各位同事，

在本博客中，物联网公司，我将从较高的层次解释"保护SAP Fiori环境"。

当我们的SAP ERP业务流程通过Fiori应用程序暴露于外部世界（互联网）时，物联网是啥，保护SAP环境非常重要。到处都是袭击者！

大多数情况下，我们都会将Fiori（网关）暴露给外界。试想一下，如果任何攻击者能够在网关实例上执行stopsap脚本并将其取下？

实例不可用，用户无法访问系统。这将直接影响生产率。要避免这种情况，请始终确保修补和加固消息服务器。避免使用消息服务器作为负载均衡器，始终使用SAP Web Dispatcher进行负载平衡。

如果价值百万美元的采购申请或采购订单被送到错误的人手中，并且未经正确的决策者同意而被批准，该怎么办？

这将影响数据完整性，也可能对组织财务产生重大影响。为了避免这种情况，请始终确保建立一个强大的身份验证，以确保不会发生不正确的业务交易。

当从移动设备访问Fiori时，我们会无意中通过下载、复制和共享或转发不安全的消息应用程序来共享大量业务文档（如图像、PDF等附件）。根据适用的组织政策，这可能导致信息泄露。

区域1：网络»识别并终止DMZ中前端服务器上不受信任的连接。»在客户端和服务器之间设置防火墙规则。»在不受信任的网络和网关服务器之间以阻塞模式实施Web应用程序防火墙。»实现Web Dispatcher，从技术上限制从不受信任的网络访问ICF服务。

区域2：软件

最常受到攻击的Web应用程序漏洞是1注入2中断的身份验证和会话管理三。跨站点脚本（XSS）4安全配置错误5敏感数据暴露6跨站点请求伪造

»在开发UI5应用程序、oData服务时始终遵循开发标准。»培训开发人员实现安全软件开发。»在oData服务开发中调用BAPI或BADI时，始终实现权限检查对象。»您可以使用标准的代码分析工具，top返利，如代码检查器。

区域3：三点安全配置

1。网关服务器安全配置步骤：加固网关服务器：网关服务器核心服务侦听端口33XX（XX是实例值）。用于RFC和CPIC连接。这个服务是黑客的攻击点。始终将服务器修补到最新版本，以确保此服务不受外部威胁源的影响。

加强消息服务器：在HTTP场景中，可以使用消息服务器或SAP Web Dispatcher来平衡客户端的负载请求。什么时候Fiori通过HTTP暴露于Internet，始终仅使用SAP Web dispatcher进行负载平衡，以便无法从不受信任的网络直接访问邮件服务器。

加强您的ICF服务器：ICF服务器是不可信连接的入口点。始终安全部署。

加固ABAP堆栈：始终锁定/停用未经授权的用户帐户，并在事务RZ10中设置策略参数。

激活日志记录：启用所需的日志类型，以监视和识别是否存在任何可疑的基于网络的活动。

2.SAP Web Dispatcher配置

当Fiori暴露于外部世界时，微信返利机器人，大淘客app，应该使用web dispatchers来负载平衡HTTPS流量，而不是实例消息服务器。总是确保Web Dispatcher管理功能不能从需要访问的网络和系统访问。

3.安全客户端配置管理客户端（移动设备）的安全配置是一项挑战。目前我们在网关服务器上没有足够的配置。我们需要授权最终用户使用一个安全的PIN来保护他们的移动设备。通过实施SAP的一些安全解决方案，如SAP Afaria、SAP Mobile secure，可以应对这些挑战。这需要额外的许可成本。

SAP Afaria具有以下特性以适应安全客户端配置。»密码策略»限制政策»硬件和软件信息»应用程序策略»外汇账户管理»Wi-Fi策略管理

推出SAP Fiori Launchpad的核心服务是USHELL和FLP。始终确保它们位于安全的HTTP（HTTPS）上。始终尝试使用基本身份验证以外的安全身份验证。