3. 双击创建的用户特定的 IP 规则集。结果:用户特定的 IP 规则集的可组态属性将显示在巡视窗口的“属性 > 常规”(Properties > General)选项卡中。 4. 在巡视窗口中,单击“常规”(General) 条目并输入以下数据: – 名称(Name):项目范围内规则集的唯一名称。分配规则集后,名称显示在安全模块 的本地规则列表中。 – 说明(Description)(可选):输入用户特定的 IP 规则集的描述。 5. 单击“IP 规则”(IP rules)条目并在列表中逐个输入防火墙规则。 不可在“源 IP 地址”(Source IP address) 框中输入 IP地址。在节点登录到安全模块时将自动输 入该地址。 对于用户特定的 IP 规则集的 IP 规则,无法禁用“状态”(Stateful)复选框 请注意以下部分中的参数描述: 定义 IP 数据滤规则 (页 504) 注意由 STEP 7 根据NAT/NAPT 规则自动生成的防火墙规则的特性: NAT/NAPT 路由器与用户特定防火墙之间的关系 (页 625)在本地创建 RADIUS 用户和 RADIUS 角色 除了系统定义的用户或角色,还可以在本地创建 RADIUS 用户和 RADIUS角色: 1. 在巡视窗口中单击“用户和角色”(Users and roles) 条目。 2. 在“可用用户和角色”(Availableusers and roles) 区域中,选择条目“
在 VPN隧道中使用 NAT/NAPT 进行地址转换 模块特定的功能 在 VPN 隧道中使用 NAT/NAPT 进行地址转换仅适用于SCALANCE S612/S623/S627-2M 模块。 含义 对通过 VPN 隧道建立的通信关系,可使用 NAT/NAPT进行地址转换。 要求 对要在 VPN 隧道中使用 NAT/NAPT 进行地址转换的 SCALANCE S 模块,通常有以下要求: •SCALANCE S 模块属于一个 VPN 组。 • SCALANCE S 模块处在路由模式下和/或其 DMZ 接口已激活。 •已启用隧道接口。 • 已启用gaoji防火墙模式。 • 防火墙在 IP 规则编辑器中启用。涉及多个 VPN 组时的地址转换特性 如果SCALANCE S 模块是多个 VPN 组的成员,则为 SCALANCE S 模块的隧道接口组态的地 址转换规则适用于此SCALANCE S 模块的所有 VPN 连接。 请注意:一旦组态了涉及隧道方向的 NAT 地址转换后,只有 NAT地址转换规则涉及到的 IP 地 址可通过 VPN 隧道进行访问。 NAT/NAPT 路由器与用户特定防火墙之间的关系 模块特定的功能用户特定防火墙中的 NAT/NAPT 规则组态仅适用于 SCALANCE S 模块。 含义 在创建 NAT/NAPT 规则后,STEP7 在用户特定防火墙中自动生成用户特定的 IP 规则集,启 用在组态的地址转换方向上的通信。可将用户特定的 IP规则集分配给单个或多个用户, 和/或分配给单个或多个角色(只适用于 SCALANCE S 模块)。 可根据需要移动和扩展(附加 IP地址、服务、传输速度)所生成的防火墙规则。无法更改 STEP 7 生成的防火墙参数。如果将用户特定的 IP 规则集分配给禁用了NAT/NAPT 的安全模块, 则用户特定防火墙的 NAT/NAPT 规则也适用于此安全模块。 说明采用用户特定的防火墙时,不支持地址转换操作“源 NAT + 目标 NAT”和“双 NAT”。NAT/NAPT 地址转换和对应的用户特定IP 规则集 在基于 NAT/NAPT 规则生成的用户特定 IP 规则集的防火墙规则中,不可在“源 IP 地址”(Source IPaddress) 框中输入 IP 地址。在节点登录到安全模块时将自动输入该地址。为各个安全模 块本地生成的其余属性相同。请参见NAT/NAPT 路由器与防火墙之间的关系 (页 537)部分。 安全模块作为 DHCP 服务器 DHCP 服务器概述 概览可将内部网络和 DMZ 网络上的 SCALANCE S 模块作为 DHCP 服务器运行(DHCP = 动态主机 配置协议(Dynamic Host Configuration Protocol))。 这样可将 IP 地址自动分配给连接到内 部网络或DMZ 网络的设备。 可在两个接口运行 DHCP 服务器(仅适用于 SCALANCE S623/S627-2M)。既可以通过指定的地址范围动态分布 IP 地址,也可以选择一个特定的 IP 地址并分配给一个特定设备。如果考虑到防火墙组态,需要始终为内部接口或 DMZ 接口上的设备分配同一个 IP 地址,则必须仅基于 MAC 地址或客户端ID 进行静态地址分配。 要求 在内部网络或 DMZ 网络中组态设备,以便设备从 DHCP 服务器获取 IP地址。根据所用模式,安全模块会将标准路由器的 IP 地址发送给相应子网的节点,或者需要由用 户向子网中的节点提供路由器 IP 地址。• 将传送路由器 IP 地址 在以下情况中,安全模块的 DHCP 协议将通知路由器 IP 地址的节点: – 节点与 DMZ接口相连(仅适用于 SCALANCE S623/S627-2M) 在此情况下,安全模块将自身的 IP 地址作为路由器 IP 地址发送。– 节点与内部接口相连,并且安全模块已组态为路由器模式 在此情况下,安全模块将自身的 IP 地址作为路由器 IP 地址发送。 –节点与内部接口相连,并且安全模块未组态为路由器模式,但已在安全模块的组态中 指定了一个标准路由器。 在此情况下,安全模块将标准路由器的IP 地址作为路由器 IP 地址发送。 • 不传送路由器 IP 地址 在以下情况中,须在节点上手动输入路由器 IP 地址: –节点与内部接口相连,并且安全模块未组态为路由器模式。 安全模块的组态中 也未指定标准路由器。 参见 组态 DHCP 服务器(页 628) 组态 DHCP 服务器 如何访问该功能 1. 选择待编辑的模块。 2. 在本地安全设置中,选择“DHCP服务器”(DHCP server) 条目。 3. 选择要对其进行 DHCP 设置的接口。 4. 进行地址分配。 可使用以下组态选项:– 静态地址分配 为具有特定 MAC 地址或客户端 ID 的设备分配指定的 IP 地址。 通过在“静态地址分 配”(Staticaddress assignment) 组框的地址列表中输入设备来指定这些地址。 – 动态地址分配 对于未专门指定 MAC地址或客户端 ID 的设备,将为其分配指定地址范围中的随机 IP 地址。为此,请激活“动态 IP 地址池”(Dynamic IPaddress pool) 复选框。在“动态 IP 地址池”(Dynamic IP address pool)输入区域中设置地址范围。动态地址分配 - 电源中断后的反应 请注意,如果电源中断,则不会保存动态分配的 IP 地址。在电源恢复后必须确保节 点请求 IP 地址。 对于以下节点应仅使用动态地址分配: •子网中暂时使用的节点(如服务设备)。 • 已分配了 IP 地址的节点,且在下次从 DHCP 服务器(如 PC站)请求地址时将此地址作为“首 选地址”发送。 对于yongjiu节点,zuihao通过指定客户端 ID 或 MAC地址来使用静态地址分配。 一致性检查 - 必须遵守这些规则 进行输入时,请记住以下规则。 • “静态地址分配”(Staticaddress assignments) 组框的地址列表中分配的 IP 地址不得在动态 IP 地址范围内。 • IP 地址、MAC地址和客户端 ID 只能在“静态地址分配”表中出现一次(与安全模块有 关)。 • 对于静态分配的 IP 地址,必须指定 MAC地址或客户端 ID(计算机名称)。 • 客户端 ID 是Zui多 63 个字符的字符串。 只能使用以下字符: a-z、A-Z、0-9 和-(破折 号)。 注意 在 SIMATIC S7 中,可以将客户端 ID 分配给以太网接口上的设备,这样可允许它们使用 DHCP 获取IP 地址。 对于 PC,该步骤取决于正在使用的操作系统;建议使用此处的 MAC 地址进行分配。 • 对于静态分配的 IP地址,必须指定 IP 地址。 • 以下 IP 地址不能在可用 IP 地址(动态 IP 地址)的范围内: – “路由”(Routing)条目中的所有路由器 IP 地址 – Syslog 服务器 – 标准路由器 – 安全模块地址。