）需部署深度包检测（DPI