西门子模块配件中国总经销商
提供西门子G120、G120C V20 变频器; S120 V90 伺服控制系统;6EP电源;电线;电缆;
网络交换机;工控机等工业自动化的设计、技术开发、项目选型安装调试等相关服务。西门子中国有限公司授权合作伙伴——浔之漫智控技术(上海)有限公司,作为西门子中国有限公司授权合作伙伴,浔之漫智控技术(上海)有限公司代理经销西门子产品供应全国,西门子工控设备包括S7-200SMART、 S7-200CN、S7-300、S7-400、S7-1200、S7-1500、S7-ET200SP 等各类工业自动化产品。公司国际化工业自动化科技产品供应商,是专业从事工业自动化控制系统、机电一体化装备和信息化软件系统
集成和硬件维护服务的综合性企业。西部科技园,东边是松江大学城,西边和全球**芯片制造商台积电毗邻,作为西门子授权代理商,西门子模块代理商,西门子一级代理商,西门子PLC代理商,西门子PLC模块代理商,
建立现代化仓
储基地、积累充足的产品储备、引入万余款各式工业自动化科技产品与此同时,我们
向北5公里是佘山国家旅游度假区。轨道交通9号线、沪杭高速公路、同三国道、松闵路等
交通主干道将松江工业区与上海市内外连接,交通十分便利。
建立现代化仓
储基地、积累充足的产品储备、引入万余款各式工业自动化科技产品,我们以持续的卓越与服务,取得了年销
售额10亿元的佳绩,凭高满意的服务赢得了社会各界的好评及青睐。与西门子品牌合作,只为能给中国的客户提供值得信赖的服务体系,我们
的业务范围涉及工业自动化科技产品的设计开发、技术服务、安装调试、销售及配套服务领域。
④ 允许以下类型的帧从外部源发往(外部节点和外部安全模块)安全模块:
• ESP 协议(加密)
• IKE(用于建立 IPsec 隧道的协议)
• NAT 穿越(用于建立 IPsec 隧道的协议)
⑤ 允许通过 IPsec 隧道进行 IP 通信。
⑥ 安全模块允许发往外部的 Syslog 类型的帧并且此类帧不受防火墙的影响。
注意
因为 Syslog 是不可靠的协议,所以无法保证能可靠的传送日志数据。
⑦ 允许所有由安全模块发到内部和外部的帧。
⑧ 允许来自内部网络或来自安全模块的查询响应允许从安全模块发往外部的以下类型的帧:
• 具有带宽限制的 ARP
• 具有带宽限制的 PROFINET DCP
⑤ 允许通过 IPSec 隧道发送的以下协议:
• ISO
• LLDP
说明
通信不可绕过 VPN 隧道
对于项目中所有已知的 VPN 伙伴,还会防止 VPN 端点间的通信绕过隧道。
通过在**模式下创建适当的防火墙规则不能修改此行为。
4.1.1.2 组态防火墙
如何访问此功能
1. 选择要编辑的安全模块。
2. 选择菜单命令“编辑 > 属性...”(Edit > Properties...)、“防火墙”(Firewall) 选项卡。
表格 4- 1 可用的服务和方向
服务 站 ⇒
外部
内部 ⇒
外部
外部 ⇒
内部
外部
⇒ 站
外部 ⇔
站
启用的端口 含义
允许 IP
通信
x x x - - 允许所选通信方向的 IP 流量。
允许 S7
协议
x x x - TCP 端口
102
允许节点使用 S7 协议通信。
允许
FTP/FTP
S(显式模
式)
x x x - TCP 端口 20
TCP 端口 21
用于服务器和客户端之间的文件管理和
文件访问。
用于与 Web
服务器进行安全通信,例如,用于 Web
诊断。
允许 DNS x x - - TCP 端口 53
UDP 端口 53
允许到 DNS 服务器的通信连接。
允许
SNMP
x x x - TCP 端口
161/162
UDP 端口
161/162
用于监视具有 SNMP 功能的节点。
允许
SMTP
x x - - TCP 端口 25 用于通过 SMTP
服务器在通过验证的用户间交换电子邮
件。
允许 NTP x x - - UDP 端口
123
用于时钟同步。
允许 MAC
级通信
- - - x - 允许从外部网络到站或相反方向的 MAC
流量。
允许 ISO
通信
- - - x - 允许从外部网络到站或相反方向的 ISO
流量。
表格 4- 2 记录 IP 和 MAC 规则集
规则集 激活后的动作 创建的规则
IP 日志设置 动作 自 至
记录通过隧道传输的数据包 仅在安全模块为 VPN
组的成员时才激活。
记录所有通过隧道转发的 IP
数据包。
允许 站 隧道
允许 隧道 站
记录被阻止的传入数据包 记录所有被丢弃的传入 IP
数据包。
丢记录被阻止从站往外发送的传出数据包 记录所有被丢弃的传出 MAC
数据包。
丢弃 站 外部
说明
不记录通过组态的连接传输的数据流量。
4.1.1.3 组态访问列表
更改 IP 访问列表/ACL 条目
如果在 STEP 7 的“IP 访问保护”(IP Access Protection) 选项卡中的“激活 IP
通信的访问保护”(Activate access protection for IP communication)
复选框被选中,则会显示该列表。
可使用 IP 访问列表对某些 IP 地址设置访问保护。 已在 STEP 7
中设置了适当权限的列表条目将在 SCT 中显示。
可在 STEP 7 中选择的“修改访问列表 (M)”权限不会传送到 SCT。 必须为 SCT
中的相关用户分配“Web:扩展 IP 访问控制列表”(Web: Expand IP access control list)
用户权限,才能分配附加的 IP 访问权限。
说明
移植后的行为变化
• 移植后,只有外部接口上的访问保护仍然有效。
为使内部接口的访问保护同样有效,需要在 SCT
的**模式中组态适当的防火墙规则。
• 安全模块对还未启用的 IP 地址(第 2 层)发来的 ARP 查询也会进行响应。
• 如果移植了空 IP 访问控制列表,则启用防火墙后,从外部网络不再能访问到相应
CP。 要使 CP 可用,需在 SCT 中组态适当的防火墙规则。
SCT 菜单命令: 选择要编辑的安全模块,然后选择菜单命令“编辑 > 属性...”(Edit >
Properties...),“防火墙”(Firewall) 选项卡。
STEP 7 菜单命令: “IP 访问保护 > 开始防火墙组态”(IP access protection > Start of
firewall configuration)、“运行…”(Run…) 按钮。
表格 4- 3 信息
参数 含义
IP 地址 允许的 IP 地址或 IP 地址范围。
权限 取决于所进行的分配。 为 IP 地址启用的权限。
注释 附加注释条目。
记录 如果选中此复选框,则在数据滤日志中记录相关规则。
启用**模式 如果选中此复选框,则转换以下防火墙规则中的条目。
表格 4- 4 按钮
名称 含义/作用
新建... 创建具有相应权限的新 IP 地址或新 IP 地址范围。
修改... 选择条目并单击此按钮可编辑现有条目。
删除 (Delete) 使用此按钮删除所选的条目。
4.1.1.4 在访问列表中添加条目
进行以下设置
框 说明
IP 地址(或 IP 范围的起始值) 输入 IP 地址或 IP 地址范围的起始值。
