Show TOC Anfang des Inhaltsbereichs

Hintergrunddokumentation Empfehlungen  Dokument im Navigationsbaum lokalisieren

Bevor Sie die SNC-Konfiguration vornehmen, sollten Sie die folgenden Punkte beachten:

     Die Kommunikationsverbindung zwischen Ihrem Anwendungsserver und der Datenbank können Sie nicht mit SNC sichern.

Bei der Kommunikation mit der Datenbank befinden sich die Endpunkte der Kommunikation innerhalb der Datenbankmodule und nicht in den SAP-Systemmodulen. Sie können diese Kommunikationsverbindung daher nicht mit SNC schützen. Wir empfehlen Ihnen, das Ihre Datenbank enthaltende (Teil-)Netzwerk vom Rest Ihres Netzwerks zu trennen und es mit einer Firewall zu schützen (siehe Grafik unten).

     Um die Performance zu verbessern, schützen Sie interne Remote Function Calls (RFCs) über die Netzwerkinfrastruktur statt mit SNC.

Zeitkritische Kommunikationen finden oft zwischen Anwendungsservern innerhalb des SAP-Systems statt (z. B. RFCs). Um die Performance zu verbessern (der Aufbau einer mit SNC geschützten Verbindung ist zeitaufwendig), empfehlen wir Ihnen, diese Kommunikationsverbindungen durch den Aufbau eines sicheren Teilnetzes zu schützen. In diesem Teilnetz können Sie ohne SNC sicher kommunizieren (siehe Grafik unten). Siehe auch die Beschreibung des Profilparameters snc/r3int_rfc_secure. (Setzen Sie den Parameter auf den Wert "0". Interne RFCs werden dann nicht mit SNC geschützt.)

     Sie müssen Benutzern außerhalb des sicheren (Teil-)Netzwerks Zugriff ermöglichen.

Die Verbindung zum SAP-System über SAP GUI muss von jedem Endpunkt und für jeden Endbenutzer möglich sein. Die Verbindungsanforderungen müssen durch die Firewall gelangen. Sie müssen entweder den Dispatcher-Port des SAP-Systems direkt an der Firewall öffnen (sapdp<nn>) oder die Verbindungsanforderung über einen SAProuter leiten. Der Standard-SAProuter-Port ist 3299.

Hinweis

Sie können Ihr System so konfigurieren, dass nur mit SNC geschützte SAP-GUI-Verbindungen akzeptiert werden. Geben Sie diese Konfiguration in den Profilparametern und in den Benutzerstammsätzen an. Sie können diese Option für alle SAP-GUI-Verbindungen oder nur für bestimmte Benutzer einstellen. Weitere Informationen finden Sie im Profilparameter snc/accept_insecure_gui.

     Verwenden Sie den "sicheren" Gateway-Port (sapgw<nn>s), um nur mit SNC geschützte Verbindungen zwischen dem SAP-System und externen RFC-Serverprogrammen zuzulassen.

Die Verbindung zum SAP-System muss auch für externe RFC-Serverprogramme verfügbar sein. Bei der Verwendung von SNC empfehlen wir Ihnen, nur mit SNC geschützte Verbindungen zwischen SAP-Systemen und den externen RFC-Serverprogrammen zuzulassen. Um den SNC-Schutz zu gewährleisten, konfigurieren Sie Ihre Firewall so, dass sie nur Anforderungen an den "sicheren" Gateway-Port (sapgw<nn>s) zulässt und Anforderungen an den "normalen" Gateway-Port (sapgw<nn>) ablehnt. Das Gateway lehnt alle eingehenden Anforderungen über den sicheren Port ab, die nicht mit SNC geschützt sind.

Beispiel für ein mit SNC geschütztes Netzwerk

Diese Grafik wird im zugehörigen Text erklärt

Die folgenden Ports sind die sicheren Gateway-Ports, die über die Firewall zugänglich sein müssen:

     sapgw<nn>s/tcp     4800-4899

<nn> steht hierbei für die SAP-Systemnummer

Alternativ können Sie den Zugriff auf die Ports über einen SAProuter zulassen. In diesem Fall müssen Sie die Firewall so konfigurieren, dass sie nur Anforderungen an den SAProuter-Port zulässt und alle anderen ablehnt. Sie müssen dann die erforderlichen Einträge in der Route-Permission-Tabelle des SAProuters vornehmen, in der der SAProuter angibt, auf welchen sicheren Port auf welchem Gateway (sapgw<nn>s) der Zugriff erlaubt ist. Weitere Informationen hierzu finden Sie unter SNC konfigurieren: SAProuter à SAProuter.

 

 

Ende des Inhaltsbereichs