审计日志将自动记录连续的安全相关事件。例如,这包括启用和禁用数据包记录等用户操作。 系统和状态功能 含义开始/停止读取 开始/停止从安全模块的本地存储器中读取安 全事件。如果选中“Save log data”复选框,还会将记录的日志数据另存为文件。选择存储 位置并输入文件名。 注意 如果在开始读取后选中“Save log file”复选框,则已读出的数据不能保存在日志文件中。 清除显示 删除表中显示的日志数据。 可在全局安全功能中的“Log files(offline view)”中打开保存了审计事件的日志文件。 记录数据包 -“数据滤日志”(Packet filter log)条目 含义 显示记录的数据包以及开始和停止读取数据滤事件。数据滤日志记录了数据通信的特定数据包。只有在数据包与组态的数据滤规则(防火墙)相匹配或者采用了基本保护(损坏或无效的数据包)时,才会记录该数据包。只有在 启用了对数据滤规则的记录时才生效。有关激活记录操作的更多信息,请参见 设置防火墙 (页 468)部分。除了从缓冲区中读取日志数据并将传输到显示屏上,还可以保存在一个文件中以便归档。 系统和状态功能 含义 开始/停止记录(不适用于 CP)开始/停止记录数据包。记录数据的方法在本 地安全设置中进行组态。 开始/停止读取 开始/停止从安全模块的本地存储器中读出记录的数据包。如果选中“Save log data”复选 框,还会将记录的日志数据另存为文件。选 择存储位置并输入文件名。 注意如果在开始读取后选中“Save log file”复选 框,则已读出的数据不能保存在日志文件中。
系统和状态功能 含义清除显示 删除表中显示的日志数据。 日志类别 选择将显示日志记录的数据包。该选择取决 于在本地安全设置中离线组态的设置。只记录已启用日志记录的数据包。如果选择了未 启用记录的类别,则不会记录该类别的任何 数据。 可在全局安全功能中的“Log files(offline view)”中打开保存了审计数据滤事件的日志文件。 下载功能 下载安全组态时的特性 安全组态可影响组态 PC的安全模块的可访问性。例如,如果组态中存在为一个安全模块连 接到另一个安全模块而组态的隧道,并且此组态从组态 PC下载到安全模块,就会出现这种 情况。从组态 PC 下载后,无法再访问安全模块,组态下载后默认通过 STEP 7 执行的可访问性测试失败。STEP 7 输出的错误消息仅与可访问性测试有关;如果项目数据一致且安全模 块与组态 PC 之间的 IP地址关系正确,则可确保组态的实际下载。 有关下载组态和固件到 SCALANCE S 模块时的特性,请参见以下部分: 下载功能(页 645) 向工程师站上传组态 无法从 SCALANCE S 模块或 CP 1628 向工程师站上传组态。如果组态中包含安全功能,则可以从支持这些安全功能的 S7 CP 向工程师站上传组态。不会将已组态安全功能传送至工程师站。在工程师站上已传送来的组态中,还将取消选中“激 活安全功能”(Activate securityfeatures) 复选框。SCALANCE S 更换安全模块 要求为了能够更换安全模块,安全模块的模块描述必须是Zui新的。要更新安全模块的模块描述, 请按照下面的步骤操作: 1. 选择要编辑的安全模块。2. 在本地安全设置中,单击“常规 > 目录信息”(General > Catalog information) 条目。3. 单击“更新模块描述”(Update module description) 按钮。 如何访问该功能 1.在拓扑或网络视图中选择要编辑的安全模块。 2. 右键单击安全模块,选择快捷菜单命令“更换设备...”(Changedevice...)。 根据下表,可以看到更换哪些安全模块不会导致数据丢失,哪些可能导致数据丢失。SCALANCE S 模块的组态接口概述 组态模式 通过模式指定接口路由的处理方式(外部/内部)。 安全模块的 DMZ 接口(仅适用于 SCALANCES623/S627-2M)始终以路由模式连接。 有关更多详细信息,请参见 组态 IP 地址参数 (页 593)部分 组态接口如果安全模块的外部接口、DMZ 接口(仅适用于 SCALANCE S623/S627-2M)或隧道接口 (仅适用于 VPN 组中 V4及更高版本的 SCALANCE S612/S623/S627-2M)需要进行组态,则 必须使用“激活接口”(Activateinterface) 复选框激活相应的接口。 设置每个接口的 IP 地址 信息,完成各个端口的设置。可通过“常规”(General)条目中的下列选项为外部接口和 DMZ 接口分配 IP 地址(仅适用于 SCALANCE S623/S627-2M): • 静态 IP地址与子网掩码。 有关更多详细信息,请参见 组态 IP 地址参数 (页 593)部分 • 使用 PPPoE 进行地址分配。有关更多详细信息,请参见 组态 Internet 连接 (页 595)部分 只能使用静态 IP 地址组态内部接口和隧道接口。如果由于组态 NAT 规则而导致在安全模块的接口上注册了别名 IP 地址,这些地址会显示在 “别名 IP 地址”(Alias IPaddresses) 条目中。 说明 外部接口和 DMZ 接口用于 Internet 访问 无法在外部接口和 DMZ 接口(双ISP)运行 PPPoE。 以太网上的点对点协议 (PPPoE) 需要通过 PPPoE 分配外部接口或 DMZ 接口的 IP地址,才允许通过 DSL 调制解调器直接访问 Internet/WAN。 PPPoE 是一种拨号协议,用于从 Internet服务提供商 (ISP) 获取 IP 地址。 此 时是在路由模式下运行 SCALANCE S。要使用此 IP地址分配模式,请在“PPPoE”条目中指定 ISP。 接口的 IP 地址、子网掩码、标准 路由器和 DNS 服务器均由 ISP 指定。说明 使用 PPPoE 时,不考虑已组态的标准路由器。 它由 ISP 动态分配给模块。 说明 SCALANCE S 与 DSL调制解调器间没有网络组件 如果 SCALANCE S 模块的接口通过 PPPoE 运行,则该接口及其连接的 DSL 调制解调器间不得有其它网络组件,否则可能通过此链接以不加密的方式传输 Internet 服务提供商的拨号数 据。使用“CHAP”验证协议时,数据以加密方式传送。 组态媒介模块 除 SCALANCE S623 的功能外,S627-2M还有两个媒介模块插槽,在其中可插入带有双端口 的电气或光学媒介模块。 外部和内部接口都可扩展Zui多两个端口。 在路由模式下,安全模块的附加端口可用于将外部和内部接口连接到环型拓扑。 要将媒介模块集成到 SCALANCE S627-2M中,请选择安全模块并切换到设备视图。 从 硬件目录中选择所需媒介模块。对于端口类型为“电口”的端口,可使用端口模式手动设置传输速度和双工方式。 对于端 口类型为“光学”的端口,端口模式由所使用的媒介模块或SFP 收发器确定,无法进行调整。 有关将媒介模块端口连接到 MRP 环网的更多信息,请参见以下部分: 环型拓扑中的介质冗余(页 601) 设置操作模式 如何访问该功能 1. 选择待编辑的模块。 2. 在本地安全设置中,选择“模式”(Mode)条目。 操作模式 - 可能的选择 如果 VPN 组不包括安全模块,则可以在此对话框中更改操作模式。 如果安全模块在 VPN 组中,则无法更改操作模式。这种选择适用于外部和内部接口之间的接口路由。 DMZ 接口(仅适用于 SCALANCE S623 和S627-2M)始终以路由模式连接。 网桥模式 适用于在扁平网络中运行。 外部接口和内部接口在同 一 IP 子网中。 对于S623/S627-2M: 外部和内部接口在同一 IP 子网 中,DMZ 接口在其它 IP 子网中或未激活。 路由模式所有接口都在不同的 IP 子网中。 如果已激活路由模 式,必须为安全模块的内部接口组态内部 IP 地址和子 网掩码。 注意 如果启用了SCALANCE S 模块的路由模式,则将无法 定义 MAC 防火墙规则。 幻象模式(仅适用于 SCALANCE S S602V3.1 及更高版 本) 运行时,安全模块外部接口使用连接至安全模块内部 接口的节点的 IP 地址。 在幻象模式下操作之前,为外部接口指定的 IP 地址数据只用于下载组态。 组态 IP 地址参数 含义 指定安全模块接口的网络参数,如 IP 地址和子网掩码。如何访问该功能 1. 选择待编辑的模块。 2. 在本地安全设置中,选择“外部接口 [P1] 红色”(Externalinterface [P1] red) 或“DMZ 接口 [P3] 黄色”(DMZ interface [P3] yellow)。只有当安全模块(仅适用于 V4 及更高版本的 SCALANCE S612/S623/S627-2M)至少属于一个 VPN组时才可组态虚拟隧道接口,请参见“隧道 IP 地址 的含义”部分。 说明 在路由模式中组态内部接口如果已为安全模块选择了“路由”模式,则也必须为安全模块的内部接口组态一个内部 IP 地址和子网掩码。 可在本地安全设置的“内部接口[P2] 绿色 > 以太网地址”(Internal interface [P2] green > Ethernetaddresses) 中访问此功能。 3. 如果适用,可通过“激活接口”(Activate interface) 复选框启用接口。4.选择“以太网地址”(Ethernet addresses) 条目。 5. 完成下表中规定的设置。 参数 含义 IP 地址 外部接口的IP 地址。 IP 地址由四个 0 到 255 之间的十进制数组成,每个数 字都由一个句点进行分隔(例如 141.80.0.16)。子网掩码 子网掩码由四个用句点分隔的十进制数组成(例如 255.255.0.0) 使用路由器(不适用于隧道接口)如果要使用标准路由器,则选中此复选框,并在“路 由器地址”(Router address) 输入框中输入路由器的 IP 地址。 说明将物理接口联网 将安全模块的物理接口联网到合适的子网以避免 IP 地址冲突。 隧道 IP 地址的含义 如果要对 V4 及更高版本的SCALANCE S612/S623/S627-2M 模块使用“在 VPN 隧道中使用NAT/NAPT”功能,则需要为安全模块分配隧道 IP 地址。 这样可确保能够通过 VPN 隧道访问安全模块并提供了一种组态和诊断选项。 已组态的隧道 IP 地址可通过别名隧道 IP 地址使用 适用的 NAT/NAPT 规则进行扩展。别名隧道 IP 地址的子网掩码固定为 32 位且不能通过组态 进行更改。 只有安全模块至少属于一个 VPN 组时,才可以组态隧道 IP地址。 有关在 VPN 隧道中使用 NAT/NAPT 进行地址转换的详细信息,请参见以下部分: 在 VPN 隧道中使用NAT/NAPT 进行地址转换 (页 624) 标准路由器的特殊功能 • 通过“PPPoE”组态 IP分配时,将忽略已组态的标准路由器,因为标准路由始终通过 PPPoE 接口自动组态。 •如果通过“静态地址”组态地址分配,并且安全模块通过 DSL (NAPT) 路由器连接到 Internet,则必须输入 DSL路由器作为标准路由器。 • 对于幻象模式下的安全模块(仅适用于 V3.1 及更高版本的 SCALANCE S602),由于运行期间会标识标准路由器,无法组态这些路由器。 在幻象模式下,无法针对安全模 块组态特定路由。