西门子全国S7-300经销商
工控机等工业自动化的设计、技术开发、项目选型安装调试等相关服务。西门子中国有限公司授权合作伙伴——浔之漫智控技术(上海)有限公司,作为西门子中国有限公司授权合作伙伴,浔之漫智控技术(上海)有限公司代理经销西门子产品供应全国,西门子工控设备包括S7-200SMART、 S7-200CN、S7-300、S7-400、S7-1200、S7-1500、S7-ET200SP 等各类工业自动化产品。公司国际化工业自动化科技产品供应商,是专业从事工业自动化控制系统、机电一体化装备和信息化软件系统
集成和硬件维护服务的综合性企业。西部科技园,东边是松江大学城,西边和全球**芯片制造商台积电毗邻,作为西门子授权代理商,西门子模块代理商,西门子一级代理商,西门子PLC代理商,西门子PLC模块代理商,
建立现代化仓
储基地、积累充足的产品储备、引入万余款各式工业自动化科技产品与此同时,我们
向北5公里是佘山国家旅游度假区。轨道交通9号线、沪杭高速公路、同三国道、松闵路等
交通主干道将松江工业区与上海市内外连接,交通十分便利。
建立现代化仓
储基地、积累充足的产品储备、引入万余款各式工业自动化科技产品,我们以持续的卓越与服务,取得了年销
售额10亿元的佳绩,凭高满意的服务赢得了社会各界的好评及青睐。与西门子品牌合作,只为能给中国的客户提供值得信赖的服务体系,我们
的业务范围涉及工业自动化科技产品的设计开发、技术服务、安装调试、销售及配套服务领域。
必须区分两种操作视图:
● 在标准模式下,使用简单的预定义的规则。仅可启用服务特定的规则。对所有节点允
许启用的服务,并且在指定的方向上允许完全访问。
● 在**模式下,可进行详细的防火墙设置。可针对单个的节点允许具体的服务或全部
服务,以访问工作站或网络。
在**模式下,必须区分以下防火墙规则或规则集:
– 本地防火墙规则可分配给一个安全模块。会在安全模块的属性对话框中对这些规则
进行组态。
– 全局防火墙规则集可分配给单个模块或同时分配给多个安全模块。这些规则集显示
在安全组态工具**模式下的导航面板中并进行全局性组态。
– 用户特定的 IP
规则集可分配给单个模块或同时分配给多个安全模块。这些规则集显示在安全组态
工具**模式下的导航面板中并进行全局性组态。
SCALANCE S V4 (RADIUS):用户特定的 IP
规则集可分配给单个或多个用户,也可分配给单个或多个角色。
在服务定义的帮助下,您也可以紧凑的形式清楚地定义防火墙规则。服务定义适用于上述
所有规则类型。
启用防火墙
在标准模式下,通过选中“激活防火墙”(Activate firewall)
复选框来控制防火墙。如果取消选中该复选框,则已输入的防火墙设置在列表中仍然显示
但无法进行修改。如果安全模块在 VPN
组中,则默认启用该复选框并且无法取消选中它。
启用日志设置
在标准模式下,可在“防火墙”(Firewall)
选项卡中全局启用记录。然而,并非所有通过防火墙的数据包都会显示。
在**模式下,可分别启用各防火墙规则记录。这表示与标准模式下所显示数据包相关的
限制并不适用。说明
SCALANCE S627-2M 的防火墙
SCALANCE S627-2M
的媒介模块通过交换芯片连接到特定接口的内置端口。因此,外部接口的端口之间或内部
接口的端口之间并没有防火墙功能(第 2 层/第 3 层)。
4.1 标准模式下的 CP
启用数据滤规则
如果在 STEP 7 中启用了 CP 的安全功能,则*初会允许对 CP
进行或通过它进行的所有访问。
要启用单个的数据滤规则,请单击“启用防火墙”(Enable firewall) 复选框。
然后启用所需服务。
依据连接组态自动创建的防火墙规则比在此设置的服务有更高的优先级。
所有节点均可通过已启用的服务进行访问。
**模式中的详细防火墙设置
在**模式下,可针对单个的节点设置防火墙规则。
要切换到**模式,请选择“**模式”(Advanced mode) 复选框。
说明
无法返回标准模式
如果针对当前项目切换到**模式,则无法切换回原来的模式。
带 VPN 的防火墙组态
如果安全模块在 VPN 组中,则默认启用“仅隧道通信”(Tunnel communication only)
复选框。 这意味着通过外部接口通信不能绕过隧道并且仅允许加密的 IPsec 数据传输。
自动创建防火墙规则“丢弃 > 任何 > 外部”(Drop > Any > External)。
如果取消选中该复选框,则允许隧道通信以及在其它复选框中选择的通信类型
默认防火墙设置
以默认值进行响应
下图详细地显示了在选择了“启用防火墙”(Enable firewall)
复选框且**模式下无规则时,IP 数据滤和 MAC
数据滤在不同情况下的标准设置。
通过在**模式下创建适当的防火墙规则可修改行为④ 允许以下类型的帧从外部源发往(外部节点和外部安全模块)安全模块:
• ESP 协议(加密)
• IKE(用于建立 IPsec 隧道的协议)
• NAT 穿越(用于建立 IPsec 隧道的协议)
⑤ 允许通过 IPsec 隧道进行 IP 通信。
⑥ 安全模块允许发往外部的 Syslog 类型的帧并且此类帧不受防火墙的影响。
注意
因为 Syslog 是不可靠的协议,所以无法保证能可靠的传送日志数据。
⑦ 允许所有由安全模块发到内部和外部的帧。
⑧ 允许来自内部网络或来自安全模块的查询响应允许从安全模块发往外部的以下类型的帧:
• 具有带宽限制的 ARP
• 具有带宽限制的 PROFINET DCP
⑤ 允许通过 IPSec 隧道发送的以下协议:
• ISO
• LLDP
说明
通信不可绕过 VPN 隧道
对于项目中所有已知的 VPN 伙伴,还会防止 VPN 端点间的通信绕过隧道。
通过在**模式下创建适当的防火墙规则不能修改此行为。
4.1.1.2 组态防火墙
如何访问此功能
1. 选择要编辑的安全模块。
2. 选择菜单命令“编辑 > 属性...”(Edit > Properties...)、“防火墙”(Firewall) 选项卡。
表格 4- 1 可用的服务和方向
服务 站 ⇒
外部
内部 ⇒
外部
外部 ⇒
内部
外部
⇒ 站
外部 ⇔
站
启用的端口 含义
允许 IP
通信
x x x - - 允许所选通信方向的 IP 流量。
允许 S7
协议
x x x - TCP 端口
102
允许节点使用 S7 协议通信。
允许
FTP/FTP
S(显式模
式)
x x x - TCP 端口 20
TCP 端口 21
用于服务器和客户端之间的文件管理和
文件访问。
允许
HTTP
x x x - TCP 端口 80 用于与 Web 服务器通信
允许从外部网络到站或相反方向的 MAC
流量。
允许 ISO
通信
- - - x - 允许从外部网络到站或相反方向的 ISO
流量。
表格 4- 2 记录 IP 和 MAC 规则集
规则集 激活后的动作 创建的规则
IP 日志设置 动作 自 至
记录通过隧道传输的数据包 仅在安全模块为 VPN
组的成员时才激活。
记录所有通过隧道转发的 IP
数据包。
允许 站 隧道
允许 隧道 站
记录被阻止的传入数据包 记录所有被丢弃的传入 IP
数据包。活后的动作 创建的规则
记录发到站的被阻止的传入数据包 记录所有被丢弃的传入 MAC
数据包。
丢弃 外部 站
记录被阻止从站往外发送的传出数据包 记录所有被丢弃的传出 MAC
数据包。
丢弃 站 外部
说明
不记录通过组态的连接传输的数据流量。
4.1.1.3 组态访问列表
更改 IP 访问列表/ACL 条目
如果在 STEP 7 的“IP 访问保护”(IP Access Protection) 选项卡中的“激活 IP
通信的访问保护”(Activate access protection for IP communication)
复选框被选中,则会显示该列表。
可使用 IP 访问列表对某些 IP 地址设置访问保护。 已在 STEP 7
中设置了适当权限的列表条目将在 SCT 中显示。
可在 STEP 7 中选择的“修改访问列表 (M)”权限不会传送到 SCT。 必须为 SCT
中的相关用户分配“Web:扩展 IP 访问控制列表”(Web: Expand IP access control list)
用户权限,才能分配附加的 IP 访问权限。
说明
移植后的行为变化
• 移植后,只有外部接口上的访问保护仍然有效。
为使内部接口的访问保护同样有效,需要在 SCT
的**模式中组态适当的防火墙规则。
• 安全模块对还未启用的 IP 地址(第 2 层)发来的 ARP 查询也会进行响应。
• 如果移植了空 IP 访问控制列表,则启用防火墙后,从外部网络不再能访问到相应
CP。 要使 CP 可用,需在 SCT 中组态适当的防火墙规则。SCT 菜单命令: 选择要编辑的安全模块,然后选择菜单命令“编辑 > 属性...”(Edit >
Properties...),“防火墙”(Firewall) 选项卡。
STEP 7 菜单命令: “IP 访问保护 > 开始防火墙组态”(IP access protection > Start of
firewall configuration)、“运行…”(Run…) 按钮。
表格 4- 3 信息
参数 含义
IP 地址 允许的 IP 地址或 IP 地址范围。
权限 取决于所进行的分配。 为 IP 地址启用的权限。
注释 附加注释条目。
记录 如果选中此复选框,则在数据滤日志中记录相关规则。
启用**模式 如果选中此复选框,则转换以下防火墙规则中的条目。
表格 4- 4 按钮
名称 含义/作用
新建... 创建具有相应权限的新 IP 地址或新 IP 地址范围。
修改... 选择条目并单击此按钮可编辑现有条目。
删除 (Delete) 使用此按钮删除所选的条目。
4.1.1.4 在访问列表中添加条目
进行以下设置
框 说明
IP 地址(或 IP 范围的起始值) 输入 IP 地址或 IP 地址范围的起始值。
IP 范围的结束值(可选) 输入 IP 地址范围的结束
