我相信每个人现在都已经阅读了大量关于"如何使您的SAP系统安全"的文章，特别是在Onapsis最近于10月10日发表的文章之后克布雷泽。这个文章重点介绍了我们需要/可以采取哪些措施来保护我们的SAP系统的细节。

如果您想阅读Onapsis报告的详细研究，请参阅此链接这里。

需要知道的一件重要的事情是，受影响的系统也可以使用S/4 HANA内部版本。

我将把博客分为两部分。

这里我将指出保护SAP网关需要注意的具体事项。

1>。检查早期监视警报（EWA）。EWA中会有一节提到注册信息和秒的设置_信息。拿着认真审核EWA的结果，并遵循EWA的建议。请参阅SAP note:863362–SAP EarlyWatch Alert、EarlyWatch和GoingLive会话中的安全检查。

2>。检查配置文件参数gw/acl\u mode。需要将其设置为1（参数描述链接：gw/acl\u mode）。

3>。文件secinfo和reginfo必须存在。您应该仔细检查secinfo文件示例中的每个子参数：USER-HOST=。不应存在不需要的条目，并注意不存在通配符（"*"）。

按照链接：secinfo

设置secinfo文件。该文件应包含条目：

，但不包含用户-主机

4>的其他带有通配符的条目。设置参数gw/reg\u no\u conn\u info=255英寸默认.PFL

5>. 要设置reginfo和secinfo，请参阅最新修订和更新的SAP说明（还包括CVSS分数）：1408081–regu info和secu info的基本设置

在reginfo和secinfo中进行更改时，始终存在一种威胁，即在进行任何更改时，现有的程序注册可能会受到威胁中断并导致连接失败和RFC生成错误。

要找出哪些连接允许进入网关，哪些连接拒绝，您可以使用网关日志记录。请将gw/sim\模式设置为1。（一切都是允许的）。但是额外的信息将被写入跟踪文件中，因为只有在gw/sim\u模式下才允许被拒绝的尝试。启动gw/logging，用gw/logging=ACTION=SsMPXZ LOGFILE=gw\u log-%y-%m-%d SWITCHTF=day MAXSIZEKB=1000 MAXFILES=50

记录所有sec\u信息和reg\u信息操作。这里有一个很好的SAP安全文档，请查看：保护远程函数调用（RFC）。

除此之外，SAP还发布了官方安全说明，有哪些云服务器，有助于使SAP系统更安全，请参阅此处链接。

1408081–注册信息和安全信息的基本设置

614971–GW:更改网关（安全信息）的ACL列表

1592493–GW:在"reginfo"配置中出现问题

1425765–生成安全信息注册信息

安全配置网关和外部程序之间的连接

安全参数关于网关

阅读Onapsis发布的报告，我发现威胁不是编码相关的，而是SAP NetWeaver安装的管理错误配置（基于NetWeaver版本和旧版本）。当我说管理时，它直接指向参数。那么，实时大数据，具体哪些参数呢？

与消息服务器安全相关的重要参数，必须正确设置以避免此攻击（10KBLAZE）是：

还有一些其他参数：ms/acl\u file\u admin、ms/acl\u file\u ext、ms/acl\u file\u extbnd，有关参数的更多详细信息，请参见以下链接：SAP消息服务器的安全设置

1>。确保参数rdisp/msserv和rdisp/msserv\u internal指向不同的端口。它们必须*不*指向同一端口。

外部客户端必须具有只读访问权限，物联网工程是什么，并且无权修改/写入数据。在这种情况下，如果端口相同，则外部客户机可以冒充内部客户机访问应用程序服务器，并在系统中进行不必要的更改。

2>。确保rdisp/msserv\u internal指示的端口号不会暴露在不受信任的网络中，并且您的网络团队会对端口进行彻底检查。

3>。最终用户不需要访问此端口，这是用39XX（XX=SAP系统的实例号）定义的。此端口必须被防火墙阻止，以便没有不需要的或外部应用程序可以访问此端口。外部客户端和服务器不能绕过防火墙访问消息服务器主机。

4>。对数据包筛选器进行配置，使其允许从相关系统的应用程序服务器运行或可以运行的主机访问消息服务器的内部端口。如果消息服务器的主机上没有可用的数据包筛选器，请使用相关规则设置外部防火墙。

参数"ms/acl\u info"指定对消息服务器具有访问权限的文件（默认值：/usr/sap//SYS/global/ms\u acl\u info）。如果文件存在，则必须包含所有计算机名、域、，免费自助建站系统，允许登录到消息服务器的应用程序服务器的IP地址和/或子网掩码。

文件的示例内容如下：

条目必须具有以下语法：

此链接提供acl文件语法的良好概述。

–ms/monitor–通过参数ms/monitor，您只能指定应用程序服务器可以修改消息服务器的内部状态。然后，外部msmon监视程序的访问受到限制。将其设置为0.

–ms/admin\端口–此端口用于打开和关闭消息服务器的TCP端口以进行管理。外部客户端可以通过此端口连接到消息服务器，以在消息服务器上执行管理任务。默认情况下，禁用外部程序的管理（ms/monitor=0）。

1421005–消息服务器的安全配置

821875–消息服务器的安全设置

1504652–咨询：应用服务器ABAP的安全配置

SAP消息服务器的安全设置

ACL文件的语法

希望这很有帮助。

问候，在云上，

Manjunath Hanmantgad