创建 MAC 规则集 含义表格MAC 规则集:参数 参数 含义/注释 可用选项/值范围 操作 (Action) 允许/禁止(启用/阻止) • Accept允许符合定义的帧。 • Drop 阻止符合定义的帧。 • Reject 帧被拒绝,并且发送方收到相应消息。对于因组态连接而自动生成且随后手动进行调整的防火墙规 则: • Accept* • Drop*如果更改自动创建的连接规则,选择“*”选项后,STEP 7 将不会重新创建并覆盖这些规则。 自/至 (From/To)选择规则适用的通信方向。 在单独的部分中介绍。 • 对于 SCALANCE S 模块:MAC 数据滤方向 SCALANCE S(页 620) • 对于 S7-300-/S7-400-/PC CP:S7-300-/S7-400-/PC-CP MAC数据滤方向 (页 654) • 对于 S7-1200-/S7-1500 CP:S7-1200/S7-1500 CP 的MAC 数据滤方向 (页 670) 通信方向“站”包含 CP 的访问以及通过 CP 对 CPU 的访问。默认情况下,将通信方向“站”和“隧道”归类为受信方 向。对于受信方向之间的通信,无需组态防火墙规则。源 MAC 地址 (SourceMAC address) 如果发送方在此指定帧的 MAC 地 址,则防火墙规则适用于这些 帧。如果不指定 MAC 地址,则防火墙规则适用于“自”(From) 列 中选择的通信方向上的所有节点。 正确格式的 MAC 地址 目标 MAC 地 址(Destination MAC address) 如果接收方在此指定帧的 MAC 地 址,则防火墙规则适用于这些 帧。如果不指定MAC 地址,则防 火墙规则适用于“至”(To) 列中选 择的通信方向上的所有节点。 服务 可供使用的 MAC 服务或服务组的 选项。注意:使用预定义服务前,请确 保其预定义参数符合您的要求。 下拉列表框显示可供选择的预定义和组态的服务和服务组。这些参数显示在全局安全功能下的“防火墙 > 服务 > 为 MAC 规则定义服务”(Firewall >Services > Define services for MAC rules) 中。 传输速度 (Mbps)(Transmissio n speed (Mbps)) 传输速度限制 只有选择“Accept”操作时才能输 入。 如果符合Accept 规则且未超出该 规则允许的传输速度,则数据包 可通过防火墙。 CP 343-1 Adv./CP 443-1Adv.,S7-1200-/S7-1500-CP: 0.001 ... 100 Mbps CP 1628和 SCALANCE S:0.001 ... 1000 Mbps对于全局规则:0.001 ... 1000 Mbps 注意:如果在防火墙规则中为S7-1200/S7-1500 CP 组态了 方向“从隧道到工作站”(From tunnel to station),则无法指定任何传输速度限制。 记录 (Logging) 启用和禁用对该规则的记录。如 果启用了记录功能,则将应用在本地安全设置中组态的数据 滤记录功能设置。 • 启用 • 禁用(默认) 编号 (Number) 为规则自动分配的编号。移动规则时将重新计算编号。 注释 (Comment) 用于解释规则的空间 若注释标记为“AUTO”,则该注释是为自动连接规则创建的注释。对于已创建的规则,可选择输入注释。 表格 1-20 快捷菜单中各条目的含义 快捷菜单中的条目 含义 上插规则使用此命令可将规则插入到所选规则集上方。 下插规则 使用此命令可将规则插入到所选规则集下方。
快捷菜单中的条目含义 删除 (Delete) 删除所选规则集。 有关删除全局定义和本地分配的规则集的注意事项:如果在此删除一个规则集,将只取消对安全模块的分配。 上移 (Move up)使用此按钮可在列表中将所选规则集向上移动一个位置。或者,通过鼠 标拖动的方式移动所选规则集。您可以选择多个条目。会以更高的优先级处理所移动的规则集。 下移 (Move down)使用此按钮可在列表中将所选规则集向下移动一个位置。或者,通过鼠 标拖动的方式移动所选规则集。您可以选择多个条目。会以更低的优先级处理所移动的规则集。 为 MAC 规则定义服务 (Define service for MAC rules)打开一个对话框,可在其中管理 IP 服务和服务组。 分配全局防火墙规则集 要求对于要分配给防火墙规则集的安全模块,已启用gaoji防火墙模式。 步骤 1. 在全局安全功能中,选择条目“防火墙 >全局防火墙规则集 > 为模块指定防火墙规则 集”(Firewall > Global firewall rulessets > Assign module to a firewall rule set)。 2. 从“规则集”(Ruleset) 下拉列表中,选择要分配给安全模块的规则集。 在右侧表中,显示要指定所选防火墙规则集的安全模块。在左侧表中,显示已指定所选防火墙规则集的安全模块。 3. 在“可用模块”(Available modules) 区域中,选择要指定所选规则集的安全模块。 4.单击“<<”按钮,为所选模块指定所选规则集。 结果分配的安全模块将全局规则集用作本地规则集,且在本地安全设置中,全局规则集自动显示 在防火墙规则列表的末尾。
导出和导入全局防火墙规则集含义和功能 全局 IP 规则集以及全局 MAC 规则集能够以 XLSX 格式从 STEP 7 中导出,并可导入 STEP 7。导出时,会为每个防火墙规则集分别创建 XLSX 文件。 通过导出和导入过程,可以在不同的 STEP 7项目之间交换防火墙规则集。导出的防火墙规 则集还可以在 Microsoft Excel® 中进行编辑,导入 STEP7。进行大量更改,这有助 于简化操作。 从 STEP 7 中导出的防火墙规则集在很大程度上与安全组态工具 (SCT)兼容。从安全组态工 具中导出的防火墙规则集与 STEP 7 完全兼容。 说明 将防火墙规则集从 STEP 7 导入安全组态工具时的限制在 SCT 中,不支持 IPv6 防火墙规则和 ICMPv6 服务。导入期间,识别为 IPv6 防火墙规则的 防火墙规则和ICMPv6 服务将被忽略。 对于传输速度限制,SCT 允许的Zui大传输速度为 100 Mbps。导入期间,超过 100 Mbps 的防火墙规则将被忽略。 从 STEP 7 中导出防火墙规则集 1. 在全局安全功能中,选择条目“防火墙 >全局防火墙规则集”(Firewall > Global firewall rule sets)。 2.双击“概述”(Overview) 条目。 结果:在工作区中显示 STEP 7 中存在的 IP 规则集和 MAC 规则集。 3.如果不希望导出所有防火墙规则集,则启用要导出的防火墙规则集的复选框。 4. 单击 按钮。 5. 在“导出防火墙规则集”(Exportfirewall rule sets) 对话框中,选择要导出所有防火墙规则集、 仅导出选定的防火墙规则集还是导出 SCT支持的所有防火墙规则集。对于第三种防火墙规则 集,如果其包含带有 SCT 不支持的通信方向的防火墙规则,不会将其导出。 6.输入用于保存防火墙规则集的路径,单击“导出”(Export) 按钮。 结果:为每个防火墙规则集都分别创建了 XLSX文件。XLSX 文件根据导出的日期和时间并以 相应防火墙规则集的名称来命名。 将防火墙规则集导入 STEP 7可以先对导出的防火墙规则集进行编辑,再进行导入。请参见“要导入的防火墙规则集的要求”部分中的信息。请按照以下步骤将防火墙规则集导入 STEP 7: 1. 在全局安全功能中,选择条目“防火墙 >全局防火墙规则集”(Firewall > Global firewall rule sets)。 2.双击“概述”(Overview) 条目。 结果:在工作区中显示 STEP 7 中存在的 IP 规则集和 MAC 规则集。 3. 单击按钮。 4. 如果要覆盖名称相同的防火墙规则集,则选中“覆盖现有防火墙规则集”(Overwrite existing firewallrule sets) 复选框。 注意:要对于 STEP 7 和 XLSX 文件中存在的防火墙规则集,只需使用防火墙规则集的名称。有 关XLSX 文件日期和时间的信息会被忽略。 5. 选择要导入的 XLSX 文件。可以多选。 6. 单击“导入”(Import) 按钮。结果:所选 XLSX 文件的防火墙规则集已导入 STEP 7。 已导出 IP 规则集的结构 对于从 STEP 7 中导出的每个 IP规则集,都会使用以下表单创建 XLSX 文件: • IP Ruleset:包含 IP 规则集的 IP 数据滤规则 • IPServices:包含 IP 规则集的数据滤规则中使用的 IP 服务。还会显示使用的 IP 服务组中的 IP 服务。 •ICMP Services:包含 IP 规则集的数据滤规则中使用的 ICMP 服务。还会显示 使用的 IP 服务组中的ICMP 服务。 • IP Service Groups:包含 IP 规则集的 IP 数据滤规则中使用的 IP 服务组。为各个IP 服 务组显示相应的 IP 和 ICMP 服务。 已导出 MAC 规则集的结构 对于从 STEP 7 中导出的每个 MAC规则集,都会使用以下表单创建 XLSX 文件: • MAC Ruleset:包含 MAC 规则集的 MAC 数据滤规则 • MACServices:包含 MAC 规则集的 MAC 数据滤规则中使用的 MAC 服务。还 会显示使用的 MAC 服务组中的MAC 服务。 • MAC Service Groups:包含 MAC 规则集的 MAC 数据滤规则中使用的 MAC 服务组。为各个 MAC 服务组显示相应的 MAC 服务。