文档首页> SAP> SAP安全白皮书> 华为技术支持通道安全方案
更新时间:2022-02-10 GMT+08:00

华为技术支持通道安全方案

图1 华为技术支持通道安全方案

如涉及华为技术人员场景,需要单独部署华为技术人员专用堡垒机,保障运维通道安全,方案详见图1 华为技术支持通道安全方案

该方案与企业内部堡垒机对比有如下几点区别:

  • 华为专用堡垒机需配置双网卡,分别属于PRD管理区与DEV管理区。
  • 华为专用堡垒机需配置一个EIP,以便华为技术人员接入。

    由于华为专用堡垒机需Internet可访问,EIP绑定的网卡所属的子网需增加网络ACL入站策略,出站策略无需变动,放通Internet对专用堡垒的访问。

    以EIP网卡属于DEV-管理区子网为例,增加如下入站ACL策略:

    本节中提到的IP地址及端口号仅为示例。如有特殊情况,需新增临时策略放通其它源IP。

    表1 网络ACL“NACL-DEV-MGMT”入方向

    规则 #

    源 IP

    协议

    目的端口

    允许/拒绝

    说明

    对华为技术人员

    2.2.2.0/24

    TCP

    8443

    允许

    允许华为技术支持人员(固定源IP范围)中的管理员访问专用堡垒机。