要导入的 IP 规则集允许的参数值 可在XLSX 文件的表格列中为 IP 规则集输入以下值。检查表示法时,不区分大小写字符。要导入的规则集的约定 以下约定适用于要导入STEP 7 的防火墙规则集: • 文件扩展名为 *.XLSX 的文件并采用相应的 Office Open XML 格式。 • 如果XLSX 文件的名称超过 128 个字符,将在 STEP 7 中使用标准名称创建规则集。 •表单中各个列的名称不得更改,可以更改列的顺序。 • 表单的名称不得更改,可以更改表单的顺序。如何访问该功能在全局安全功能中,选择条目“防火墙 > 服务 > 为 IP 规则定义服务”(Firewall > Services> Define services for IP rules)。 操作步骤 可在此页面上定义 IP 服务。使用 IP服务定义,可以定义特定服务的防火墙规则。用户只需 要选择一个名称并为其分配服务参数。也可以选择预定义的 IP 服务。 组态 IP规则时,只需使用该名称。 也可以将通过此方式定义的服务分组到一个组名称下。在此处,也可以选择预定义的组。IP 服务的参数使用以下参数定义 IP 服务: 表格IP 服务:参数 参数 含义/注释 可用选项/值范围 名称 (Name)服务名称,在规则定义或组中用作标识。预定 义服务的名称不能更改。 • 名称不得冗余。 协议 (Protocol) 显示或选择协议类型。对于某些型号,可直接输入协议编号。 • 协议编号 • TCP • UDP • TCP+UDP • 全部 源端口 (Sourceport) 根据此处指定的端口号进行过滤;这在帧发送 方定义了服务访问权限。 如果已直接输入协议编号, 则无法指定端口。 示例:*:未选中端口 20 或 21:FTP 服务 目标端口 (Destination port) 根据此处指定的端口号进行过滤;这在帧接收方定义了服务访问权限。 如果已直接输入协议编号, 则无法指定端口。 示例: *:未选中端口 TCP 80:Web HTTP 服务TCP 102:S7 协议 ICMP 服务 如何访问该功能 1. 在全局安全功能中,选择条目“防火墙 > 服务 > 为IP 规则定义服务”(Firewall > Services > Define services for IPrules)。 2. 选择“ICMP”选项卡。原理 使用 ICMP服务定义,可以为特定服务定义简明而清晰的防火墙规则。用户只需要选择一个 名称并为其分配服务参数。也可以选择预定义的 ICMPv4 和ICMPv6 服务。 可以将定义的服务分组到一个组名称下。在此处,也可以选择预定义的组。 组态数据滤规则时,可使用该名称。系统定义的 ICMPv4 和 ICMPv6 服务 系统定义的服务将显示在表中。预定义的 ICMP 服务的值无法更改。如果已经在现有项目中使用了系统定义的 ICMP 服务的名称,则这些名称不会显示在列表中。 如果要使用所有系统定义的 ICMP服务,则需要重命名在 STEP 7 的上一个版本中已经用于该 服务的名称。 ICMPv4 和 ICMPv6 类型 有关 ICMP数据包类型和代码的完整列表,请访问 IANA 网站。 要进行搜索,请在类型后输入编号并用括号括上。
ICMP 服务的参数 参数 含义/注释可用选项/值范围 名称 (Name) 可由用户定义的服务名称,用作规则定义 或组中的标识。 预定义 ICMPv4 服务和 ICMPv6服务的名 称无法更改。 • 可自由选择名称。 • ICMPv4 服务和 ICMPv6 服 务可以使用同一名称。 •名称在服务中必须唯一。 ICMPv6 如果启用该复选框,会将 ICMP 服务声明 为 ICMPv6 服务,可以选择 ICMPv6特定的服务类型和代码。ICMPv6 服务仅 适用于支持 IPv6 的安全模块的防火墙规 则中。 清除此复选框时,会将 ICMP服务声明为 ICMPv4 服务,可以选择 ICMPv4 特 定的服务类型和代码。 • 启用 • 禁用 类型 (Type)ICMPv4 或 ICMPv6 消息类型。 下面显示了几个示例: 目标无法访问:无法传送 IP 报文。 超时:超出时间限制。回送请求:回送请求,通常称为 ping。 如果清除“ICMPv6”复选框, 则可选择 ICMPv4 特定的类 型。如果选中该复选框,则可选择 ICMPv6 特定的类型。 代码 (Code) ICMP 类型的代码。 代码更加详细地说明了 ICMP 数据包类型。显示内容取决于所选类型。 “*”意味着选择了所有代码。 值取决于所选类型。 创建服务组 如何访问该功能 1.在全局安全功能中,选择条目“防火墙 > 服务 > 为 IP 规则定义服务”(Firewall > Services> Define services for IP rules)。 2. 选择“服务组”(Service groups) 选项卡。构成服务组 可创建服务组将多个服务组合在一起。借此可建立更加复杂的服务,仅需选择名称即可在数据滤规则中使用这些服务。同一服务组中可以包含 IPv4 和 IPv6 服务。在打开的“服务组”(Service groups)选项卡中创建多个组。可在“组管理”(Group management) 选项卡中将服务分配给组。 例如,也可以选择预定义的ICMPv4 或 ICMPv6 服务组。 请按以下步骤操作 1. 在该选项卡中创建组及名称以满足个人要求,必要时可添加说明。2. 选择“组管理”(Group Management) 选项卡。可将先前指定的 IP 服务分配给在此选项卡中定 义的组。 管理服务组如何访问该功能 1. 在全局安全功能中,选择条目“防火墙 > 服务 > 为 IP 规则定义服务”(Firewall> Services > Define services for IP rules)。 2. 选择“组管理”(Groupmanagement) 选项卡。 构成服务组 可创建服务组将多个服务组合在一起。借此可建立更加复杂的服务,仅需选择名称即可在数据滤规则中使用这些服务。同一服务组中可以包含 IPv4 和 IPv6 服务。 使用“组管理”(Group management)选项卡将服务分配给选定组。这可以是以前在“服务 组”(Service groups) 选项卡中创建的组,也可以是预定义的组。请按以下步骤操作 1. 从此选项卡的“服务组”(Service groups) 下拉列表中选择一个组。 2.从右侧“可用服务”(Available services) 列表框中选择所需服务,将其分配给该组。 MAC 服务 定义 MAC服务 如何访问该功能 在全局安全功能中,选择条目“防火墙 > 服务 > 为 MAC 规则定义服务”(Firewall> Services > Define services for MAC rules)。含义 使用 MAC服务的定义,可以为特定服务定义简明而清晰的防火墙规则。用户只需要选择一 个名称并为其分配服务参数。可以将通过此方式定义的服务分组到一个组名称下。 组态全局或本地数据滤规则时,使用该名称。 MAC 服务的参数 MAC服务定义由协议特定的 MAC 参数形成:对 S7-CP 的处理 只会处理具有 DSAP=SSAP=FE(十六进制)的 ISO帧的设置。其它帧类型与 S7 CP 无关,因 此在防火墙处理前已被丢弃。 SIMATIC NET 服务的特殊设置使用以下协议设置过滤特定的 SIMATIC NET 服务:请: • DCP: PROFINET IO • SiClock: OUI=08 00 06(十六进制),OUI-Type= 01 00(十六进制) 创建服务组 如何访问该功能 1.在全局安全功能中,选择条目“防火墙 > 服务 > 为 MAC 规则定义服务”(Firewall > Services> Define services for MAC rules)。 2. 选择“服务组”(Service groups)选项卡。 构成服务组 可创建服务组将多个服务组合在一起。借此可建立更加复杂的服务,仅需选择名称即可在数 据滤规则中使用这些服务。在打开的“服务组”(Service groups) 选项卡中创建多个组。可在“组管理”(Group management)选项卡中将服务分配给组。 例如,也可以选择预定义的 DCP 服务组。
请按以下步骤操作 1.在该选项卡中创建组及名称以满足个人要求,必要时可添加说明。 2. 选择“组管理”(Group Management)选项卡。可将先前指定的 MAC 服务分配给在此选项卡中 定义的组。 管理服务组 如何访问该功能 1.在全局安全功能中,选择条目“防火墙 > 服务 > 为 MAC 规则定义服务”(Firewall > Services> Define services for MAC rules)。 2. 选择“组管理”(Group management)选项卡。 构成服务组 可创建服务组将多个服务组合在一起。借此可建立更加复杂的服务,仅需选择名称即可在数 据滤规则中使用这些服务。使用“组管理”(Group management) 选项卡将服务分配给选定组。这可以是以前在“服务 组”(Servicegroups) 选项卡中创建的组,也可以是预定义的组。 请按以下步骤操作 1. 从此选项卡的“服务组”(Servicegroups) 下拉列表中选择一个组。 2. 从右侧“可用服务”(Available services)列表框中选择所需服务,将其分配给该组。 本地防火墙 本地防火墙规则概述 含义本地防火墙规则将在安全模块的本地安全设置中进行组态,只应用到安全模块中。启用防火墙功能之后,可使用预定义的防火墙规则,也可以在gaoji防火墙模式下定义防火墙规则。