“NACL-PRD-DMZ”关联生产环境相应子网，需严格控制互联网/IDC访问的入方向策略，限制外部网络仅能访问开发测试环境特定的[IP]:[PORT]。 表3 网络ACL“NACL-PRD-DMZ”出方向 规则 # 目的 IP 协议 目的端口 允许/拒绝 说明 对AD/ADFS 服务器 IDC-AD/ADFS网络

查看更多 →

TCP 8080 允许 允许生产环境DMZ区主机访问PRD-应用区服务器8080业务端口。 对PRD-DMZ区 172.22.7.0/24 TCP 8443 允许 允许生产环境DMZ区主机访问PRD-应用区服务器8443业务端口。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的数据流。

查看更多 →

TCP 1433 允许 允许测试环境DMZ区中的 VM访问生产环境PRD-DMZ区中服务器1433端口进行软件/代码推送更新。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的入站数据流。 表4 网络ACL“NACL-PRD-DMZ”出方向 规则 # 目的 IP

查看更多 →

说明 对PRD-DMZ区 172.22.7.0/24 TCP ANY 允许 允许生产环境PRD-DMZ区中的 VM访问本区域中服务器任意TCP端口。 对PRD-应用区 172.22.8.0/24 TCP ANY 允许 允许生产环境PRD-应用区中的 VM访问本区域中服务器任意TCP端口。

查看更多 →

对DEV-DMZ区 172.22.3.0/24 TCP 22 允许 允许测试环境管理区 堡垒机 访问DEV-DMZ区服务器SSH端口。 对DEV-应用区 172.22.4.0/24 TCP 22 允许 允许测试环境管理区堡垒机访问DEV-应用区服务器SSH端口。 对DMZ-SAP-DB区

查看更多 →

当外部任意IP可以访问安全组内云服务器的SSH（24）端口时认为不合规，确保对服务器的远程访问安全性。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 css-cluster-in-vpc 确保 云搜索服务 （ CSS ）位于虚拟私有云（VPC）中。 1

查看更多 →

SSH偶发性断连如何解决？ 线下服务器SSH连接云上服务器，或者处于不同安全组的机器互相SSH，都可能会出现偶发性断连。 出现原因如下： 1. 常规配置为，客户防火墙允许 SAP Client 通过特定端口访问云上的 SAP 应用层 （出方向规则），sapapp-sg 安全组允许

查看更多 →

应用控制策略 ”单击“新增”，配置访问策略。 在本实例拓扑中，选择防火墙或DMZ区域专用的VPN设备，在策略及NAT配置同样存在不同之处。 使用DMZ区域专用VPN设备配置连接。 先配置网关地址两个方向的NAT信息 WAN→DMZ（VPN设备所在区域）源地址ANY，目标地址：11.11.11

查看更多 →

ha_local_to_dmz [sysname-policy-security-rule-ha_local_to_dmz] source-zone local dmz [sysname-policy-security-rule-ha_local_to_dmz] destination-zone

查看更多 →

参数 是否必选 参数类型 描述 id 是 String 服务器ID。 enable 是 Boolean **⚠ 预留字段，不使用，是否启用虚拟IP功能与服务器组配置保持一致。 是否启用虚拟IP功能。 开关只在租户配置允许启用虚拟IP场景有效，否则忽略传值并设置为关闭。 响应参数 状态码：

查看更多 →

虚拟igw 查询指定租户下的虚拟igw列表 创建虚拟igw 删除虚拟igw 查询虚拟igw详情 修改虚拟igw 父主题： API V3

查看更多 →

虚拟MFA 本章主要为您介绍如何绑定虚拟MFA、如何解绑虚拟MFA，以及IAM用户手机丢失或删除虚拟MFA应用程序时管理员如何重置虚拟MFA。 什么是虚拟MFA 虚拟Multi-Factor Authentication (MFA) 是能产生6位数字认证码的设备或应用程序，遵循基于时间的一次性密码

查看更多 →

的入规则，数据包将被丢弃， 此时显示为 SAP Client 与 SAP 应用断连。 4. dmz-sg 如果有不允许 SAP 应用访问 SAP Router 的入规则，同样的问题也会发生。 解决方案有以下两种： 1. 客户防火墙和 dmz-sg 对 SAP 应用开放所有端口。 2. 在SAP应用侧设置 keepalive

查看更多 →

应用控制策略 ”单击“新增”，配置访问策略。 在本实例拓扑中，选择防火墙或DMZ区域专用的VPN设备，在策略及NAT配置同样存在不同之处。 使用DMZ区域专用VPN设备配置连接。 先配置网关地址两个方向的NAT信息 WAN→DMZ（VPN设备所在区域）源地址ANY，目标地址：11.11.11

查看更多 →

ha_local_to_dmz [sysname-policy-security-rule-ha_local_to_dmz] source-zone local dmz [sysname-policy-security-rule-ha_local_to_dmz] destination-zone

查看更多 →

ha_local_to_dmz [sysname-policy-security-rule-ha_local_to_dmz] source-zone local dmz [sysname-policy-security-rule-ha_local_to_dmz] destination-zone

查看更多 →

略。如AD服务器与保留系统，场景较为固定，应设置相应的策略，使其能够与云上特定[IP]:[PORT]互通。而对于End user，可限制能够访问的特定IP段与端口(业务端口)区间，以及22/3389等管理端口。 网络ACL“NACL-DEV-APP”“NACL-DMZ-SAP-R

查看更多 →

CloudVC组网下的网络层安全策略如下。 IdeaHub与SMC、MCU等都部署在信任区域，与DMZ（Demilitarized Zone）区域和非信任区域隔离，并通过防火墙进行安全域划分和访问控制。 非信任区域IdeaHub需要通过DMZ区域的SC（Switch Center）与信任区域网元交互。 父主题：

查看更多 →

创建虚拟机 创建空虚拟机 安装Linux操作系统 父主题： 基于VirtualBox使用ISO创建Linux镜像

查看更多 →

配置虚拟机 安装virtio驱动 在Windows虚拟机中安装Virtualbox增强功能 安装Cloudbase-Init（可选） 安装一键式重置密码插件（可选） 父主题： 基于VirtualBox使用ISO创建Windows镜像

查看更多 →

虚拟机治理 方案介绍 约束与限制 部署ASM-PROXY 验证服务访问 流量治理 卸载ASM-PROXY

查看更多 →