与开发测试环境边界
由于测试环境仍属于安全级别较低的区域,安全风险较高,如需与生产环境互联,此边界需要特别关注,采用较严格的访问控制策略:由开发测试环境发起对生产环境的访问,需严格控制(默认失败),仅能访问生产环境中必要的[IP]:[PORT] (最小化);由生产环境发起的对开发测试环境的访问,可以采用稍弱的访问控制策略。
安全策略
网络ACL“NACL-PRD-DMZ/APP/SAPDB-BUSI”关联生产环境相应子网,需严格按照最小化的原则控制访问开发测试环境的入方向策略,限制其仅能访问生产环境中特定的[IP]:[PORT];对于由生产环境发起的对开发测试环境的出方向策略,这里可以根据实际情况设置稍弱的访问控制策略。
强的、安全性高的、复杂的访问控制策略,会一定程度增加部署配置及运维成本,可以根据企业自身情况适当减少策略。
与开发测试环境边界的策略主要包括对DEV-DMZ区、对DEV-应用区、对DEV-DB区的策略,详细请参考表1、表2、表3、表4、表5和表6。
本节中提到的IP地址及端口号仅为示例,如有其它业务流,可根据实际情况增加策略。本节仅涉及开发测试区与生产环境策略。
|
规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
|
对DEV-应用区 |
172.22.4.0/24 |
TCP |
2433 |
允许 |
允许测试环境DEV-应用区中的 VM访问生产环境PRD-应用区中服务器2433端口进行软件/代码推送更新。 |
|
* |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的入站数据流。 |
|
规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
|
对DEV-应用区 |
172.22.8.0/24 |
TCP |
ANY |
允许 |
允许生产环境PRD-应用区中的 VM访问DEV-应用区域中服务器任意TCP端口。 |
|
* |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则 (不可修改) 处理的出站数据流。 |
|
规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
|
对DEV-DMZ区 |
172.22.3.0/24 |
TCP |
1433 |
允许 |
允许测试环境DMZ区中的 VM访问生产环境PRD-DMZ区中服务器1433端口进行软件/代码推送更新。 |
|
* |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的入站数据流。 |
|
规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
|
对DEV-DMZ区 |
172.22.4.0/24 |
TCP |
ANY |
允许 |
允许生产环境PRD-DMZ区中的 VM访问DEV-DMZ区域中服务器任意TCP端口。 |
|
* |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则 (不可修改) 处理的出站数据流。 |
