使用 CP 1543-1 确保工业以太网安全全方位保护 -工业以太网安全的任务 通过工业以太网安全,可以对以太网中的单个设备、自动化单元或网段进行保护。此外,还可以通过组合其它不同的安全措施,对数据传输提供如下保护: • 数据侦听 • 数据操纵 • 未经授权的访问 安全措施 • 防火墙 –全状态数据包检测型 IP 防火墙 (第 3 层和第 4 层) – 符合 IEEE 802.3 标准的以太网“非 IP”帧的防火墙(第2 层) – 带宽限制 – 全局防火墙规则 防火墙将保护 CP 1543‑1内网段中的所有网络节点。例外:如果使用“通过通信模块访问 PLC”功能通过 CP 的接口访问 CPU,则防火墙不会保护此连接。 •日志记录 在监视过程中,事件将存储在日志文件中,可通过组态工具进行读取或者自动发送到 Syslog 服务器中。 • HTTPS对网站传输进行加密,例如在过程控制期间。 • FTPS(显式模式) 对文件传输进行加密。 • 安全 NTP 对时间同步和传输进行保护• SNMPv3 对网络分析信息的传输进行安全保护,以防窃听。 • VPN 组 通过组态,可将 CP 1543-1及其它安全模块整合到 VPN 组中。在 VPN 组 (VPN) 的所有安全 模块之间建立 IPsec隧道。这些安全模块的所有内部节点可通过此隧道互相进行安全通信。 • 对设备和网段进行保护 防火墙与 VPN组的保护功能可应用于单个设备、多个设备或整个网段的操作。防火墙的任务 防火墙的目的是保护网络和站点免受外部的影响和干扰。这意味着,只能与之前指定的通信 伙伴进行通信。 可通过 IPv4 地址、IPv4 子网、端口号或 MAC地址等信息对为数据流进行过滤。 可以为以下协议层组态防火墙功能: • 全状态数据包检测型 IP 防火墙 (第 3 层和第 4 层) •符合 IEEE 802.3 标准的以太网“非 IP”帧的防火墙(第 2 层) 防火墙的规则在防火墙规则中将介绍允许或禁止传输的数据包以及传输的方向。 16.2 日志记录 功能 安全模块可以通过诊断和日志功能进行测试和监视。• 诊断功能 包括各种可在线使用的系统和状态功能。 • 记录功能 记录系统和安全事件。 根据事件类型的不同,记录的信息将包含在CP 1543‑1 的易失性或 非易失性的本地缓冲区中。 此外,也可以存储在网络服务器中。只能通过网络连接对这些功能进行参数分配和评估。 通过日志功能记录事件 通过日志设置,指定待记录的事件。 在此,可组态以下记录方式: •本地日志记录 通过这种记录方式,可以将事件记录在 CP 1543‑1 的本地缓冲区中。 并通过安全组态工具的在线对话框访问和显示这些记录,并在服务站中进行归档。 • 网络 Syslog 使用网络 Syslog,可以记录到网络中的Syslog 服务器上。 使用这种方式时,将根据日志设 置中的组态信息对事件进行记录。NTP 客户端 功能要检查证书时间的有效性以及日志条目的时间戳,则需在 CPU 上对 CP 1543‑1 中的日期和时 间进行维护。 时间可以与NTP 同步。 CP 1543-1 通过自动化系统的背板总线将同步的时间转 发到 CPU。 这样 CPU还可以在执行程序时接收时间事件的同步时间。 可通过安全型或非安全型 NTP 服务器对时间进行自动设置和定期同步。 Zui多可为CP 1543‑1 分配 4 个 NTP 服务器。 但不能混合使用非安全型和安全型 NTP 服务器的组态。 16.4SNMP 功能 与 CPU 类似,CP 1543‑1 也可基于简单网络管理协议 (SNMP) 传输管理信息。为此,需在CP/CPU 上安装一个“SNMP 代理”,用于接收和响应 SNMP 查询。有关具有 SNMP 功能设备的属 性信息保存在MIB(管理信息库)文件中,需要具有相应权限才能访问。 在使用 SNMPv1安全措施时,还将发送“社区字符串”。“社区字符串”类似于一个密码,与 SNMP查询一起发送。在“社区字符串”正确时,发送请求的信息。在此字符串不正确时,丢弃 该请求。 在使用 SNMPv3安全措施时,将对数据进行加密传输。为此,需要选择一种认证方法(例如 SHA)或者一种认证和加密方法(例如 AES)。用户可以激活和取消激活 CP/CPU 的 SNMP 应用。如果网络的安全准则不允许使用 SNMP 或需 使用用户自己的 SNMP解决方案时,则可取消激活 SNMP。 有关如何激活和取消激活 CPU 中 SNMP 功能的信息,请参见“SNMP (页92)”部分。VPN 功能 对于保护内部网络的安全模块,可借助 VPN(虚拟专用网络)隧道,通过非安全外部网络实现 安全的数据连接。该模块采用 IPsec 协议(IPsec 隧道模式)建立隧道。 在 STEP 7 中,可向安全模块分配 VPN 组。在VPN 组的所有模块之间会自动建立 VPN 隧道。 在该过程中,一个项目中的某个模块可能同时属于多个不同的 VPN 组。
CPU 中央处理单元 (CPU) - S7自动化系统的核心模块,带有控制和算术逻辑运算单元、存储器、操 作系统以及编程设备的接口。 DP 从站 PROFIBUS 上分布式I/O 中的从站,采用 PROFIBUS DP 协议且符合 EN 50170 标准的第 3 部 分。 → 另请参见“DP主站” DP 主站 在 PROFIBUS DP 中,分布式 I/O 中的主站符合 EN 50170 标准的第 3 部分。 →另请参见“DP 从站” FETCH/WRITE 使用 TCP/IP、ISO-on-TCP 和 ISO 协议的服务器服务,用于访问 S7CPU 的系统存储区。可以从 SIMATIC S5 或第三方设备/PC进行访问(客户端功能)。FETCH:直接读取数据;WRITE:直 接写入数据。 Freeport 协议 可任意编程的 ASCII协议;使用该协议可通过点到点连接进行数据传输。 FTP 文件传输协议 (FTP) 是一种网络协议,用于通过 IP网络进行文件传输。FTP 用于在服务器与客 户端间进行文件的上传或下载。FTP 目录可以创建并读取,也可以重命名或删除。 HMI人机界面 (HMI),用于显示和控制自动化过程的设备。IO 控制器、PROFINET IO 控制器 PROFINET系统中的中央设备,通常为典型的可编程逻辑控制器或 PC。IO 控制器将建立与 IO设备的连接,与这些设备进行数据交换,并对系统进行监控。 IO 设备、PROFINET IO 设备 PROFINET 系统中分布式I/O 内的设备,通过 IO 控制器(例如,分布式 I/O、阀岛、变频器和 交换机)进行监控。 IP 地址 用作采用 Internet协议 (IP) 、PC 网络中唯一地址的二进制数。根据该二进制数,可对这些设备进行唯一寻址和单独访问。使用可分离网络部分或主机部分结构的子网掩码来分析 IPv4 地 址。例如,一个 IPv4 地址的文本表示由4 个十进制数字组成,值范围为 0 到 255。这些十进 制数使用句点进行分隔。 IPv4 子网掩码 二进制掩码,用于将IPv4 地址(二进制数)划分为“网络部分”和“主机部分”。 ISO 协议以太网中对消息或数据包进行数据传输的通信协议。该协议面向硬件、速度快、支持动态数据 长度,ISO 协议适用于大中型数据传输。ISO-on-TCP 协议 支持 S7 路由功能的通信协议,用于在以太网中对数据包进行数据传输,支持网络寻址,ISOon-TCP协议适用于大中型数据传输,并支持动态数据长度。 MAC 地址 所有以太网设备在全球范围内都唯一的设备标识码。MAC地址由制造商分配,其中 3 字节为 供应商 ID,另外 3 字节(以连续数字表示)为设备 ID。 Modbus RTU 远程终端单元(Remote Terminal Unit);基于主站/从站架构的开放式串行接口通信协议。 Modbus TCP 传输控制协议(Transmission Control Protocol);基于主站/从站架构的开放式以太网通信协 议。数据以 TCP/IP数据包的形式传输。NTP 网络时间协议 (Network Time Protocol, NTP)规定了由工业以太网建立的自动化系统中同步时 钟的标准。NTP 采用适用于 Internet 的 UDP 传输协议。OPC UA OPC Unified Automation 协议由 OPC 基金会制定,用于在机器间进行数据通信。 PG →编程设备 PNO → PROFIBUS 用户组织 PROFIBUS 过程现场总线 (Process Field Bus) -欧洲现场总线标准。 PROFIBUS DP 支持 DP 协议且符合 EN 50170 的 PROFIBUS。DP 即为分布式I/O,可进行快捷实时的周期性数 据交换。从用户程序的角度来看,分布式 I/O 与集中式 I/O 的寻址方式完全相同。PROFIBUS 地址 连接到 PROFIBUS 上的设备的唯一标识符。PROFIBUS 地址通过帧形式发送,用于寻址一个设 备。PROFIBUS 设备 该设备上至少有 1 个 PROFIBUS 接口为电气接口(如 RS-485)或光纤接口(如聚合物光 纤)。PROFIBUS 用户组织 该技术委员会致力于 PROFIBUS 和 PROFINET 标准的定义和开发。 PROFINET基于组件的开放式工业通信系统,以分布式自动化系统的以太网为基础。这种通信技术由 PROFIBUS 用户组织推出。 PROFINET接口 模块的 PROFINET 接口具备通信功能(如 CPU、CP),带有 1 个或多个端口。出厂前已为该接 口分配有 MAC地址。接口地址与 IP 地址和设备名称(来自各个组态)一起使用,可确保在网 络中唯一识别 PROFINET设备。该接口可以是电气接口、光学接口或者是无线接口。 PROFINET 设备 始终带有一个 PROFINET接口(电气、光学或无线)的设备。