安全功能用户管理的特殊功能访问安全功能 只有在激活项目保护且用户成功登录后才能访问安全功能。已登录用户还必须拥有必要的工 程组态和运行权限。 有关 STEP 7中用户管理的基本信息,请参见信息系统的“使用用户管理”部分。 针对安全模块的工程组态权限 这些工程组态权限可对安全模块进行诊断和组态:• 查看安全设备组态:显示安全模块的全局安全功能及本地安全设置。 •编辑安全设备组态:组态安全模块的全局安全功能及本地安全设置,并对安全模块执行 诊断。 •编辑硬件配置:编辑项目中所有设备的硬件配置。有关详细信息,请参见信息系统的“用 户管理中的功能权限”部分。对安全模块具有运行权限的角色 默认为前缀为“NET”的系统定义角色分配安全模块的运行权限。运行权限提供对安全模块执行某些任务的权限,例如诊断或更新固件任务。要执行这些任务,必须为用户分配前缀为“NET”的合适的系统定义角色,或为用户分配具有相应运行权限的用户自定义角色。与工程组态权限相似,不能更改系统定义角色的运行权限。对于用户自定义角色,可根据需要更改运行权限。可针对每个安全模块指定用户自定义角色的运行权限。安全模块必须至少有一个用户分配了具有完全运行权限的角色,例如系统定义的“NET 管理 员”角色。会为前缀为“NET”的系统定义角色分配工程组态权限:在遥控连接中输入证书 ID 1. 切换回创建的遥控连接,参数组“安全通信(TLS)”(Secure Communication (TLS))。 2. 手动输入以下值以连接第三方设备: – 伙伴证书 ID(Partner certificate ID):为第三方设备导入或手动创建的证书的 ID – 自有证书 ID (Owncertificate ID):模块的证书 ID 可以在全局安全设置的证书管理器中找到 ID。 3. 使端口号与第三方设备参数一致。导出第三方设备的证书并将其导入 导入第三方设备的设备证书后,只需导出模块的设备证书和关联的 CA 证书即可。 如果在STEP 7 中创建了第三方设备的设备证书,则还必须将其导出。 请按下列步骤操作: 1. 在 STEP 7中创建的第三方设备的设备证书 – 在全局证书管理器中,打开“受信任的证书和根证书颁发机构”(Trusted certificatesand root certificate authorities) 选项卡。 –选择第三方设备的设备证书,单击“导出证书”(Export certificate) 快捷菜单。 –将证书保存到工程师站的文件系统中。 可以更改默认文件格式“*.der”。 可以在帮助系统的“导出证书”部分找到证书文件格式的功能说明。2. 模块的设备证书 – 在全局证书管理器中,切换到“设备证书”(Device certificates) 选项卡。 –选择模块的设备证书作为第三方设备的伙伴证书。 – 使“签发者”(Issuer) 列完全可见。 需要签发者的名称来导出颁发的 CA证书。 – 使用“导出证书”(Export certificate) 快捷菜单导出选择的模块设备证书。 3. 颁发 CA 证书 –切换到“认证机构 (CA)”(Certificate authority (CA)) 选项卡。 – 选择为模块的设备证书签名的 CA证书。 展开 CA 证书时,所有派生的设备证书都会显示在其下方,其中包括模块的证书。 – 通过“导出证书”(Exportcertificate) 快捷菜单导出选择的 CA 证书。 4. 对于运行时的通信,将所有已保存的证书导出到第三方设备或其组态工具中。继续组态其它参数。
用户和角色对安全模块的组态限制 • 一个安全模块上的Zui大用户数: 为安全模块分配的具有运行权限的Zui大用户数为33(创建项目时为 32 个用户 + 1 个管 理员)。 • 一个安全模块上的Zui大角色数:安全模块运行系统权限可向用户分配的Zui大角色数量和已分配给用户的数量均为 37。 用户特定的 IP 规则集的参数 使用用户特定的 IP规则集时,请注意下列用户管理参数: • 验证方法“RADIUS”(仅适用于 V4 及更高版本的 SCALANCE S):激活用户特定的 IP 规则集时,通过 RADIUS 服务器执行对用户的验证。使用此验证方法 时,用户密码不在 STEP 7中组态,必须存储在 RADIUS 服务器上。对于只需要登录 到安全模块的 Web页面的用户,只使用此验证方法。使用“RADIUS”验证方法的用户不能 登录到 STEP 7 项目。 通过 RADIUS服务器验证 模块特定的功能 该功能只适用于 SCALANCE S V4 模块或更高版本,请参见:生成 SCALANCE M模块的组态数据 含义 可以使用 STEP 7 生成对 SCALANCE M 进行参数分配的 VPN 信息。为此,模块必须位于至少 一个VPN 组中,并且该组中存在安全模块或 SOFTNET 安全客户端。文件生成后,便可通过 设备基于 Web 的管理来对SCALANCE M 进行组态。 生成的文件 将生成以下类型的文件: • 带有组态数据的导出文件 – 文件类型:ASCII 格式的*.txt 文件 – 包含有关 SCALANCE M 的导出的组态信息以及有关额外生成的证书的信息。说明 不会向 SCALANCE M模块传送组态文件 不会向 SCALANCE M 模块传送组态文件。生成 ASCII 文件后,可用该文件组态 SCALANCE M 的VPN 相关属性。为此,SCALANCE M 必须位于至少一个 VPN 组且该组中存在另一安全模 块或 SOFTNET 安全客户端。说明 保护导出的组态文件免受未授权访问 从 STEP 7 导出的 SCALANCE M的组态文件可能包含安全相关的信息。应确保这些文 件免受未授权访问。这一点在传送文件时尤其重要。 请按以下步骤操作 1.选择“SCALANCE M”类型的模块。 2. 在本地安全设置中,选择条目“SCALANCE M 组态”(SCALANCE Mconfiguration)。 3. 选中“生成 SCALANCE M 文件”(Generate SCALANCE M files)复选框,选择组态文件的存 储位置。 4. 通过使用项目名称作为密码或分配您自己的密码来指定 VPN 组证书的加密密码。 5. 编译SCALANCE M 模块的组态。 结果:文件(.txt 文件和证书)存储在指定的文件夹中。 生成安全设备的组态数据 含义安全设备可用作其它制造商的设备的替代设备。 V1.0:设备只能作为 VPN 设备运行。 V1.1 或更高版本:可选择设备是作为 VPN设备还是作为 Internet 网关运行。作为 VPN 设备的安全设备 可以使用 STEP 7 生成对 VPN 设备进行参数分配的VPN 信息。为此,VPN 设备必须位于至少 一个存在安全模块的 VPN 组中。使用生成的文件,可对 VPN 设备进行组态。 说明保护导出的组态文件免受未经授权的访问 从 STEP 7 中导出的 VPN 设备的组态文件可能包含与安全相关的信息。应确保这些文件不会受到未经授权的访问。这一点在传送文件时尤其重要。 要将安全设备用作 VPN 设备,请执行以下操作: 1. 选择要编辑的安全设备。2. 在本地安全设置中选择“设置”(Settings) 条目。 3. V1.1:从下拉列表中选择“VPN 设备”(VPNdevice) 模式。V1.0 已预设“VPN 设备”(VPN device)。 4. 在本地安全设置中选择“VPN 设备”(VPNdevice) 条目。 5. 选中“生成 VPN 设备文件”(Generate files of the VPN device)复选框。 6. 从“VPN 模式”(VPN mode) 下拉列表中选择 VPN 设备模式。只有当 VPN 设备位于 VPN 组中时才能进行选择。 – VPN 客户端:VPN 设备可以采用以下角色: 发起端:VPN 设备主动尝试与伙伴建立 VPN 连接。 – VPN服务器:VPN 设备可以采用以下角色: 发起端/响应端:VPN 设备主动尝试与伙伴建立 VPN 连接。还可以接收建立 VPN连接的请求。在 VPN 连接属性中将该角色选为默认角色。 响应端:可以接收建立 VPN 连接的请求。 – 用于 Android(自版本2.1 起)的 NCP VPN 客户端安装有 Android 版 NCP 安全 VPN 客 户端软件的 VPN 设备主动尝试与伙伴建立VPN 连接。 – SOFNET Security Client V5:安装了 SSC 软件的 VPN 设备主动尝试与伙伴建立 VPN连 接。 – SINEMA RC 客户端:安装了 SINEMA RC 客户端软件的 VPN 设备主动尝试与伙伴建立 VPN 连接。7. 选择 VPN 组态文件的存储位置。 8. 使用项目名称作为密码或分配您自己的密码,以此指定 VPN 组证书的加密密码。如果已经将 VPN 设备组态为“VPN 客户端”(VPN client): 1. 在“导出的证书和密钥”(Exportedcertificates and keys) 条目中指定相应的文件类型。 2. 在“可通过隧道访问的子网”(Subnetsreachable through tunnel) 条目中,输入将要启用隧道 通信的子网和/或 IP 地址。如果已经将 VPN设备组态为“VPN 服务器” (VPN server): 1. 在“VPN 服务器地址 (WAN IP 地址)”(VPN serveraddress (WAN IP address)) 框中,输入 WAN IP 地址,VPN 连接的发起端可以通过该地址访问 VPN服务器。 2. 在“导出的证书和密钥”(Exported certificates and keys) 条目中指定相应的文件类型。3. 在“可通过隧道访问的子网”(Subnets reachable through tunnel) 条目中,输入将要启用隧道通信的子网和/或 IP 地址。 如果已经将 VPN 设备组态为“Android(自版本 V2.1 起)的 NCP VPN客户端”(CP VPN client for Android (as of version V2.1)): 1. 在“AndroidNCP VPN 客户端设置”(NCP VPN client for Android settings) 中,输入 NCP VPN 客户端上的存储路径。