《AI 驅動的電信網路規劃與設計 🌐》 73/100 防火牆策略 📜主題：ACL 與策略配置案例

AI時代系列(4)：AI 驅動的電信網路規劃與設計 🌐

73/100 第八章：電信網路安全與管理

73.防火牆策略 📜主題：ACL 與策略配置案例

________________________________________

一、單元導讀

電信網路作為國家關鍵基礎設施，需面對 外部駭客攻擊、內部濫用、跨網詐欺 等威脅。

防火牆（Firewall） 是電信網最核心的安全設備之一，用於 封鎖惡意流量、限制存取、保護核心網元。

常見防護方式：

• ACL（Access Control List）：依來源/目的 IP、Port、協定進行允許或拒絕。

• 策略防火牆（Policy Firewall）：基於應用層、使用者、服務類型進行更細緻控制。

• 電信專屬應用：核心網防火牆（EPC/5GC）、國際信令防火牆（Diameter/SIGTRAN/HTTP2）、IMS 防火牆。

電信 在骨幹網、IDC、IMS/5G 核心廣泛部署防火牆，並結合 DPI（深度封包檢測）與SOC即時監控，形成多層防護。

________________________________________

二、防火牆技術要點

1. ACL（Access Control List）

• 用途：基於 L3/L4 層過濾流量。

• 規則範例：

• permit tcp 192.168.10.0/24 any eq 5060 //允許內部用戶使用 SIP

• deny ip any any //預設拒絕

• 適用場景：路由器防護、邊界封包過濾。

________________________________________

2. 策略防火牆

• 功能：基於使用者、應用、服務進行精細化控制。

• 範例策略：

o 允許 IMS 平台僅接受來自 P-CSCF 的 SIP 訊號。

o 阻擋國際來源對 HSS 的直接存取。

o 允許特定 VPN 客戶端連入 IDC。

________________________________________

3. 電信專屬防火牆

• 信令防火牆：過濾 Diameter、SS7、SIP、GTP、HTTP2 訊號，防止欺詐或入侵。

• 核心防火牆：部署於 EPC/5GC，確保 MME、AMF、SMF、UPF 僅接受合法來源流量。

• 邊界防火牆：IDC、國際專線、VoLTE 平台邊界。

________________________________________

三、電信實務案例

案例一：國際信令防護

情境：某國際營運商發來異常 Diameter 訊號，試圖偽造計費資料。

應對：

• 信令防火牆即時攔截，SOC 觸發告警。

• 啟用規則：阻擋非授權 PLMN 的 Diameter 接入。

________________________________________

案例二：VoLTE SIP Flood 攻擊

情境：駭客對 IMS 平台發送大量 SIP INVITE 封包，造成伺服器過載。

應對：

• IMS 防火牆啟動 Rate Limiting（速率限制） 與 黑名單封鎖。

• 保護 P-CSCF 與 S-CSCF 正常運作。

________________________________________

案例三：IDC 企業專線防護

情境：某企業租用電信 IDC，發生外部端口掃描攻擊。

應對：

• ACL 僅允許特定 IP 段連線企業伺服器。

• 防火牆策略阻擋惡意掃描與弱口令登入。

________________________________________

四、專業重點整理

1. ACL：基於 IP/Port 基本過濾，適合邊界流量控制。

2. 策略防火牆：基於應用/使用者/服務，提供更精細防護。

3. 電信防火牆：涵蓋 IMS、EPC/5GC、信令防火牆。

4. 電信實務：SOC + DPI + 防火牆策略組合，實現多層級保護。

________________________________________

五、測驗練習（附解析）

單選題 1

若要保護 IMS 平台避免 SIP Flood 攻擊，最適合的方式是？

A. ACL 封鎖所有 TCP 流量

B. IMS 防火牆策略 + Rate Limiting

C. 使用 CDN 快取

D. 啟用 SRTP

✅ 答案：B

解析：IMS 防火牆可針對 SIP 攻擊進行速率限制，避免伺服器過載。

________________________________________

單選題 2

以下哪一種協定屬於電信核心信令，需要防火牆過濾？

A. Diameter

B. HTTP

C. FTP

D. SMTP

✅ 答案：A

解析：Diameter 是 4G/5G 計費與用戶資料查詢的核心信令。

________________________________________

單選題 3

ACL 最常見的功能是？

A. 基於使用者身分控制存取

B. 基於 IP/Port 過濾流量

C. 自動調整頻寬

D. 減少延遲

✅ 答案：B

解析：ACL 屬於 L3/L4 過濾，控制 IP 與 Port 的允許/拒絕。

________________________________________

六、🌟 實作訓練：防火牆策略模擬

1. ACL 基礎實驗

• 在 Cisco Router/Firewall 配置：

• access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 443

• access-list 100 deny ip any any

• 測試僅允許 HTTPS 存取。

________________________________________

2. IMS 防火牆模擬

• 使用 SIPp 工具發送 SIP INVITE Flood。

• IMS 防火牆啟用 Rate Limiting → 驗證防護效果。

________________________________________

3. GTP/Diameter 防火牆實驗

• 在模擬 EPC 環境中，配置 GTP/Diameter Filter。

• 測試：阻擋來自未授權 IP 的 GTP-C 建立請求。

________________________________________

4. SOC 整合

• 將防火牆告警上報至 SIEM 系統。

• 模擬攻擊 → 確認 SOC 能即時告警並生成事件紀錄。

________________________________________

✅ 小結：

第 73 單元強調 防火牆在電信網中的應用，包含 ACL 基本過濾、策略防火牆精細控制、IMS/EPC/5GC 信令防火牆專業案例。

電信實務：多層防護（ACL + Policy + SOC + DPI），確保 核心網、IMS、IDC 的安全性。