更新时间:2022-02-10 GMT+08:00

业务边界

根据业务特点,由于生产环境需对公网提供服务,同时也需要与其它IDC进行互联,需建立与企业内网(IDC)互联的VPN通道,同时需要设置云上与云下以及云上与互联网之间的访问控制策略。

针对DMZ区、内网应用区、管理区,由于能够被外部访问,建议采取相应的边界防护措施。

VPN

由于企业内部使用,多为静态连接需求,综合考虑安全性与时延,推荐的优先级为:专线(DC)>VPN(IPSec)>SSL VPN。

华为VPN云服务当前仅提供专线和IPSec VPN形式,暂不支持SSL VPN,如需使用SSL VPN可选用第三方镜像产品自行部署。

安全策略

由于开发环境同时需要与企业内部通信,还需提供互联网的业务访问,综合考虑通过网络ACL进行相应的访问控制策略。

网络ACL “NACL-DMZ-SAP-Router”关联生产环境相应子网,需严格控制互联网访问的入方向策略,限制特定外网网段能够访问特定的[IP]:[PORT]

本节中提到的IP地址及端口号仅为示例,如公网IP不固定的场景,可根据业务需要(如技术支持),临时放通特定源IP,相应事务完成后删除策略。如有其它业务流,可根据实际情况增加策略。

表1 网络ACL“NACL-DMZ-SAP-Router” 出方向

规则 #

目的 IP

协议

目的端口

允许/拒绝

说明

*

0.0.0.0/0

ANY

ANY

拒绝

拒绝所有未经前置规则处理的入站数据流。

表2 网络ACL“NACL-DMZ-SAP-Router”入方向

规则 #

源 IP

协议

目的端口

允许/拒绝

说明

对SAP技术支持人员,SAP GU/软件服务器I等

123.123.123.0/24

TCP

3299

允许

允许互联网SAP技术支持人员(特定源IP),SAP GUI/软件服务器等访问开发测试环境中的DEV&PRD-SAP-Router,进而访问后端业务。

*

0.0.0.0/0

ANY

ANY

拒绝

拒绝所有未经前置规则处理的数据流。

网络ACL “NACL-PRD-DMZ”关联生产环境相应子网,需严格控制互联网/IDC访问的入方向策略,限制外部网络仅能访问开发测试环境特定的[IP]:[PORT]

表3 网络ACL“NACL-PRD-DMZ”出方向

规则 #

目的 IP

协议

目的端口

允许/拒绝

说明

对AD/ADFS服务器

IDC-AD/ADFS网络

TCP

AD/ADF端口

允许

允许与IDC内部AD/ADFS服务器进行对接。

*

0.0.0.0/0

ANY

ANY

拒绝

拒绝所有未经前置规则处理的数据流。

表4 网络ACL“NACL-PRD-DMZ”入方向

规则 #

源 IP

协议

目的端口

允许/拒绝

说明

对Internet用户

0.0.0.0/0

TCP

80

允许

允许互联网用户、IDC内部用户,访问生产环境中的WEB服务。

对Internet用户

0.0.0.0/0

TCP

443

允许

允许互联网用户、IDC内部用户,访问生产环境中的WEB服务。

*

0.0.0.0/0

ANY

ANY

拒绝

拒绝所有未经前置规则处理的数据流。

网络ACL “NACL-PRD-APP”关联生产环境相应子网,需严格控制IDC访问的入方向策略,限制特定IDC网络仅能访问开发测试环境特定的[IP]:[PORT],出方向策略同上。

表5 网络ACL“NACL-PRD-APP”出方向

规则 #

目的 IP

协议

目的端口

允许/拒绝

说明

对AD/ADFS服务器

IDC-AD/ADFS网络

TCP

AD/ADF端口

允许

允许与IDC内部AD/ADFS服务器进行对接。

*

0.0.0.0/0

ANY

ANY

拒绝

拒绝所有未经前置规则处理的数据流。

表6 网络ACL“NACL-PRD-APP”入方向

规则 #

源 IP

协议

目的端口

允许/拒绝

说明

对IDC内部用户、顾问。

客户数据中心某子网-b

TCP

8080

允许

允许客户数据中心某子网-b中的内部用户、顾问,访问生产环境中的应用区8080业务端口。

对IDC内部用户、顾问。

客户数据中心某子网-b

TCP

8443

允许

允许客户数据中心某子网-b中的内部用户、顾问,访问生产环境中的应用区8443业务端口。

*

0.0.0.0/0

ANY

ANY

拒绝

拒绝所有未经前置规则处理的数据流。

对于网络ACL “NACL-PRD-SAPDB-BUSI/INTERNEL”,由于无与外部网络交互需求,只需根据1.1节设置内部访问控制策略即可。

安全组策略请见2.1节中相关内容。

安全服务

  • Anti-DDoS

根据业务特点,由于生产环境有公网访问需求,需要针对SAP Router、SRM、Hybrids服务器部署Anti-DDoS防护,推荐使用华为云Anti-DDoS流量清洗服务,对相应的EIP进行DDoS防护。

  • Web应用防火墙-WAF

根据业务特点,由于生产环境需向互联网提供Web应用服务,需要部署Web应用防火墙,应对诸如OWASP TOP10 Web攻击,推荐华为云Web应用防火墙服务,创建WAF实例防护相应EIP/ELB。

  • 虚拟下一代防火墙-vNGFW

根据业务特点,SAP Router会提供给第三方使用并接入内部系统,开发测试环境SRM/Hybrids会对外方开放用于模拟测试。以上入口均面临网络攻击入侵风险,建议部署虚拟下一代防火墙对后端进行防护。