安全组规划
安全组规划要根据SAP的主机间通信要求制定,主要需要考虑管理平面,内部通信平面要求,并与网络部门合作完成安全组设置,具体的SAP对安全组规则的要求请参考TCP/IP ports used by SAP Applications。
安全组规划要根据SAP的主机间通信要求制定,主要安全组规则请参考表1,表2,表3进行设定。
- 网段信息与IP地址信息均为示例,请根据实际规划。下面的安全组规则仅是推荐的最佳实践,用户根据自身的特殊要求,设置安全组规则。
- 下表中,##表示SAP NetWeaver的实例编号。此处需要与安装SAP NetWeaver软件时指定的实例编号保持一致。
|
原地址/目的地址 |
协议 |
端口范围 |
说明 |
|---|---|---|---|
|
入方向 |
|||
|
10.0.3.0/24 |
TCP |
32## |
允许SAP GUI访问SAP NetWeaver。 |
|
10.0.3.0/24 |
TCP |
5##13~5##14 |
允许ASCS访问SAP Application Server。 |
|
10.0.3.0/24 |
TCP |
33##、48## |
CPIC和RFC所使用的端口。 |
|
10.0.3.0/24 |
TCP |
22 |
允许以SSH协议访问SAP NetWeaver。 |
|
10.0.3.0/24 |
UDP |
123 |
允许其他服务器向SAP NetWeaver进行时间同步。 |
|
公有云自动指定。 |
全部 |
全部 |
系统默认创建的安全组规则。 允许属于同一个安全组的云服务器互相通信。 |
|
出方向 |
|||
|
0.0.0.0/0 |
全部 |
全部 |
系统默认创建的安全组规则。 允许SAP NetWeaver访问全部对端。 |
|
原地址/目的地址 |
协议 |
端口范围 |
说明 |
|---|---|---|---|
|
入方向 |
|||
|
10.0.3.0/24 |
TCP |
36## |
Message服务端口。 |
|
10.0.3.0/24 |
TCP |
5##13~5##14 |
允许ASCS访问SAP Application Server。 |
|
10.0.3.0/24 |
TCP |
33##、38## |
CPIC和RFC所使用的端口。 |
|
10.0.3.0/24 |
TCP |
22 |
允许以SSH协议访问SAP NetWeaver。 |
|
10.0.3.0/24 |
UDP |
123 |
允许其他服务器向SAP NetWeaver进行时间同步。 |
|
公有云自动指定。 |
全部 |
全部 |
系统默认创建的安全组规则。 允许属于同一个安全组的云服务器互相通信。 |
|
出方向 |
|||
|
0.0.0.0/0 |
全部 |
全部 |
系统默认创建的安全组规则。 允许SAP NetWeaver访问全部对端。 |
