更新时间:2022-02-10 GMT+08:00

安全组规划

SAP HANA安全组规划

SAP HANA安全组规则如表1所示。

  • 网段信息与IP地址信息均为示例,请根据实际规划。下面的安全组规则仅是推荐的最佳实践,租户根据自己的特殊要求,可设置自己的安全组规则。
  • 下表中,##表示SAP HANA的实例编号,例如“00”。此处需要与安装SAP HANA软件时指定的实例编号保持一致,SAP HANA实例编号规划请参考SAP HANA云服务器规划
  • 更多有关于SAP需要访问的特定端口和相应安全组规则,请参见SAP官方文档
表1 SAP HANA安全组规则

源地址/目的地址

协议

端口范围

说明

入方向

系统自动指定

全部

全部

系统默认创建的安全组规则。

允许属于同一个安全组的云服务器互相通信。

0.0.0.0

TCP

22

允许租户侧网络以SSH协议,访问SAP HANA Studio。

仅在SAP HANA Studio部署在Linux上时需要创建。

0.0.0.0

TCP

3389

允许租户侧网络以RDP协议,访问SAP HANA Studio。

仅在SAP HANA Studio部署在Windows上时需要创建。

10.0.0.0/24

TCP

80(HTTP)

允许租户侧网络以HTTP协议访问NAT Server。

10.0.0.0/24

TCP

443(HTTPS)

允许租户侧网络以HTTPS协议访问NAT Server。

10.0.0.0/24

TCP

1128-1129

允许以SOAP/HTTP协议访问SAP Host Agent。

10.0.0.0/24

TCP

43##

允许从10.0.0.0/24子网以HTTPS协议访问XSEngine。

10.0.0.0/24

TCP

80##

允许从10.0.0.0/24子网以HTTP协议访问XSEngine。

10.0.0.0/24

TCP

8080

允许Software Update Manager (SUM)以HTTP协议访问SAP HANA。

10.0.0.0/24

TCP

8443

允许Software Update Manager (SUM)以HTTPS协议访问SAP HANA。

10.0.0.0/24

TCP

3##13

允许SAP HANA Studio访问SAP HANA。

10.0.0.0/24

TCP

3##15

业务平面所使用的端口。

10.0.0.0/24

TCP

3##17

业务平面所使用的端口。

10.0.0.0/24

TCP

5##13

允许SAP HANA Studio访问sapstartsrv。

出方向

全部

全部

全部

系统默认创建的安全组规则。

允许SAP HANA访问全部对端

SAP S/4HANA安全组规划

安全组规划要根据SAP的主机间通信要求制定,主要需要考虑管理平面,内部通信平面要求,并与网络部门合作完成安全组设置,具体的SAP对安全组规则的要求请参考TCP/IP ports used by SAP Applications

安全组规划要根据SAP的主机间通信要求制定,主要安全组规则请参考表2进行设定。

  • 网段信息与IP地址信息请根据实际部署规划。下面的安全组规则仅是推荐的最佳实践,用户可根据自身的特殊要求,设置安全组规则。
  • 下表中,##表示SAP S/4HANA的实例编号,此处需要与安装SAP S/4HANA软件时指定的实例编号保持一致。
表2 SAP S/4HANA节点安全组规则

源地址/目的地址

协议

端口范围

说明

入方向

系统自动指定

全部

全部

系统默认创建的安全组规则。

允许属于同一个安全组的云服务器互相通信。

10.0.3.0/24

TCP

32##

允许SAP GUI访问SAP S/4HANA。

10.0.3.0/24

TCP

36##

Message Port with profile parameter rdisp/msserv。

10.0.3.0/24

TCP

5##13 ~ 5##14

允许ASCS访问SAP Application Server。

10.0.3.0/24

TCP

33##,38##,48##

CPIC和RFC所使用的端口。

10.0.3.0/24

TCP

22

允许以SSH协议访问SAP S/4HANA。

10.0.3.0/24

TCP

123

允许其他服务器向SAP S/4HANA进行时间同步。

出方向

全部

全部

全部

系统默认创建的安全组规则。

允许SAP S/4HANA访问全部对端