该选项卡中将显示工作区中所选安全模块所属于的所有 VPN组的信息。可以显示和隐藏有关 VPN 组 中各成员的信息。 ④ 本地安全设置为特定模块组态本地安全设置。在工作区中选择了这些对象其中之一后,可以在巡视窗口的“Properties >General”下找到其本地安全设置。要显示本地安全设置,必须激活项目保护。 对于巡视窗口中的 CP,必须激活“Properties> General”条目中的“Activate security features”复选框。本地安全设置将显示在“Security”条目下方。选中该复选框之后,某些 CP 设置(假定已启用)将自动移 植到本地安全设置中。根据特定的安全模块,还可以使用其他安全功能,例如 NTP(安全)、SNMPv3、FTPS。将为已组态的连接自动创建允许建立连接的防火墙规则。提供日志设置来记录被阻止的数据包。 安全与非安全组态区域用户界面可分为安全与非安全组态区域。 在安全区域中,只有在激活项目保护后才能够进行组态。这些区域已加密,有很多人可访问该项目,但只有在用户管理中经授权的人员才可访问这些区域。在非安全区域中的功能,无需激活项目即可进行组态。如果有很多人都可修改项目,则在将项目下载到工厂组件中之前必须先检查设置的正确性。
(此处“PG”代表装有 TIAPortal 的编程设备): • PG/HMI 和 CPU 随 V17(或后续版本)提供:使用 TLS 程序。 • PG/HMI的版本为旧版本 (< V17):使用传统方式 - 前提是已取消激活 CPU 属性中的选项 “仅允许 PG/PC 和 HMI间安全通信”(Only allow secure PG/PC and HMI communication)。 • CPU 随V17(或更高版本)提供,连接的多个 PG/HMI 来自 V17(或更高版本)和以前的 版本:使用 TLS + 传统方式 -前提是已取消激活 CPU 属性中的选项“仅允许 PG/PC 和 HMI 间安全通信”(Only allow secure PG/PCand HMI communication)。 当 CPU 状态改变时 如果 CPU 状态因 PG/HMI间安全通信相关事件而发生改变,则诊断缓冲区会向用户提供相关 信息。 示例: • 成功下载包含已组态密码的组态后,诊断缓冲区将报告CPU 正在从配置阶段切换为安全 模式(TLS 程序)。 • 已将装有 TIA Portal V17 的 PG 连接到 CPUV2.9。将自动建立 PG/HMI 间安全通信(TLS 程 序)。帮助系统中该部分的结构 “常规”(General)部分列出了与多种模块类型相关的主题。仅与特定模块类型相关的信息,请 参见与这些模块类型相关的特定部分。 概述 - 执行范围及运行方法术语“STEP 7”的一般用法 STEP 7 V12 及更高版本支持安全功能组态。在本部分信息系统中,名称“STEP7”可用 于所有 STEP 7 V12 或以上版本。 执行范围 在 STEP 7 中,可使用以下安全功能: • 安全模块的组态 •为第三方制造商的 VPN 设备创建 VPN 组态文件 • 测试和诊断功能,状态显示 离线组态视图和在线诊断视图可在以下两种视图中组态安全功能: • 离线组态视图 在离线组态视图中,可以创建组态数据。在下载之前,必须已存在与安全模块的连接。 •在线诊断视图 在线/诊断视图可用于诊断安全模块,还可借此运行固件更新。安全和一致性的工作原理 • 仅授权用户可以访问仅当项目保护激活时,各项目的安全功能才可用,这样可防止安全功能受到意外或未授 权更改。 • 一致的项目数据在对话框中进行输入时,也会对一致性进行检查。还将执行对话间和项目范 围内的一致性检查。 只能将一致的项目数据下载至安全模块。• 通过加密来保护项目数据 通过加密来保护安全相关的项目数据和组态数据。根据安全模块,可将数据存储在项目 中和/或 C-PLUG上。全局安全功能位于项目导航中。全局安全功能的组态可与模块无关,随后可根据需要分配给各个安全模块。对全局安全功能所作的更改必须加载到涉及的所有安全模块上。这也适用于冗余关系的设置。要在项目导航中完全显示全局安全功能,必须激活项目保护,并且项目中必须至少有一个安全模块。 如果第一个安全模块为 CP,还必须激活 CP的本地安全设置。 可在全局安全功能中使用以下主文件夹和条目: • 证书管理器在证书管理器中,可以概要了解项目中所使用的所有证书。例如,可以导入新证书,也可以导出、 更新或更换现有证书。
• 防火墙在“防火墙”条目中,可定义全局 IP 与 MAC 防火墙规则集和用户特定 IP 规则集(仅适用于 SCALANCE S模块)并分配安全模块。全局防火墙规则集还可以从 STEP 7 中导出,并且可以导入到 STEP 7 中。IP 和 MAC服务定义可用于简单明确地定义 IP 和 MAC 防火墙规则。 • VPN 组 此文件夹中包含所有创建的 VPN 组。在此,可以新建VPN 组,并将安全模块分配到这些 VPN 组中。 还可以调整已创建的 VPN 组的属性。 • NTP 在此,可创建 NTP服务器并分配给一个或多个安全模块。以quebaotongguo所分配的 NTP 服务器进行时 间同步。不安全的 NTP服务器只能在本地安全设置中组态。 • Syslog • RADIUS 在此,可创建 RADIUS服务器并分配给一个或多个安全模块。这样可确保来自登录到所选安全模块 以激活用户特定的 IP 规则集的用户验证查询可转发至分配的RADIUS 服务器。 • 日志文件(离线视图) 打开所记录的系统、审计和数据滤事件,这些事件在在线诊断中另存为一个文件。 ②工作区 在工作区中选择了模块之后,则可以在“属性 > 常规”(Properties > General)下组态其本地安全设置。 如果所选对象在 VPN 组中,则相关信息将显示在 VPN选项卡上。有关哪些区域为安全区域哪些区域为非安全区域的信息,请参见下面的用户界面组态区域列表。在某种程度上,这取决于使用所创建组态的安全模块。 • 来自全局安全功能的所有设置都是安全的。 • 用于 SCALANCE S模块的安全与非安全组态区域: – 本地安全设置中“General”条目下的设置是非安全的。 – 更gaoji别的设置(例如,MRP管理器等 MRP 设置)不在安全模块上进行组态,但会 影响安全模块,也是非安全的。这与全局安全功能无关。 – 其它设置处于保护状态。• CP 的安全与非安全组态区域: – “Security”条目外的所有设置都是非安全的。 – 更gaoji别的设置(例如,MRP管理器、PROFINET 设置和连接等 MRP 设置)不在安全 模块上进行组态,但会影响安全模块,也是非安全的。这与全局安全功能无关。– 所有接口与端口设置,尤其是 IP 地址设置都是非安全的。 – “Security”条目下的所有设置都是安全的。 库使用的限制如果在全局库中为安全模块创建主副本,则此安全模块的组态将在主副本中缺失。如果您使 用主副本,则需要登录。如果在项目库中为安全模块创建主副本,则除了 VPN 和冗余关系的跨模块信息外,还将保 留此安全模块的组态。 可组态服务器的 IP 地址组态服务器时,不得使用安全模块的 IP 地址(别名)。对于所有可组态的服务器,分配 IP 地 址后将进行一致性检查。 运行一致性检查概述 可执行以下一致性检查: • 本地一致性检查 • 项目范围内的一致性检查在本帮助系统各个对话框的说明中,关键词“一致性检查”下列出了所需考量的条目相关规 则。本地一致性检查可以直接在对话框中执行的一致性检查是本地一致性检查。 下列操作后可执行本地一致性 检查: • 退出框之后 • 退出表中的行之后 •在对话框中单击“确定”(OK) 进行确认之后。 项目范围内的一致性检查 项目范围内的一致性检查会提供是否已正确组态项目数据的指示信息。下列操作过程中,可 执行整个项目的一致性检查: • 编译组态时 • 下载组态时 说明只有对安全模块的项目范围内的一致性检查成功时,才能将所组态的数据下载到安全模块中。 更换安全模块 模块特定的功能模块可替换为固件版本更高的模块。为此,必须激活模块的本地安全设置,参见章节: 更换安全模块 (页 590)。 要求为了能够更换安全模块,安全模块的模块描述必须是Zui新的。要更新安全模块的模块描述, 请按照下面的步骤操作: 1. 选择要编辑的安全模块。2. 在本地安全设置中,单击“常规 > 目录信息”(General > Catalog information) 条目。3. 单击“更新模块描述”(Update module description) 按钮。 如何访问该功能 1.在拓扑或网络视图中选择要编辑的安全模块。 2. 右键单击安全模块,选择快捷菜单命令“更换设备...”(Changedevice...)。证书管理 全局安全功能中的证书管理器包含项目中使用的所有证书的概述。根据具体设备,显示所有字段或仅显示对设备有效的字段: • ID:证书管理器中的每个证书都会收到一个 ID。该证书 ID 由证书管理员在创建或导入证书时分配。在某些情况下,例如对于 OPC UA 服务器证书,此 ID 为证书标识。 证书 ID 在 项目中是唯一的,且无法更改。 •Common name of subject:证书有效的设备或认证机构。 • Serialnumber:证书签发者签发的证书的唯一序列号。 • Issuer: 显示证书签发者的名称以及所属组织和所在国家/地区。 •Serial number of the Issuer: 对于设备证书,将显示证书签发者的序列号。 • Validto:指示证书过期的时间。 • Used as:指示使用证书的应用或服务,例如 SSL 证书或认证机构。还会显示来自证书的其他信息。 • Private key:指示是否存在私钥。 • Signaturealgorithm:指示私钥的密码以及所使用的散列算法。 • Key length:显示证书的密钥长度。 •Responsibility:选择使证书保持Zui新的方式。更多详细信息,请参见“设备证书(页445)” 部分。可以通过快捷菜单中的“Renew”或“Create”条目更改数据。 说明 下载组态 替换或更新证书后,必须将组态下载到相关的安全模块。替换或更新 CA 证书后,必须将组态下载到所有的安全模块。 组态设备与网络 1.3 组态网络 编辑设备与网络 442编程和操