与开发测试环境边界

更新时间：2022-02-10 GMT+08:00

由于测试环境仍属于安全级别较低的区域，安全风险较高，如需与生产环境互联，此边界需要特别关注，采用较严格的访问控制策略：由开发测试环境发起对生产环境的访问，需严格控制(默认失败)，仅能访问生产环境中必要的[IP]:[PORT] (最小化)；由生产环境发起的对开发测试环境的访问，可以采用稍弱的访问控制策略。

安全策略

网络ACL“NACL-PRD-DMZ/APP/SAPDB-BUSI”关联生产环境相应子网，需严格按照最小化的原则控制访问开发测试环境的入方向策略，限制其仅能访问生产环境中特定的[IP]:[PORT]；对于由生产环境发起的对开发测试环境的出方向策略，这里可以根据实际情况设置稍弱的访问控制策略。

说明：

强的、安全性高的、复杂的访问控制策略，会一定程度增加部署配置及运维成本，可以根据企业自身情况适当减少策略。

与开发测试环境边界的策略主要包括对DEV-DMZ区、对DEV-应用区、对DEV-DB区的策略，详细请参考表1、表2、表3、表4、表5和表6。

说明：

本节中提到的IP地址及端口号仅为示例，如有其它业务流，可根据实际情况增加策略。本节仅涉及开发测试区与生产环境策略。

表1 网络ACL“NACL-PRD-APP”入方向
规则 #	源 IP	协议	目的端口	允许/拒绝	说明
对DEV-应用区	172.22.4.0/24	TCP	2433	允许	允许测试环境DEV-应用区中的 VM访问生产环境PRD-应用区中服务器2433端口进行软件/代码推送更新。
*	0.0.0.0/0	ANY	ANY	拒绝	拒绝所有未经前置规则处理的入站数据流。

表2 网络ACL“NACL-PRD-APP”出方向
规则 #	目的 IP	协议	目的端口	允许/拒绝	说明
对DEV-应用区	172.22.8.0/24	TCP	ANY	允许	允许生产环境PRD-应用区中的 VM访问DEV-应用区域中服务器任意TCP端口。
*	0.0.0.0/0	ANY	ANY	拒绝	拒绝所有未经前置规则 (不可修改) 处理的出站数据流。

表3 网络ACL“NACL-PRD-DMZ”入方向
规则 #	源 IP	协议	目的端口	允许/拒绝	说明
对DEV-DMZ区	172.22.3.0/24	TCP	1433	允许	允许测试环境DMZ区中的 VM访问生产环境PRD-DMZ区中服务器1433端口进行软件/代码推送更新。
*	0.0.0.0/0	ANY	ANY	拒绝	拒绝所有未经前置规则处理的入站数据流。

表4 网络ACL“NACL-PRD-DMZ”出方向
规则 #	目的 IP	协议	目的端口	允许/拒绝	说明
对DEV-DMZ区	172.22.4.0/24	TCP	ANY	允许	允许生产环境PRD-DMZ区中的 VM访问DEV-DMZ区域中服务器任意TCP端口。
*	0.0.0.0/0	ANY	ANY	拒绝	拒绝所有未经前置规则 (不可修改) 处理的出站数据流。

表5 网络ACL“NACL-PRD-SAPDB-BUSI”入方向
规则 #	源 IP	协议	目的端口	允许/拒绝	说明
对DEV-SAP DB区	172.22.5.0/24	TCP	3433	允许	允许测试环境DEV-SAP DB区中的 VM访问生产环境PRD-SAP-DB区中服务器3433端口进行软件/代码推送更新。
*	0.0.0.0/0	ANY	ANY	拒绝	拒绝所有未经前置规则处理的入站数据流。

表6 网络ACL“NACL-PRD-SAPDB-BUSI”出方向
规则 #	目的 IP	协议	目的端口	允许/拒绝	说明
对DEV-SAP DB区	172.22.5.0/24	TCP	ANY	允许	允许生产环境PRD-SAP DB区中的 VM访问DEV- SAP DB区域中服务器任意TCP端口。
*	0.0.0.0/0	ANY	ANY	拒绝	拒绝所有未经前置规则 (不可修改) 处理的出站数据流。

父主题： 网络边界安全

上一篇：运维边界

下一篇：安全管理

意见反馈

文档内容是否对您有帮助？

有帮助没帮助

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！

系统繁忙，请稍后重试

在使用文档中是否遇到以下问题

内容与产品页面不一致

内容不易理解

缺失示例代码

步骤不可操作

搜不到想要的内容

缺少最佳实践

意见反馈（选填）

0/500

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

直接提交取消

与开发测试环境边界

安全策略

意见反馈

文档内容是否对您有帮助？

文档反馈