西门子全国S7-400经销商

工控机等工业自动化的设计、技术开发、项目选型安装调试等相关服务。西门子中国有限公司授权合作伙伴——浔之漫智控技术(上海)有限公司，作为西门子中国有限公司授权合作伙伴，浔之漫智控技术（上海）有限公司代理经销西门子产品供应全国，西门子工控设备包括S7-200SMART、 S7-200CN、S7-300、S7-400、S7-1200、S7-1500、S7-ET200SP 等各类工业自动化产品。公司国际化工业自动化科技产品供应商，是专业从事工业自动化控制系统、机电一体化装备和信息化软件系统

集成和硬件维护服务的综合性企业。西部科技园，东边是松江大学城，西边和全球**芯片制造商台积电毗邻，作为西门子授权代理商，西门子模块代理商，西门子一级代理商，西门子PLC代理商，西门子PLC模块代理商，

建立现代化仓

储基地、积累充足的产品储备、引入万余款各式工业自动化科技产品与此同时，我们

向北5公里是佘山国家旅游度假区。轨道交通9号线、沪杭高速公路、同三国道、松闵路等

交通主干道将松江工业区与上海市内外连接，交通十分便利。

建立现代化仓

储基地、积累充足的产品储备、引入万余款各式工业自动化科技产品，我们以持续的卓越与服务，取得了年销

售额10亿元的佳绩，凭高满意的服务赢得了社会各界的好评及青睐。与西门子品牌合作，只为能给中国的客户提供值得信赖的服务体系，我们

的业务范围涉及工业自动化科技产品的设计开发、技术服务、安装调试、销售及配套服务领域。

说明 注释 输入附加注释，例如，用于描述通信伙伴或地 址范围的注释。 授予此 IP 地址以下访问权限。 访问站（A = 访问）： 地址在指定范围内的通信伙伴能够访问已分配 给相应 CP 的站 (CP/CPU)。您在连接组态（不适用于指定的连 接）中指定的 IP 地址默认具有该访问权限。 IP 路由到另一个子网（R = 路由）： 地址在指定范围内的通信伙伴能够连接到 CP 的其它子网。不会为您在连接组态中指定的 IP 地址自动设置该访问权限。 如有必要，必须在这里明确设置该访问权限。 执行输入时的其它规则： ● 将检查个别地址是否包含多次；在此，会检测以下内容： 多个单独条目；重叠范围。 ● 个别指定的 IP 地址也可能出现在某一地址范围内；在这种情况下，将适用分配给某个 IP 地址的全部访问权限。 ● 系统不会检查范围中是否包含无效地址（例如，虽然广播地址不能作为发送方的 IP 地址出现，但可在此处指定子网广播地址）。 4.1.2 CP 1628 4.1.2.1 默认防火墙设置 以默认值进行响应 下图详细地显示了在选择了“启用防火墙”(Enable firewall) 复选框且**模式下无规则时，IP 数据滤和 MAC 数据滤在不同情况下的标准设置。 通过在**模式下创建适当的防火墙规则可修改行为。CP 1628 的 IP 数据滤默认设置 ① 允许所有由 NDIS 和 IE（工业以太网）接口发往外部的帧。 ② 阻止所有来自外部的帧。 ③ 允许所有以下类型的帧从外部发往安全模块，反之也允许： • ESP 协议（加密） • IKE（用于建立 IPsec 隧道的协议） • NAT 穿越（用于建立 IPsec 隧道的协议） ④ 允许通过 IPsec 隧道进行 IP 通信。 ⑤ 安全模块允许 Syslog 类型的帧发往外部。P 1628 的 MAC 数据滤默认设置 ① 阻止所有来自外部的帧。 ② 允许所有从外部网络发来的以下类型的帧： • 具有带宽限制的 ARP • 具有带宽限制的 PROFINET DCP ③ 允许从安全模块发往外部的以下类型的帧： • 具有带宽限制的 PROFINET DCP ④ 允许通过 IPsec 隧道发送 MAC 协议。 说明 通信不可绕过 VPN 隧道 对于项目中所有已知的 VPN 伙伴，还会防止 VPN 端点间的通信绕过隧道。 通过在**模式下创建适当的防火墙规则不能修改此行为。允许节点使用 S7 协议通信。 允许 FTP/FTPS（显式模式 ） x - TCP 端口 20 TCP 端口 21 用于服务器和客户端之间的 文件管理和文件访问。 允许 HTTP x - TCP 端口 80 用于与 Web 服务器通信。 允许 HTTPS x - TCP 端口 443 用于与 Web 服务器进行安全通信，例如 ，用于 Web 诊断。 允许 DNS x - TCP 端口 53 UDP 端口 53 允许到 DNS 服务器的通信连接。 允许 SNMP x - TCP 端口 161/162 UDP 端口 161/162 用于监视具有 SNMP 功能的节点。 允许 SMTP x - TCP 端口 25 用于通过 SMTP 服务器在通过验证的用户间 交换电子邮件。 允许 NTP x - UDP 端口 123 用于时钟同步。 允许 MAC 级通信 - x - 允许从外部网络到站或相反 方向的 MAC 流量。 允许 ISO 通信 - x - 允许从外部网络到站或相反 方向的 ISO 流量。 允许 SiCLOCK - x - 允许从外部发往站或相反方 向的 SiCLOCK 时钟帧表格 4- 6 记录 IP 和 MAC 规则集 规则集 激活后的动作 创建的规则 IP 日志设置 动作 自 至 记录通过隧道传输的数据包 仅在安全模块为 VPN 组的成员时才激活。 记录所有通过隧道转发的 IP 数据包。 允许 站 隧道 允许 隧道 站 记录被阻止的传入数据包 记录所有被丢弃的传入 IP 数据包。 丢弃 外部 站 MAC 日志设置 动作 自 至 记录被阻止的传入数据包 记录所有被丢弃的传入 MAC 数据包。 丢弃 外部 站 记录被阻止的传出数据包 记录所有被丢弃的传出 MAC 数据包。 丢弃 站 外部 说明 不记录通过组态的连接传输的数据流量。处于标准模式的 SCALANCE S 4.2.1 默认防火墙设置 以默认值进行响应 下图给出了 IP 数据滤和 MAC 数据滤的详细默认设置。 通过在**模式下创建适当的防火墙规则可修改行为。 V3 及以上版本 SCALANCE S602/S612 的默认设置3 及以上版本 SCALANCE S602/612 的 MAC 数据滤默认设置 ① 阻止除以下帧类型外所有由内部发往外部的帧类型。 • ARP 帧 ② 允许所有由内部发往安全模块的帧。 ③ 阻止除以下帧类型外所有由外部发往内部的帧。 • 具有带宽限制的 ARP 帧 ④ 允许由外部发往安全模块的以下类型的帧： • 具有带宽限制的 ARP • 具有带宽限制的 PROFINET DCP • 在路由模式下： LLDP 帧 (Ethertype 0x88CC) ⑤ 在网桥模式下： 允许通过 IPsec 隧道发送 MAC 协议允许从安全模块发往外部的以下类型的帧： • PROFINET • 在路由模式下： LLDP 帧 (Ethertype 0x88CC) ⑦ 允许从外部发往安全模块的以下类型的组播帧和广播帧： • 具有带宽限制的 PROFINET 说明 自动启用 Ethertype 如果激活 PPPoE，则自动允许 Ethertype 0x8863 和 0x8864（PPPoE 发现和会话阶段）。27-2M V4 和从 V3 起的 SCALANCE S623 的默认设置 外部接口和内部接口的默认防火墙规则与适用于 S602 和 S612 类型的 SCALANCE S 模块的规则相符。 以下两幅图只显示了与 DMZ 接口相关的 IP 数据滤规则。 无法为 DMZ 接口定义 MAC 数据滤规则，因为帧在外部网络或内部网络与 DMZ 接口之间路由。①阻止所有由内部发往 DMZ 网络的帧。 ②允许所有通过 DMZ 接口由内部发往隧道及相反方向的帧。 ③阻止所有由 DMZ 网络发往内部的帧。 ④阻止所有通过 DMZ 接口由 DMZ 网络发往隧道及相反方向的帧。 ⑤允许由 DMZ 网络（DMZ 网络中的节点及 DMZ 网络中的安全模块）发往安全模块的以下类型的帧： • HTTPS (SSL) • ESP 协议（加密） • IKE（用于建立 IPsec 隧道的协议） • NAT 穿越（用于建立 IPsec 隧道的协议）说明 自动启用 Ethertype 如果激活 PPPoE，则自动允许 Ethertype 0x8863 和 0x8864（PPPoE 发现和会话阶段）。 4.2.2 组态 V3.0 及以上版本 SCALANCE S 的防火墙 如何访问此功能 1. 选择要编辑的安全模块。 2. 选择菜单命令“编辑 > 属性...”(Edit > Properties...)、“防火墙”(Firewall) 选项卡。 默认启用的防火墙 默认会启用“启用防火墙”(Enable firewall) 复选框。 因而会自动激活防火墙，阻止从外部到安全模块的所有访问。 通过在标准模式下单击相关复选框，启用特定方向的防火墙。 **模式中的详细防火墙设置 在**模式下，可针对各个节点设置防火墙规则，请参见以下部分： ● **模式下的防火墙 (页 156) 带 VPN 的防火墙组态 如果安全模块处于 VPN 组中并且已在标准模式下选中“**隧道通信”(Tunnel communication only) 复选框，则仅允许通过外部接口或 DMZ 接口传输加密的 IPsec 数据。仅对该模块（TCP 端口 443）的 HTTPS 访问仍允许不通过隧道进行。 如果取消选中该复选框，则允许隧道通信以及在其它复选框中选择的通信类型。表格 4- 8 记录 IP 和 MAC 规则集 规则集 激活后的动作 IP 日志设置 记录通过隧道传输的数据 包 仅在安全模块为 VPN 组的成员时才激活。 记录所有通过隧道转发的 IP 数据包。 记录被阻止的传入数据包 记录所有被丢弃的传入 IP 数据包。 记录被阻止的传出数据包 记录所有被丢弃的传出 IP 数据包。规则集 激活后的动作 MAC 日志设置 记录通过隧道传输的数据 包 仅在安全模块为 VPN 组的成员时才激活。 记录所有通过隧道转发的 MAC 数据包。 记录被阻止的传入数据包 记录所有被丢弃的传入 MAC 数据包。 记录被阻止的传出数据包 记录所有被丢弃的传出 MAC 数据包。 4.2.3 组态 V3.0 以下版本 SCALANCE S 的防火墙 如何访问此功能 1. 选择要编辑的安全模块。 2. 选择菜单命令“编辑 > 属性...”(Edit > Properties...)、“防火墙”(Firewall) 选项卡。 说明 **模式中的详细防火墙设置 在**模式下，可针对单个的节点设置防火墙规则。 说明 无法返回标准模式 如果针对当前项目切换到**模式，则无法切换回原来的模式。 SCT 单机版的补救措施：关闭项目而不保存，然后再次打开。