西门子工业自动化中国一级经销商

西门子工业自动化中国一级经销商

提供西门子G120、G120C V20 变频器； S120 V90 伺服控制系统；6EP电源；电线；电缆；

网络交换机；工控机等工业自动化的设计、技术开发、项目选型安装调试等相关服务。西门子中国有限公司授权合作伙伴——浔之漫智控技术(上海)有限公司，作为西门子中国有限公司授权合作伙伴，浔之漫智控技术（上海）有限公司代理经销西门子产品供应全国，西门子工控设备包括S7-200SMART、 S7-200CN、S7-300、S7-400、S7-1200、S7-1500、S7-ET200SP 等各类工业自动化产品。公司国际化工业自动化科技产品供应商，是专业从事工业自动化控制系统、机电一体化装备和信息化软件系统

集成和硬件维护服务的综合性企业。西部科技园，东边是松江大学城，西边和全球**芯片制造商台积电毗邻，作为西门子授权代理商，西门子模块代理商，西门子一级代理商，西门子PLC代理商，西门子PLC模块代理商，

建立现代化仓

储基地、积累充足的产品储备、引入万余款各式工业自动化科技产品与此同时，我们

向北5公里是佘山国家旅游度假区。轨道交通9号线、沪杭高速公路、同三国道、松闵路等

交通主干道将松江工业区与上海市内外连接，交通十分便利。

建立现代化仓

储基地、积累充足的产品储备、引入万余款各式工业自动化科技产品，我们以持续的卓越与服务，取得了年销

售额10亿元的佳绩，凭高满意的服务赢得了社会各界的好评及青睐。与西门子品牌合作，只为能给中国的客户提供值得信赖的服务体系，我们

的业务范围涉及工业自动化科技产品的设计开发、技术服务、安装调试、销售及配套服务领域。

仅激活使用设备所需的协议。 • 通过访问控制列表 (ACL) 中的规则限制对设备管理的访问。 • VLAN 结构化选项可针对 DoS 攻击和未经授权的访问提供保护。请检查该功能在您的环 境下是否实用或有效。 • 通过中央记录服务器对更改和访问进行记录。在受保护的网络区域内运行记录服务器，并 定期检查记录信息。 验证 说明 可访问性风险 - 数据损失风险 请勿丢失设备的密码。只能通过将设备复位为出厂设置（这会完全删除所有组态数据）来恢 复对设备的访问。 • 使用设备之前，请更换所有用户帐户、访问模式和应用程序（如适用）的默认密码。 • 定义密码分配规则。 • 使用密码强度高的密码。避免使用密码强度弱的密码（如，password1、123456789、 abcdefgh）或重复字符（如，abcabc）。 此建议也适用于对设备组态的对称密码/密钥。 • 确保密码受保护且只透露给授权的人员。 • 请勿对多个用户名和系统使用相同的密码。 • 将密码存储在安全位置（非在线），以便在丢失时使用。 • 定期更改密码以**安全性。 • 如果已知或者疑似有未经授权的人员知道了密码，则必须更改密码通过 RADIUS 执行用户验证时，请确保所有通信均在安全环境中进行或均受到安全通道的 保护。 • 注意在端点之间不提供自身验证的链路层协议，例如 ARP 或 IPv4。攻击者可利用这些协 议中的漏洞来攻击连接到您的第 2 层网络的主机、交换机和路由器，例如，通过操纵子 网中系统的 ARP 缓存或使其中毒并随后拦截数据**。对于非安全第 2 层协议，必须采 取适当的安全措施，以防对网络进行未经授权的访问。对本地网络的物理访问可以是安 全的，也可以使用更高层的协议。 证书和密钥 • 设备中有一个密钥长度为 2048 位的预设 SSL/TLS (RSA) 证书。将此证书替换为用户生成 的含密钥高质量证书。使用由可靠外部或内部认证机构签署的证书。可通过 WBM （“System > Load and Save”）安装证书。 • 使用密钥长度为 4096 位的证书。 • 使用认证机构，包括密钥撤销与管理，来签署证书。 • 确保用户自定义的私人密钥都受到保护，未授权人员无法访问。 • 如果存在可疑的安全违规，请立即更改所有证书和密钥。 • 使用“PKCS #12”格式的具有密码保护的证书。 • 基于服务器和客户端侧的指纹验证证书，避免“中间人”攻击。为此，请使用第二条安 全传输路径。 • 将设备送至 Siemens 进行维修之前，请使用临时的一次性证书和密钥替换当前证书和密 钥，这些证书和密钥在设备返厂时会被销毁。务 • 应避免使用或禁用非安全协议或服务，例如，HTTP、Telnet 和 TFTP。由于历史原因，这 些协议可用，但并不适用于安全应用。请慎重对设备使用非安全协议。 • 检查是否有必要使用以下协议和服务： – 未验证和未加密的端口 – MRP、HRP – IGMP 监听 – LLDP – DCP – Syslog – RADIUS – DHCP 选项 66/67 – TFTP – GMRP 和 GVRP • 以下协议具有安全备选方法： – HTTP → HTTPS – Telnet → SSH – SNMPv1/v2c → SNMPv3 检查是否有必要使用 SNMPv1/v2c。SNMPv1/v2c 的分类为非安全协议。使用阻止写访 问的选项。设备会为您提供适合的设置选项。 如果 SNMP 已启用，请更改团体名称。如果不需要不受限制的访问，请通过 SNMP 限 制访问。 使用 SNMPv3 的验证和加密机制。 – TFTP → SFTP – NTP → NTPsecure • 在物理保护措施未阻止设备访问时使用安全协议。 • 如果需要非安全协议和服务，请仅在受保护的网络区域内运行该设备。 • 将可用于外部的服务和协议限制到*少。 • 如果使用 RADIUS 来管理对设备的访问，需激活安全协议和服务。 接口安全性 • 禁用不使用的接口。 • 使用 IEEE 802.1X 进行接口认证。 • 使用“锁定端口”(Locked Ports) 功能阻断未知节点的接口。使用接口的配置选项，例如“边缘类型”(Edge Type)。 • 组态接收端口，以便丢弃所有无标记帧（“**带标记的帧”(Tagged Frames Only)）。 3.2 可用服务 以下是所有可用服务及其端口的列表，通过这些服务和端口可对设备进行访问。 该表包括以下列： • 服务 设备支持的服务 • 默认端口状态 此为交付状态（出厂设置）下的端口状态。 • 可组态端口/服务 指示是否可通过 WBM/CLI 组态端口号或服务。 • 身份验证 指定是否对通信伙伴进行验证。 如果可选，可根据需要组态验证。 • 加密 指定传输是否加密。 如果可选，可根据需要组态加密。 以下是所有可用协议和服务以及用于访问设备的相应端口的列表。 协议 协议/ 端口号 默认端口状端口号可通过 WBM 组态。 2) 服务默认禁用。 3) 仅只读访问。 4) 协议符合默认安全。 5) 此端口默认关闭，并在组态了 RADIUS 服务器时显示。端口号可通过 WBM 组态。 6) 有关使用的加密方法的更多信息，请参见 WBM 附录中的“使用的加密方法”。 以下是所有可用第 2 层服务的列表，通过这些服务可对设备进行访问该表包括以下列： • 第 2 层服务 设备支持的第 2 层服务。 • 默认状态 服务的默认状态（打开或关闭）。 • 服务可组态 指示是否可通过 WBM/CLI 组态服务。 第 2 层服务 默认值 状态 服务可组态 DCP 设置模式Pv6 IP 组态 • DHCP 服务器 • 手册 • 无状态地址自动配置 (SLAAC)：采用 NDP（邻居发现 协议）的无状态自动组态 – 为各个在链路中无需路由器的接口创建链路本地 地址。 – 检查在链路中无需路由器的链路地址的唯一性。 – 指定是否通过无状态机制、有状态机制或两种机 制获得全局地址。（在链路中需要路由器。） • 手册 • DHCPv6（有状态） 可用 IP 地址 32 位：4.29 * 109 个地 址 128 位：3.4 * 1038 个地址 地址格式 十进制：192.168.1.1 端口为： 192.168.1.1:20 十六进制：2a00:ad80::0123 端口为：[2a00:ad80::0123]:20 回送 127.0.0.1 ::1 接口的 IP 地址 5 个 IP 地址 多个 IP 地址 • LLA：每个接口的链路本地地址（自动形成） fe80::/128 • ULA：每个接口的多个唯一本地单播地址 • GUA：每个接口的多个全局单播地址 标头 • 校验和 • 可变长度 • 报头分片 • 无安全性 • 在较高层检查 • 固定大小 • 扩展报头分片 分片 主机和路由器 仅通信的端点 服务质量 服务类型 (ToS) 的优先 级 在报头字段“Traffic Class”中指定优先级。组播、单播、任播 DHCP 客户端/服务器的标识 客户端 ID： • MAC 地址 • DHCP 客户端 ID • 系统名称 • PROFINET 站名称 • IAID 和 DUID DUID + IAID 恰好为主机的一个接口 DUID = DHCP 唯一标识符 服务器和客户端的唯一标识符 IAID = 身份关联标识符 每个接口至少有一个由客户端生成，且在 DHCP 客户端 重新启动时保持不变 获取 DUID 的三种方法 • DUID-LLT • DUID-EN • DUID-LL DHCP 通过 UDP 广播 通过 UDP 单播 RFC 3315、RFC 3363 有状态的 DHCPv6 有状态组态，在其中传送 IPv6 地址和组态设置。 客户端和服务器之间交换以下四种 DHVPv6 消息： 1. SOLICIT: 由 DHCPv6 客户端发送，用于定位 DHCPv6 服务器。 2. ADVERTISE 可用的 DHCPv6 服务器对此做出应答。 3. REQUEST DHCPv6 客户端从 DHCPv6 服务器请求 IPv6 地址和 组态设置。 4. REPLY DHCPv6 服务器发送 IPv6 地址和组态设置。 如果客户端和服务器支持“Rapid commit”功能，本步骤 将缩短为两种 DHCPv6 消息 SOLICIT 和 REPLY。 无状态 DHCPv6 在无状态 DHCPv6 中，仅传送组态设置。 前缀代理 DHCPv6 服务器将 IPv6 前缀的分配委托给 DHCPv6 客户 端。DHCPv6 客户端也称为 PD 路由器。 硬件地址中 IP 地址的解析 ARP（地址解析协议）