Netzwerkbasierte Zugriffskontrolllisten (ACL) konfigurieren
Sie können eine Zugriffskontrolliste (ACL) einrichten und damit steuern, welche Verbindungen das SAP-Gateway akzeptiert und welche nicht. Grundlage hierfür sind die IP-Adressen der Clients. Für den "allgemeinen" und den "SNC"-Port des SAP-Gateways wird die gleiche ACL-Datei verwendet.
-
Legen Sie eine ACL-Datei an gemäß der unten beschriebenen Syntax.
-
Setzen Sie im Instanzprofil der SAP-Gateway-Instanz den Parameter gw/acl_file auf den Dateipfad der ACL-Datei.
AchtungWenn dieser Parameter nicht gesetzt ist, akzeptiert das SAP-Gateway alle Verbindungsanfragen.
Syntax der ACL-Datei
Eine Zeile der ACL muss der folgenden Syntax entsprechen:
<permit | deny> <ip-address[/mask]> [tracelevel] [# comment]
Hierbei gilt:
-
permit erlaubt eine Verbindung, deny verbietet eine Verbindung.
-
<ip-address>: Die IP-Adresse muss eine IPv4- oder IPv6-Adresse der folgenden Form sein:
-
IPv4: 4 byte, dezimal, '.' separiert: z.B. 10.11.12.13
-
IPv6: 16 byte, hexadezimal, ':' separiert. '::' wird unterstützt
-
-
<mask>: Wenn eine Maske mit angegeben wird, dann muss es eine Subnetz-Präfixmaske sein:
-
IPv4: 0-32
-
IPv6: 0-128
-
-
<tracelevel>: Trace-Level, mit dem Treffer (Übereinstimmung der Adressen unter Berücksichtigung der Subnetzmaske) der ACL in die jeweilige Trace-Datei geschrieben wird (Defaultwert 2).
-
<# comment>: Kommentarzeilen beginnen mit einem Gatter #.
-
Die Datei darf Leerzeilen enthalten.
Die Regeln werden sequentiell von oben beginnend geprüft ( "top down"). Die erste zutreffende Regel bestimmt das Ergebnis ( "first match"). Wenn keine Regel zutrifft, wird die Verbindung abgelehnt. Zum eindeutigen Verständnis sollte dennoch ein explizites deny (deny 0.0.0.0/0) als letzte Regel eingetragen werden.
|
permit 10.1.2.0/24 # permit client network permit 192.168.7.0/24 # permit server network permit 10.0.0.0/8 1 # screening rule # (learning mode, trace-level 1) permit 2001:db8::1428:57ab # permit IPv6 host deny 0.0.0.0/0 # deny the rest |