9防火墙#
本章介绍了如何使用防火墙和加密限制对系统的访问,以及如何远程连接到系统。
9.1配置SuSEfirewall2#
“SUSE Linux Enterprise Server for SAP Applications”安装流程默认启用“SuSEfirewall2”。需要手动配置防火墙,允许以下情况的网络访问:
SAP应用程序
数据库(请参阅数据库供应商的文档;对于SAP HANA,请参见第9.2节“配置hana防火墙”)
另外,打开端口1128
(TCP)和1129
(UDP)。
SAP应用程序需要防火墙中的许多开放端口和端口范围。确切的数字取决于所选的实例。有关更多信息,请参阅SAP提供给您的文档。
9.2配置HANA-Firewall#
为了简化SAP HANA防火墙的设置,请安装该包HANA-Firewall。HANA-Firewall将规则集添加到现有的SuSEfirewall2配置中。
HANA-Firewall由以下几个部分组成:
YaST模块允许从图形用户界面配置、应用和恢复SAP HANA的防火墙规则。 。
命令行实用工具
hana-firewall
。允许应用和恢复已配置的SAP HANA防火墙规则。如果您愿意,您可以使用配置文件配置规则集
/etc/sysconfig/hana-firewall
而不是使用YaST。服务
hana-firewall
。确保已配置的SAP HANA防火墙规则保持不变。
对于多租户SAP HANA (MDC)数据库,还不能自动确定需要打开的端口号。如果您使用的是多租户SAP HANA数据库系统:在使用YaST之前,在命令行上运行一个脚本来创建一个新的服务定义:
#
cd /etc/hana-firewall.d
#
。/ create_new_service
您需要切换到该目录/etc/hana-firewall.d
否则,新服务的规则文件将被创建在一个不能使用它的地方。
该脚本将询问几个问题:重要的是,它将询问需要打开的TCP和UDP端口范围。
在继续之前,请确保包HANA-Firewall和yast2-hana-firewall安装。
确保要为其配置防火墙的SAP HANA数据库已正确安装。
要打开适当的YaST模块,请选择
; , ; 。当您打开这个YaST模块时,它将根据已安装的SAP HANA实例的数量创建一个配置建议。
选择是否要接受建议,使用
或 。重要:缩小提案的设置范围建议的设置允许所有检测到的SAP HANA实例在所有检测到的网络接口上。缩小建议范围以进一步确保系统安全。
下
,激活 。此外,决定是否 。选择下面的网络接口
。通过在左侧的列表框中选择网络服务并单击来允许网络服务
。在右侧列表框中选择需要删除的服务,单击 。如果需要添加预配置服务以外的其他服务,请使用以下表示法添加:
SERVICE_NAME:CIDR_NOTATION
有关CIDR表示法的更多信息,请参见https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing。要查找系统上可用的服务,请使用
getent服务
。重复的步骤5对于所有网络接口。
完成后,单击
。现在将编译并应用HANA-Firewall中的防火墙规则。然后是服务
hana-firewall
将重新启动。最后,检查HANA-Firewall是否正确启用:
#
hana-firewall状态
HANA防火墙处于主用状态。一切都很好。提示:检查哪些防火墙规则已启用可以使用命令行获得在脚本当前配置中启用了哪些防火墙规则的概述:
#
hana-firewall管制
的手册页了解更多信息hana-firewall
。
9.3SAProuter集成#
SAP的SAProuter软件允许代理不同SAP系统之间或SAP系统与外部网络之间的网络流量。SUSE Linux Enterprise Server for SAP Applications现在提供SAProuter集成systemd
。这意味着,SAProuter将与操作系统一起正常启动和停止,并可以使用控制systemctl
。
在使用此功能之前,请确保按照以下顺序安装:
包含SAProuter的SAP应用程序
将SAProuter系统集成,封装为saprouter-systemd
如果最初安装的应用程序顺序错误,请重新安装saprouter-systemd。
用来控制SAProutersystemctl
使用:
启用SAProuter服务:
Systemctl启用saprouter
启动SAProuter服务:
Systemctl启动saprouter
显示SAProuter服务状态:
Systemctl status saprouter
停止SAProuter服务:
停止saprouter
关闭SAProuter服务:
Systemctl禁用saprouter