组态路由器和防火墙冗余 模块特定的功能 该功能仅适用于 V4 及更高版本的 SCALANCES623/S627-2M,请参见 路由器和防火墙冗余 (页 635)部分。 在线功能 - 诊断和记录 诊断和登录概述安全模块具有诊断和记录功能用于测试和监视目的。 • 诊断功能 诊断功能包括各种系统和状态功能,可以用于到安全模块的现有网络连接。 •记录功能 记录功能涉及系统、安全事件和数据包的记录。使用记录功能记录事件 在相关安全模块的日志设置中选择要记录的事件。可以组态以下记录类型: • 本地记录 在此类型中,将事件记录在安全模块的本地缓冲区中。可以在“在线与诊 断”(Online &diagnostics) 对话框中访问、显示这些日志并归档在服务站中。仅当存在与所选安全模块的网络连接时,才能对安全模块的缓冲区进行评估。 • 网络 Syslog 对于网络 Syslog,应使用存在于网络中的Syslog 服务器。这会根据相关安全模块的日志 设置中的组态来记录事件。 归档日志数据并从文件读入可以保存记录的事件以便在日志文件中进行归档,以后不存在与安全模块的网络连接也可打开该文件。全局安全功能中有用于打开日志文件的功能。 幻象模式下的诊断(仅适用于 SCALANCE S S602 V3.1及更高版本) 如果在幻象模式下操作安全模块,则安全模块的外部接口将在运行时接管内部节点的 IP 地址。需要先通过安全模块在运行期间从内部节点获取的 IP 地址建立到安全模块的连接,才 可以在幻象模式下运行安全模块的诊断。要查找安全模块当前具有的 IP 地址,可以在 STEP 7 中使用“在线 > 可访问设备”(Online >Accessible devices) 搜索可访问的节点。 保护导出的日志文件免受未授权访问 从 STEP 7导出的日志文件可能包含安全相关的信息。应确保这些文件免受未授权访 问。这一点在传送文件时尤其重要。
在线对话框功能概述 “Online& diagnostics”对话框的功能 在 STEP 7 中,安全模块在“Online &diagnostics”对话框中具有以下功能: 在线对话框中的条目 功能 状态 显示有关所选安全模块的状态信息,如接口的当前 IP地址以及当前时 间和日期。 接口设置 各个接口的设置概述。 动态 DNS 动态 DNS 的设置概述。 系统日志显示记录的系统事件、记录的开始和停止(仅当存在到 SCALANCE S 模块的在线连接时)以及开始和停止从安全模块的本地缓冲区读取日志数据。 审计日志 显示记录的安全事件以及开始和停止从安全模块的本地缓冲区中读取 日志数据。 数据滤日志显示记录的数据包、记录的开始和停止(仅当存在到 SCALANCE S 模 块的在线连接时)以及开始和停止从安全模块的本地缓冲区读取日志数据。 ARP 表 显示安全模块的 ARP 表。 已登录用户 显示登录到用户特定 IP 规则集 Internet 页面的用户。通信状态 显示有关 VPN 隧道连接和所选安全模块包含的 VPN 组成员的状态信息。 SINEMA RC - 自动 VPN 组态 显示OpenVPN 组态的状态以及与 SINEMA RC 服务器的 OpenVPN 连 接状态。 内部节点显示安全模块已学习或已组态的内部网络节点。 动态更新的防火墙规则 显示通过 HTTP 或 HTTPS 动态释放的 IP地址或由用户加载的 IP 地址。 防火墙黑名单 显示输入到防火墙黑名单中的 IP 地址。 幻象模式 SCALANCE S602的幻象模式对话框,其中包含有关内部节点地址参数 (与安全模块的外部 IP 地址相同)以及内部节点 IP 地址变更的信息。 日期和时钟设置日期和时间。 固件更新 更新固件。访问要求 要使用安全模块的在线功能,必须满足下列要求: • 存在与所选模块的网络连接。 •组态模块时所使用的项目已打开。 • 具有所需权限的用户必须登录到该项目中。 • 对于 CP,必须在防火墙中启用诊断访问(CP343-1 Adv./443-1 Adv. 和 CP 1628:TCP 443;S7-1200/S7-1500 CP:TCP8448)。 说明 幻象模式下的在线诊断要求(仅适用于 SCALANCE S S602 V3.1 及更高版本)仅当安全模块学习到内部节点的 IP 地址且将其作为外部接口时,才能在幻象模式下进行在 线诊断。此后,可通过外部接口的 IP地址来访问安全模块。 如何访问该功能 1. 右键单击待处理的模块。 2. 在快捷菜单中,选择“Online &diagnostics”命令。 3. 如果与安全模块之间没有已建立的在线连接,请单击“Diagnostics”条目下的“Connectonline” 按钮。 在线设置不会保存在组态中 在线模式下进行的设置(例如记录存储器的设置)不会保存在安全模块的组态中。在重新启动模块时总是应用组态设置。各接口的概览 -“接口设置”(Interface settings) 条目 模块特定的功能该功能只适用于 SCALANCE S V3 模块或更高版本,请参见 各接口的概览 -“接口设置”(Interfacesettings) 条目 (页 639)部分 动态 DNS 设置总览 -“动态 DNS”(Dynamic DNS) 条目模块特定的功能 该功能只适用于 SCALANCE S V3 模块或更高版本,请参见 动态 DNS 设置总览 -“动态DNS”(Dynamic DNS) 条目 (页 640)部分。显示 ARP 表 -“ARP 表”(ARP table) 条目模块特定的功能 该功能只适用于 SCALANCE S V3 模块或更高版本,请参见 显示 ARP 表 -“ARP 表”(ARPtable) 条目 (页 642)部分 登录到 Web 页面的用户 -“已登录用户”(Logged in users) 条目模块特定的功能 该功能只适用于 SCALANCE S V3 模块或更高版本,请参见 登录到 Web 页面的用户-“已登录用户”(Logged in users) 条目 (页 643)部分 安全模块的 VPN 连接-“通信状态”(Communication status) 条目 含义 显示以下网络组件的通信状态: • 所选安全模块所属 VPN组的其它安全模块 • 这些安全模块的内部网络节点。在线与诊断:“通信状态”(Communication Status) 条目系统和状态功能 含义 已知的安全设备或模块 显示节点,所选安全模块将通过该节点位于 VPN 组中。还将显示隧道状态为主动还是被动。要获取某个节点的其它信息,请在列表 中进行选择该节点。 注意: 仅为 CP 指示已组态但尚未激活的隧道。 端点显示安全模块内部网络节点的相关信息,该 安全模块在“已知的安全设备或模 块”(Known security devices ormodules) 表 中进行选择。对于每个内部网络节点,显示 其是已学习节点还是已组态节点。还会显示 内部网络节点所在的子网。 使用SCALANCE S 模块时,仅在桥接模式中 显示网络节点的子网。 隧道属性 显示与安全模块建立连接的 VPN 隧道的属性,该安全模块在“已知的安全设备或模 块”(Known security devices or modules) 表中选择。找到的内部网络节点 -“内部节点”(Internal nodes) 条目 含义显示所有已学习和已组态的网络节点。显示是否启用了安全模块的学习模式。 更新的防火墙规则-“动态更新的防火墙规则”(Dynamically updated firewall rules) 条目 模块特定的功能该功能仅适用于 CP 343-1 Adv./443-1 Adv.,详情请参见以下部分。 “S7-300/S7-400/PC CP的安全性”部分中的 更新的防火墙规则 -“动态更新的防火墙规 则”(Dynamically updated firewallrules) 条目 (页 660)。 显示防火墙黑名单 -“防火墙黑名单”(Firewall blacklist) 条目模块特定的功能 该功能只适用于 SCALANCE S V4 模块或更高版本,请参见 显示防火墙黑名单-“防火墙黑名单”(Firewall blacklist) 条目 (页 643)部分。 设置日期和时间 -“日期和时间”(Date and Time) 条目 模块特定的功能 该功能只适用于 SCALANCE S,请参见 设置日期和时间-“日期和时间”(Date and time) 条目 (页 643)部分。 幻象模式下的诊断 - “幻象模式”(Ghostmode) 条目 模块特定的功能 该功能只适用于 V3.1 及更高版本的 SCALANCE S602,请参见 幻象模式下的诊断 -“幻象模式”(Ghost mode) 条目 (页 644)部分。记录功能 记录系统事件 -“系统日志”(Systemlog) 条目 含义 显示记录的系统事件以及开始和停止从安全模块的本地存储器中读取系统事件。系统日志将自动记录连续的系统事件,例如启动一个进程。并可以根据事件类别缩放记录。 系统和状态功能 含义 开始/停止记录(不适用于CP) 开始/停止记录系统事件。记录的方法和事件 类别在本地安全设置中进行组态。 开始/停止读取开始/停止从安全模块的本地存储器中读取系 统事件。如果选中“Save log data”复选框,还会将记录的日志数据另存为文件。选择存储 位置并输入文件名。 注意 如果在开始读取后选中“Save log file”复选框,则已读出的数据不能保存在日志文件中。 清除显示 删除表中显示的日志数据。 可在全局安全功能中的“Log files(offline view)”中打开保存了系统事件的日志文件。 记录安全事件 -“Audit log”条目 含义显示记录的安全事件以及开始和停止从安全模块的本地存储器中读取安全事件。