在非军事区(DMZ)中安装SAP路由器

2020-09-07 05:13发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


亲爱的

我想最好地了解在安装SAPRouter时应遵循的最佳实践。

1。 我们应将SAProuter安装在非军事区(DMZ)或安装SAP服务器的同一LAN网络/IP网段中。

2。 在DMZ中安装时有什么优势。

在DMZ中安装时,请共享要遵循的配置文件。

此致

Venu Kumar G

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


亲爱的

我想最好地了解在安装SAPRouter时应遵循的最佳实践。

1。 我们应将SAProuter安装在非军事区(DMZ)或安装SAP服务器的同一LAN网络/IP网段中。

2。 在DMZ中安装时有什么优势。

在DMZ中安装时,请共享要遵循的配置文件。

此致

Venu Kumar G

付费偷看设置
发送
3条回答
haha101010
1楼 · 2020-09-07 06:04.采纳回答

您好!
在具有内部区域,DMZ区域和Internet区域的经典网络体系结构中,我已经看到了几种情况。

1。 DMZ
1.1从SAP支持到SAProuter的唯一端口tcp/3299(从SAP到SAProuter的防火墙ACL唯一的端口3299)
1.2必须从SAProuter经由防火墙释放所有必需的应用程序端口到系统中。 内部区域。 这些可能是许多系统(http,DB,Webgui,SAPgui,Java等)的大量端口。 之后,您将有很多从DMZ到内部区域的开放端口(DMZ中的一个子VLAN,该子VLAN上具有ACL)

2。 内部区域
2.1与1.1
2.2相同SAProuter位于与SAP服务器不同的VLAN中。 内部区域中还有防火墙,该防火墙允许筛选SAProuter和SAP服务器之间的通信。
从DMZ到内部区域没有开放的应用程序端口。 SAP通过单独的WAN区域中的VPN隧道终止。

3。 两个SAProuter,一个位于DMZ中,一个位于内部区域,级联
3.1与1.1
3.2相同除了DMZ中的SAProuter,内部区域中的SAProuter
=>仅来自SAP的端口3299 仅在内部区域中支持DMZ-SAProuter,并且仅从DMZ-SAProuter到SAProuter的端口3299
最好的问候

代楠1984
2楼-- · 2020-09-07 05:45

Hi Venu,

->为什么不建议将SAPRouter与SAP服务器安装在同一网络中。

要明确,我从未说过SAPRouter需要使用单独的网络:) SAPRouter可以位于客户网络中,而不是单独的(子 )域或网络。 单独的网络是不同的术语,而DMZ区域是不同的术语。 可以从Internet访问的服务器应受到防火墙的严格保护(换句话说,DMZ区域-被防火墙包围,仅通过打开的端口进行入站和出站通信)。 默认的SAPRouter端口为3299,因此您的公共IP仅应通过此端口连接。 这将减少风险。 您可能会问如果发生中间人攻击该怎么办,请记住SNC通过SAPRouter进行的SAP网络与客户网络之间的通信已完全加密。

->无论如何,LAN中的SAP Router安装将受到防火墙的保护,并且将仅允许通过防火墙在特定IP地址和端口之间进行SAP Router及其通信(对客户网络的SAP支持) ,反之亦然)。如果我们在DMZ或本地LAN中安装SAP路由器,这没有任何区别,这是我的观点,请您提供建议和增值服务。

这是错误的 ,如果将SAPRouter安装在本地LAN服务器中,则由于本地LAN服务器没有公共IP,因此无法通过Internet从SAP网络访问它。

希望这消除了您的疑问

骆驼绵羊
3楼-- · 2020-09-07 05:43

嗨,

SAP路由器应位于DMZ中,因为这将确保您的网络没有风险。

优点是,它受到防火墙的保护,因此仅使用打开的端口进行通信,并且没有人可以使用默认端口(如80或443)访问网络。您可以完全控制它。

第一步是,您必须使用公共IP向SAP注册Saprouter(SAProuter应该在DMZ中,因为可以从Internet上的任何地方访问公共IP)。参考SAP注释https://launchpad.support.sap.com/#/notes/28976

打开端口3299 路由器主机。

一旦在SAP支持门户中获得了专有名称,就可以安装和配置以下链接。

更多信息: https://support.sap.com/en/ tools/connectivity-tools/saprouter.html

安装: https://support.sap.com/zh-CN/tools/connectivity-tools/saprouter/install-saprouter.html

配置:https://support.sap.com/en/tools/connectivity-tools/saprouter/configure.html

完整的PDF文档: https://support.sap.com/content/dam/support/en_us/library/ssp/tools/connectivity-tools/saprouter/saprouter-documentation.pdf

希望如此 帮助。

谢谢

Pradeep

一周热门 更多>