使用 RADIUS服务器的情形 可在激活用户特定的 IP 规则集时执行通过 RADIUS 服务器进行验证。1 在安全模块的 Web 页面上输入用户数据2 通过 RADIUS 服务器验证并激活用户特定的 IP 规则集 3 访问自动化单元 以上显示的网络布局只是一个示例。RADIUS服务器还可以位于安全模块的内部网络或 DMZ 网络中。 下文介绍组态选项时,已假定 RADIUS 服务器在 STEP 7中组态,并已分配给相关的安全模块。 除此以外,还必须对一个用户或角色组态了“RADIUS”验证方法。有关详细信息,请参见以下 各部分:• 定义 RADIUS 服务器 (页 610) • 将 RADIUS 服务器分配给安全模块(页 611)有关用户特定 IP 规则集的一般信息,请参见以下部分: • 用户特定的 IP 规则集 (页 615)组态选项 要使用 RADIUS 服务器验证用户,有两个组态选项可供使用: • 用户和用户角色对于安全模块而言是已知的,只有用户密码在RADIUS 服务器上管理。用 户和密码在 RADIUS 服务器上组态。 – 组态使用“RADIUS”验证方法的用户。 –将该用户分配给用户特定的 IP 规则集。 结果: – 用户登录安全模块的 Web 页面时,验证查询会转发至 RADIUS 服务器。 –RADIUS 服务器执行密码检查并将结果发送回安全模块。 – 如果成功通过了密码检查,用户特定的 IP 规则集会激活。 •角色对于安全模块而言是已知的,用户管理通过 RADIUS 服务器进行。用户和密码在 RADIUS 服务器上组态。 –将用户自定义的角色或系统定义的角色分配给用户特定的 IP 规则集。 – 在安全模块本地安全设置中的“RADIUS >RADIUS 设置”(RADIUS > RADIUS settings) 条 目下,启用“允许 RADIUS验证非组态用户”(Allow RADIUS authentication of unconfigured users)复选框和“验证需要过滤器 ID”(Filter ID is required for authentication) 复选框。 结果:– 用户登录到安全模块的 Web 页面时,验证和授权查询会转发至 RADIUS 服务器。 – RADIUS服务器执行密码检查并将结果发送回安全模块。 – 情况 a:如果在 RADIUS 服务器上也组态了此角色名称: RADIUS服务器会将已分配给用户的角色名称返回给安全模块。 – 情况 b:如果未在 RADIUS 服务器上组态该角色名称:安全模块会给用户分配系统定义的角色“radius”。 – 如果成功通过了密码检查,用户特定的 IP 规则集会激活。 有关 RADIUS服务器的约定 • RADIUS 服务器可以位于与安全模块相连的任意网络内。 • 每个安全模块Zui多可以组态两个 RADIUS服务器。运行期间只有一个 RADIUS 服务器处于 激活状态。 • 定义 RADIUS 服务器时,还可以使用 FQDN 取代 IP地址。 • RADIUS 服务器的名称Zui多可使用 25 个字符。
定义 RADIUS服务器 含义 在能够通过 RADIUS 服务器验证以前,需要先将其存储在 STEP 7 项目中。之后,将指定的 RADIUS服务器分配给安全模块,让该 RADIUS 服务器为其处理用户验证。 步骤 1. 在全局安全功能中,选择条目“RADIUS”。结果:所选条目下将显示之前创建的 RADIUS 服务器。 2. 双击“添加新 RADIUS 服务器”(Add new RADIUSserver) 条目。 结果:在条目“RADIUS”下,会显示创建的 RADIUS 服务器和自动分配的编号。 3. 双击创建的RADIUS 服务器。 结果:在工作区会显示 RADIUS 服务器的分配对话框。在“RADIUS 服务器”(RADIUSserver) 下 拉列表中,将选中所选的 RADIUS 服务器。可为其分配所需的安全模块,具体请参见将 RADIUS服务器分配给安全模块 (页 611)部分。在本地安全设置中,会显示 RADIUS 服务器可组态的 属性。 4.在本地安全设置的“常规”(General) 条目中,输入以下数据:结果 RADIUS服务器定义完毕,随即可以将其分配给所需的安全模块。请注意以下部分中的说明 信息: 将 RADIUS 服务器分配给安全模块(页 611) 将 RADIUS 服务器分配给安全模块 要求 已定义 RADIUS 服务器。 步骤 1. 选择要编辑的模块。2. 在本地安全设置中选择“RADIUS”条目。 3. 选择“启用 RADIUS 验证”(Enable RADIUSauthentication) 复选框。 说明 在安全模块上更改使用 Web 服务器的验证方法 如果在安全模块上启用了 RADIUS验证,则使用 Web 服务器的验证方法将从“摘要访问 验证”更改为“基本访问验证”。 4. 在“RADIUS 超时”(RADIUStimeout) 输入框中,输入安全模块将等待 RADIUS 做出响应的Zui长 秒数时间值。 5. 在“RADIUS重复”(RADIUS repetitions) 输入框中,输入用 RADIUS 服务器尝试建立连接的次数。 6.如果已将要激活的用户特定 IP 规则分配给一个角色而非一个用户,则选中“允许 RADIUS 验 证非组态用户”(AllowRADIUS authentication of unconfigured users) 复选框。7.如果所分配的角色为用户自定义的角色,则选中“验证需要过滤器 ID”(Filter ID is required forauthentication) 复选框。 8. 在“RADIUS 服务器”(RADIUS server)条目下,从“名称”(Name) 下拉列表选择要分配给安全模 块的 RADIUS 服务器。 也可以将已启用 RADIUS验证的安全模块分配给全局安全功能中的 RADIUS 服务器。有关通过 RADIUS 服务器进行验证的一般信息,请参见以下部分: 通过RADIUS 服务器验证 (页 607) 设置防火墙 SCALANCE S 模块的本地防火墙规则使用预定义的防火墙规则组态防火墙 使用预定义的防火墙规则组态防火墙 如何访问该功能 1. 选择待编辑的模块。 2.在本地安全设置中选择“Firewall”条目。 默认启用的防火墙 默认会启用“Enablefirewall”复选框。会自动激活防火墙,阻止从外部到安全模块的所有 访问。通过单击相关的复选框,将启用特定方向的防火墙规则。说明 gaoji防火墙模式中的详细防火墙设置在gaoji防火墙模式下,可对单个的节点设置防火墙规则。要切换到gaoji防火墙模式,请选中 “Enable firewall inadvanced mode”复选框。有关gaoji防火墙模式的更多详细信息,请参见 “本地防火墙规则概述(页 502)”部分。 带 VPN 的防火墙组态 如果安全模块在 VPN 组中,则默认启用“Only tunneledcommunication”复选框。这意味着 通过外部接口或 DMZ 接口仅允许传送加密的 IPsec 数据。仅对该模块(TCP 端口443)的 HTTPS 访问仍允许不通过隧道进行。如果取消选择该复选框,则允许隧道通信以及在其它复选框中选择的通信类型。记录通过隧道传输的数 据包 仅在安全模块是 VPN组的成员时才激活。将记录所有通过隧道传送的 IP 数据包。 记录被阻止的传入数据 包 记录所有被丢弃的传入 IP 数据包。记录被阻止的传出数据 包 记录所有被丢弃的传出 IP 数据包。 可以在“Online &Diagnostics”对话框的“Packet filter log”条目中查看已记录数据包。有关更多 详细信息,请参见记录数据包-“数据滤日志”(Packet filter log) 条目 (页 588)部分。 使用预定义的 MAC 规则组态防火墙如何访问该功能 1. 选择待编辑的模块。 2. 在本地安全设置中选择“Firewall”条目。 默认启用的防火墙默认会启用“Enable firewall”复选框。会自动激活防火墙,阻止从外部到安全模块的所有访问。通过单击相关的复选框,将启用特定方向的防火墙规则。 说明 gaoji防火墙模式中的详细防火墙设置在gaoji防火墙模式下,可对单个的节点设置防火墙规则。要切换到gaoji防火墙模式,请选中 “Enable firewall inadvanced mode”复选框。有关gaoji防火墙模式的更多详细信息,请参见本 地防火墙规则概述 (页 502)部分。带 VPN 的防火墙组态 如果安全模块在 VPN 组中,则默认启用“Tunnel communication only”复选框。如果取消选择该复选框,则允许隧道通信以及在其它复选框中选择的通信类型。用户特定的 IP 规则集 概述 含义将单个或多个用户分配给用户特定的 IP 规则集。将用户特定的 IP 规则集分配给单个或多个安全模块。这样即可实现用户特定的访问。例如,从安全模块到网络下游的所有 访问受阻时,用户基于其 IP地址可以使用某些节点。这意味着允许该用户访问,但其他用 户仍然无法访问。 用户通过 Internet 登录 用户可以通过安全模块的Web 页面登录到外部接口或 DMZ 接口。如果验证成功,将针对用 于登录的设备的 IP 地址为用户启用相应的 IP 规则集。到安全模块的 Web 页面的连接通过 HTTPS、利用已连接端口的 IP 地址以及有效的路由规则 实现: 示例:验证用户的选项根据创建要登录到安全模块的用户时选择的验证方法,可按以下不同实例处理验证: • “密码”验证法:验证由安全模块处理。 •“RADIUS”验证法:验证由 RADIUS 服务器处理(仅适用于 SCALANCE S V4 及更高版本)。 给用户特定的 IP规则集分配角色 在 SCALANCE S 模块中(V4 及更高版本),还可以对已分配角色的用户特定的 IP 规则集进行分配。这样可以使一组用户访问某些 IP 地址。 如果将 RADIUS 服务器用于用户验证,并且已将某一角色分配到用户特定的 IP规则集,用户尚未在安全模块中组态,也可以通过 RADIUS 服务器对其进行验证。这些用户必须存储 在 RADIUS服务器或单独的数据库中,在该服务器中需要为这些用户分配已在 STEP 7 中分 配给用户特定的 IP规则集的角色。这样做的好处就是,所有的用户数据只存储在 RADIUS 服 务器上。 有关通过 RADIUS服务器进行验证的详细信息,请参见以下部分: 通过 RADIUS 服务器验证 (页 607) 在本地使用用户特定的 IP规则集 - 惯例 与以下部分所述相同的惯例适用: 全局防火墙规则集 - 约定 (页 472) 创建并分配用户特定的 IP规则集 创建用户特定的 IP 规则集 1. 在全局安全功能中,选择条目“防火墙 > 用户特定的 IP 规则集 > IP规则集”(Firewall > Userspecific IP rule sets > IP rule sets)。 2.双击“添加新的 IP 规则集”(Add new IP rule set) 条目创建用户特定的 IP 规则集。 结果:创建的用户特定的IP 规则集将显示在条目中。