检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
brids(与公网有交互),业务端口需要对全网开放,可参考以下图5 安全组策略示例(具体端口请根据实际情况设置)。其中对22/3389等管理端口的源IP控制,将由网络ACL实现,控制只能由管理区堡垒机访问。80等业务端口将对Internet全网开放,不做源IP访问控制,建议采用合适的安全产品进行防护,详见1
管理区子网,通过策略限制可由管理区堡垒机访问开发测试环境其它区域服务器的管理端口(22等),并拒绝由开发测试环境其它区域发起的对管理区堡垒机的连接。 本节中提到的IP地址及端口号仅为示例,如有其它管理端口,可根据实际情况增加策略。本节仅涉及开发测试区内部策略。 表1 网络ACL“NACL-DEV-MGMT”出方向
模板:模板自带安全组规则,方便您快速创建安全组。提供如下几种模板: 自定义:用户自定义安全组规则。 通用Web服务器:默认放通22、3389、80、443端口和ICMP协议。 开放全部端口:开放全部端口有一定安全风险,请谨慎选择。 名称:安全组的名称。安全组名称请配置成方便识别的名称,例如“sg_sap_”。 企业
模板:模板自带安全组规则,方便您快速创建安全组。提供如下几种模板: 自定义:用户自定义安全组规则。 通用Web服务器:默认放通22、3389、80、443端口和ICMP协议。 开放全部端口:开放全部端口有一定安全风险,请谨慎选择。 名称:安全组的名称。安全组名称请配置成方便识别的名称,例如“sg_sap_”。 企业
模板:模板自带安全组规则,方便您快速创建安全组。提供如下几种模板: 自定义:用户自定义安全组规则。 通用Web服务器:默认放通22、3389、80、443端口和ICMP协议。 开放全部端口:开放全部端口有一定安全风险,请谨慎选择。 名称:安全组的名称。安全组名称请配置成方便识别的名称,例如“sg_sap_”。 企业
模板:模板自带安全组规则,方便您快速创建安全组。提供如下几种模板: 自定义:用户自定义安全组规则。 通用Web服务器:默认放通22、3389、80、443端口和ICMP协议。 开放全部端口:开放全部端口有一定安全风险,请谨慎选择。 名称:安全组的名称。安全组名称请配置成方便识别的名称,例如“sg_sap_hana”。
包含、敏感信息泄露、任意文件下载等)。 可用性检测(通过全国多地监测和DNS解析监测监控网站的可用性)。 对外服务开放监测(定期对网站开放服务进行扫描,检测是否开放多余服务)。 敏感内容审计(定期对网站内容进行检测,对出现敏感内容页面进行告警)。 协同预警(协同技术小组根据最新漏洞与威胁跟踪结果提供预警)。
包含、敏感信息泄露、任意文件下载等)。 可用性检测(通过全国多地监测和DNS解析监测监控网站的可用性)。 对外服务开放监测(定期对网站开放服务进行扫描,检测是否开放多余服务)。 敏感内容审计(定期对网站内容进行检测,对出现敏感内容页面进行告警)。 协同预警(协同技术小组根据最新漏洞与威胁跟踪结果提供预警)。
系统等等,主要的目的是保持权责分明,开发系统只针对开发人员开放,只用于系统开发,开发完后传输到测试系统中;测试系统只对测试人员开放,只用于系统和功能测试,测试完后传输到生产系统;生产系统内不能做任何修改,只对最终用户开放,任何修改(如升级补丁,新功能开发等)必需回退到开发系统中重新做。
模板:模板自带安全组规则,方便您快速创建安全组。提供如下几种模板: 自定义:用户自定义安全组规则。 通用Web服务器:默认放通22、3389、80、443端口和ICMP协议。 开放全部端口:开放全部端口有一定安全风险,请谨慎选择。 名称:安全组的名称。安全组名称请配置成方便识别的名称,例如“studio_security_group”。
模板:模板自带安全组规则,方便您快速创建安全组。提供如下几种模板: 自定义:用户自定义安全组规则。 通用Web服务器:默认放通22、3389、80、443端口和ICMP协议。 开放全部端口:开放全部端口有一定安全风险,请谨慎选择。 名称:安全组的名称。安全组名称请配置成方便识别的名称,例如“studio_security_group”。
确保目的端服务器所在VPC安全组配置准确。需配置目的端服务器所在VPC安全组。如果是Windows系统,开放TCP的8899端口和8900端口;如果是Linux系统,开放8900、22端口。 请参见如何配置目的端服务器安全组规则? 配置安全组规则。 父主题: 迁移准备
P]:[PORT]。 对于由IDC发起的对开发测试环境的入方向策略,根据场景不同设置相应的访问控制策略。如AD服务器与保留系统,场景较为固定,应设置相应的策略,使其能够与云上特定[IP]:[PORT]互通。而对于End user,可限制能够访问的特定IP段与端口(业务端口)区间,以及22/3389等管理端口。
HANA实例编号规划请参考SAP HANA云服务器规划。 更多有关于SAP需要访问的特定端口和相应安全组规则,请参见SAP官方文档。 表1 SAP HANA安全组规则 源地址/目的地址 协议 端口范围 说明 入方向 系统自动指定 全部 全部 系统默认创建的安全组规则。 允许属于同一个安全组的云服务器互相通信。
与安装SAP HANA软件时指定的实例编号保持一致。 更多有关于SAP需要访问的特定端口和相应安全组规则,请参见SAP官方文档。 表3 安全组规则(SAP HANA) 源地址/目的地址 协议 端口范围 说明 入方向 10.0.0.0/24 TCP 3##13 允许SAP HANA
),可限制能够访问管理区主机的22/3389等管理端口。 本节中提到的IP地址及端口号仅为示例,如有其它管理端口,可根据实际情况增加策略。 表1 网络ACL“NACL-PRD-MGMT”入方向 规则 # 源 IP 协议 目的端口 允许/拒绝 说明 对管理员 客户数据中心某子网-a
区主机的22/3389等管理端口。 本节中提到的IP地址及端口号仅为示例。管理员也可设置具备End Uesr角色相应的策略,使管理员可访问开发测试环境业务端口。 表1 网络ACL“NACL-DEV-MGMT”入方向 规则 # 源 IP 协议 目的端口 允许/拒绝 说明 对管理员 客户数据中心某子网-a
下。 wget https://obs-sap-cn-south-1.obs.cn-south-1.myhuaweicloud.com:443/Rsync/DirSyncScript.zip -P /opt/huawei cd /opt/huawei unzip DirSyncScript
络仅能访问开发测试环境特定的[IP]:[PORT]。 表3 网络ACL“NACL-PRD-DMZ”出方向 规则 # 目的 IP 协议 目的端口 允许/拒绝 说明 对AD/ADFS服务器 IDC-AD/ADFS网络 TCP AD/ADF端口 允许 允许与IDC内部AD/ADFS服务器进行对接。
特殊场景安全方案。 图1 特殊场景安全方案 此方案主要区别为: 管理区合一,部署一台堡垒机,不再区分PRD与DEV。 各业务出口、运维通道,如无必要对全网开放,建议加强网络ACL策略,严格限制源IP。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
