检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
管理区子网,通过策略限制可由管理区堡垒机访问开发测试环境其它区域服务器的管理端口(22等),并拒绝由开发测试环境其它区域发起的对管理区堡垒机的连接。 本节中提到的IP地址及端口号仅为示例,如有其它管理端口,可根据实际情况增加策略。本节仅涉及开发测试区内部策略。 表1 网络ACL“NACL-DEV-MGMT”出方向
略的设置建议遵从“默认失败”、“最小化”原则:针对特定的访问源,仅开放业务必须的[IP]:[PORT]。 例如,对于企业内部管理员,可访问管理区堡垒机远程登录端口,而其他一般用户,或内部系统则无法访问。对于企业内部一般用户,应仅能访问内网应用区的SAP业务端口。系统内部各区域间(
VM访问DEV-应用区域中服务器任意TCP端口。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则 (不可修改) 处理的出站数据流。 表3 网络ACL“NACL-PRD-DMZ”入方向 规则 # 源 IP 协议 目的端口 允许/拒绝 说明 对DEV-DMZ区 172
模板:模板自带安全组规则,方便您快速创建安全组。提供如下几种模板: 自定义:用户自定义安全组规则。 通用Web服务器:默认放通22、3389、80、443端口和ICMP协议。 开放全部端口:开放全部端口有一定安全风险,请谨慎选择。 名称:安全组的名称。安全组名称请配置成方便识别的名称,例如“studio_security_group”。
模板:模板自带安全组规则,方便您快速创建安全组。提供如下几种模板: 自定义:用户自定义安全组规则。 通用Web服务器:默认放通22、3389、80、443端口和ICMP协议。 开放全部端口:开放全部端口有一定安全风险,请谨慎选择。 名称:安全组的名称。安全组名称请配置成方便识别的名称,例如“studio_security_group”。
HANA实例编号规划请参考SAP HANA云服务器规划。 更多有关于SAP需要访问的特定端口和相应安全组规则,请参见SAP官方文档。 表1 SAP HANA安全组规则 源地址/目的地址 协议 端口范围 说明 入方向 系统自动指定 全部 全部 系统默认创建的安全组规则。 允许属于同一个安全组的云服务器互相通信。
3##15 、3##17 DB Client接入端口 10.10.1.0/24 TCP 111,2049,4000-4002 用于NFS通信 10.10.1.0/24 TCP 40000~40001 SAP Business One服务端端口 10.10.1.0/24 TCP 22 允许以SSH协议访问SAP
模板:模板自带安全组规则,方便您快速创建安全组。提供如下几种模板: 自定义:用户自定义安全组规则。 通用Web服务器:默认放通22、3389、80、443端口和ICMP协议。 开放全部端口:开放全部端口有一定安全风险,请谨慎选择。 名称:安全组的名称。安全组名称请配置成方便识别的名称,例如“sg_sap_”。
模板:模板自带安全组规则,方便您快速创建安全组。提供如下几种模板: 自定义:用户自定义安全组规则。 通用Web服务器:默认放通22、3389、80、443端口和ICMP协议。 开放全部端口:开放全部端口有一定安全风险,请谨慎选择。 名称:安全组的名称。安全组名称请配置成方便识别的名称,例如“sg_sap_”。
模板:模板自带安全组规则,方便您快速创建安全组。提供如下几种模板: 自定义:用户自定义安全组规则。 通用Web服务器:默认放通22、3389、80、443端口和ICMP协议。 开放全部端口:开放全部端口有一定安全风险,请谨慎选择。 名称:安全组的名称。安全组名称请配置成方便识别的名称,例如“sg_sap_”。
源地址/目的地址 协议 端口范围 说明 入方向 系统自动指定 全部 全部 系统默认创建的安全组规则。 允许属于同一个安全组的云服务器互相通信。 10.10.0.0/24 TCP 32## 允许SAP GUI访问SAP。 10.10.0.0/24 TCP 36## Message Port with
服务测试范围包括: 网站类:SQL注入、XSS跨站、文件包含、任意文件上传、任意文件下载、Web弱口令、服务弱口令。 主机类:远程漏洞扫描、弱口令扫描、高危端口识别、高危服务识别、基线检查。 华为安全专家团队会对专业机构提交的体检报告进行审核,引导专业机构提高服务质量,给客户更佳的用户体验。 提供
已启用。 操作步骤 输入主节点或备节点的IP地址或主机名作为URL,登录端口为7630。 例如:https://s4001:7630/ 当您首次尝试访问URL时如果显示证书警告,则表示使用了自我签名证书。默认情况下,自我签名证书不被视为可信证书。 要继续,可在浏览器中添加例外,以绕过警告。
模板:模板自带安全组规则,方便您快速创建安全组。提供如下几种模板: 自定义:用户自定义安全组规则。 通用Web服务器:默认放通22、3389、80、443端口和ICMP协议。 开放全部端口:开放全部端口有一定安全风险,请谨慎选择。 名称:安全组的名称。安全组名称请配置成方便识别的名称,例如“sg_sap_hana”。
服务测试范围包括: 网站类:SQL注入、XSS跨站、文件包含、任意文件上传、任意文件下载、Web弱口令、服务弱口令。 主机类:远程漏洞扫描、弱口令扫描、高危端口识别、高危服务识别、基线检查。 华为安全专家团队会对专业机构提交的体检报告进行审核,引导专业机构提高服务质量,给客户更佳的用户体验。 提供
选择RDBMS路径,单击Next 保持默认端口,单击Next 提示端口被占用,进入/etc/services查看未被使用的端口 vi /etc/services 修改端口,将默认端口改为在service里面未被使用的端口,在安全组里面也同步修改,单击Next 如果是首次安装,需要选
需与生产环境互联,此边界需要特别关注,采用较严格的访问控制策略:由开发测试环境发起对生产环境的访问,需严格控制(默认失败),仅能访问生产环境中必要的[IP]:[PORT] (最小化)。由生产环境发起的对开发测试环境的访问,可以采用稍弱的访问控制策略。 安全策略 如图1 开发测试环
系统自动指定。 全部 全部 系统默认创建的安全组规则。 允许属于同一个安全组的云服务器互相通信。 出方向 全部 全部 全部 系统默认创建的安全组规则。 允许SAP HANA访问全部对端。 表4 安全组规则(SAP HANA Studio) 源地址/目的地址 协议 端口范围 说明 入方向 0
),可限制能够访问管理区主机的22/3389等管理端口。 本节中提到的IP地址及端口号仅为示例,如有其它管理端口,可根据实际情况增加策略。 表1 网络ACL“NACL-PRD-MGMT”入方向 规则 # 源 IP 协议 目的端口 允许/拒绝 说明 对管理员 客户数据中心某子网-a
区主机的22/3389等管理端口。 本节中提到的IP地址及端口号仅为示例。管理员也可设置具备End Uesr角色相应的策略,使管理员可访问开发测试环境业务端口。 表1 网络ACL“NACL-DEV-MGMT”入方向 规则 # 源 IP 协议 目的端口 允许/拒绝 说明 对管理员 客户数据中心某子网-a
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
