- 最新动态
- SAP部署指南
- Data Provider for SAP用户指南
- SAP高可用及灾备指南
- SAP安全白皮书
- SAP HANA描述
- SAP HANA用户指南(单节点)
- SAP HANA高可用及灾备指南
- SAP NetWeaver用户指南
- SAP应用弹性伸缩用户指南
- SAP S/4HANA快速部署指南
- SAP S/4HANA高可用部署指南
- SAP Business One用户指南
- SAP Business One快速部署指南
-
最佳实践
- SAP最佳实践汇总
- 华为云SAP on DB2安装最佳实践
- 华为云SAP on SQL Server安装最佳实践
- SAP S4HANA1809同可用区高可用部署最佳实践
- 华为云SAP Business One on HANA安装最佳实践
- SAP监控最佳实践
- SAP迁移上华为云最佳实践
- 使用SMS Linux块迁移SAP应用与数据库最佳实践
- SAP由XEN往KVM平台迁移最佳实践
- 华为云SAP SDRS容灾最佳实践
- SAP应用RSYNC容灾方案最佳实践
- SAP Backint安装指南
- SAP备份上传OBS最佳实践
- SAP ASE最佳实践
- SAP系统扩容最佳实践
- 修订记录
-
常见问题
-
常见问题
- 概念篇
-
购买篇
- SAP系统为什么要部署在云上?
- 华为云SAP解决方案有什么优势?
- 华为云SAP解决方案支持哪些SAP产品?
- 已经在线下使用SAP资源多年,最近服务器老化需要更换,是否可以直接迁移到云上?
- SAP系统在华为云上建议如何采购?
- 是否支持SAP Hybris电商解决方案?
- 将SAP系统部署在华为云上是否安全?
- 华为云上部署SAP HANA有哪些优势?
- 华为云SAP支持的场景有哪些?
- 华为云是否销售SAP软件License?
- 华为云上如何使用SAP软件License?
- SAP HANA的应用场景有哪些?
- 华为云上的SAP可以使用哪些操作系统?
- 刚采购了SAP软件,是否可以在华为云上部署?
- 能否支持将其他云迁移到华为云?
- 产品篇
- 修订记录
-
常见问题
- 产品术语
- 通用参考
展开导读
链接复制成功!
网络隔离与访问控制
SAP生产环境安全解决方案如图1 生产环境安全解决方案全景图所示。
根据业务特点,由于开发测试环境仅供企业内部开发、测试使用,并参考企业安全实践,开发测试环境内部可采用稍弱的网络隔离与访问控制策略,提高网络部署灵活性。
但是,测试环境仍属于安全级别较低的区域,安全风险较高,如需与生产环境互联,此边界需要特别关注,采用较严格的访问控制策略(详见2.2.1节)。
另外,开发测试环境中所有云服务器对外开放的端口范围由安全组控制,遵从最小化原则。安全组不做源IP控制,由网络ACL进行控制。
SAP开发测试环境子网如图2 开发测试环境子网、网络ACL分布图所示。
安全策略
开发测试环境内部涉及如下网络ACL实例:网络ACL“NACL-DEV-MGMT”、 “NACL-DEV-APP”、“NACL-DMZ-SAP-Router”,分别关联图3 开发测试环境内部网络ACL分布图中所示子网。各网络ACL实例默认拒绝所有流量(默认失败),跨ACL的子网间如需互通,需以白名单形式添加策略放通相应流量(最小化)。
网络ACL“NACL-DEV-MGMT”,关联开发测试环境DEV-管理区子网,通过策略限制可由管理区堡垒机访问开发测试环境其它区域服务器的管理端口(22等),并拒绝由开发测试环境其它区域发起的对管理区堡垒机的连接。
说明:
本节中提到的IP地址及端口号仅为示例,如有其它管理端口,可根据实际情况增加策略。本节仅涉及开发测试区内部策略。
|
规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
|
对DEV-DMZ区 |
172.22.3.0/24 |
TCP |
22 |
允许 |
允许测试环境管理区堡垒机访问DEV-DMZ区服务器SSH端口。 |
|
对DEV-应用区 |
172.22.4.0/24 |
TCP |
22 |
允许 |
允许测试环境管理区堡垒机访问DEV-应用区服务器SSH端口。 |
|
对DMZ-SAP-DB区 |
172.22.5.0/24 |
TCP |
22 |
允许 |
允许测试环境管理区堡垒机访问DEV-SAP-DB区服务器SSH端口。 |
|
对DEV&PRD-SAP-Router |
172.22.1.0/24 |
TCP |
22 |
允许 |
允许测试环境管理区堡垒机访问DEV&PRD-SAP-Router服务器SSH端口。 |
|
* |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
|
规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
|
* |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
网络ACL“NACL-DEV-APP”,关联开发测试环境DEV-DMZ区、DEV-应用区、DEV-SAP-DB区子网,入方向,通过策略限制可由管理区堡垒机访问区域内服务器的管理端口(22等),限制可由SAP-Router访问区域内服务器的业务端口。
|
规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
|
* |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
|
规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
|
对DEV-管理区 |
172.22.2.0/24 |
TCP |
22 |
允许 |
允许测试环境管理区堡垒机访问本区域内服务器SSH端口。 |
|
对DEV&PRD-SAP-Router |
172.22.1.0/24 |
TCP |
234 |
允许 |
允许SAP-Router服务器访问本DEV-应用区域内服务器234业务端口。 |
|
对DEV&PRD-SAP-Router |
172.22.1.0/24 |
TCP |
345 |
允许 |
允许SAP-Router服务器访问本DEV-SAP-DB区域内服务器345业务端口。 |
|
* |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
网络ACL“NACL-DMZ-SAP-Router”,关联DEV&PRD-SAP-Router子网,入方向,通过策略限制可由管理区堡垒机访问区域内服务器的管理端口(22等),出方向限制可由SAP-Router访问开发测试环境应用区、SAP-DB区指定的业务端口。
|
规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
|
对DEV-应用区 |
172.22.4.0/24 |
TCP |
234 |
允许 |
允许SAP-Router服务器访问DEV-应用区域内服务器234业务端口。 |
|
对DEV-SAP-DB区 |
172.22.5.0/24 |
TCP |
345 |
允许 |
允许SAP-Router服务器访问DEV-SAP-DB区域内服务器345业务端口。 |
|
* |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的入站数据流。 |
|
规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
|
对DEV-管理区 |
172.22.2.0/24 |
TCP |
22 |
允许 |
允许测试环境管理区堡垒机访问本区域内服务器SSH端口。 |
|
* |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的入站数据流。 |
安全组,如SG_DEV_MGMT、SG_DEV_DB等(与公网无交互),关联开发测试环境中相应子网中的云服务器,需严格按照最小化的原则控制云服务器对外开放的端口范围,可参考以下图4 安全组策略示例(具体端口请根据实际情况设置)。对IP的访问控制策略,通过网络ACL实现。其它开发测试环境与公网无交互的安全组(详见全景图),可参考实施。
安全组,如SG_DEV_SRM、SG_DEV_Hybrids、SG_SAP_ROUTER(与公网有交互),关联开发测试环境中相应子网中的云服务器,需严格按照最小化的原则控制云服务器对外开放的端口范围以及源IP范围,如公网IP较为固定,可参考以下图5 安全组策略示例(具体端口请根据实际情况设置)。
如公网IP不固定的场景,可根据业务需要(如模拟测试,技术支持),临时放通特定公网源IP,相应事务完成后删除策略。
