把 RFC Gateway 收紧到该开的口子上,SAP 系统外联安全配置全解

张开发
2026/4/13 18:37:34 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

把 RFC Gateway 收紧到该开的口子上,SAP 系统外联安全配置全解
很多团队在做 SAP 安全加固时,会把注意力放在 ICM、HTTP、OData、SICF、PFCG 或 S_RFC 这类更显眼的入口上,结果真正容易被忽视的一块,反而是 RFC Gateway。偏偏它又处在一个很尴尬的位置上,往里连着应用服务器,往外又承担着和其他 SAP 系统、外部程序之间的 TCP/IP 通信。如果这道口子开得太大,外部程序注册、远程启动、跨网段连接这些动作就都可能变成风险源。SAP 官方文档对这一点讲得很直接,Gateway 是应用服务器和其他 SAP 系统或程序之间的接口,凡是穿过 DMZ 去和外部系统通信的链路,默认都应被看作不安全。(SAP Help Portal)很多 Basis 同事在项目里都碰到过类似场景,S/4HANA 要接一个外部税务引擎,要连第三方打印服务,或者要让某个注册型 RFC Server 驻留在中间件主机上。系统能通,不等于系统安全。RFC Gateway 的安全设计,核心并不是把一切都堵死,而是把谁能连进来、谁能注册、谁能被启动、谁能调用已注册程序、哪些动作要被记录下来,这几件事拆开分别控住。SAP 在官方文档里给出的主线也正是这样,网络级 ACL、SNC 支持、reginfo、secinfo、Gateway 日志,以及一组补充安全参数,构成了完整的控制面。(

更多文章