自动创建的防火墙规则的约定 •优先级 规则具有Zui高的优先级,因此插入到本地规则集的顶部。 • 删除规则无法删除规则。可以启用日志记录,并分配服务。还可以插入传输速度和注释。 • 更改操作如果将操作从“Accept”更改为“Drop”,或反之,则此更改将在系统同步更新期间再次被覆盖。如果要保留更改,则选择“Accept*”或“Drop*”操作。在这种情况下,只同步了 IP 地址,操作和方向仍与设置相同。系统同步更新后,即使操作不改为“Accept*”或“Drop*”,记录、服务、传输速度和注释的设置也会保留。如果删除了已组态的连接,相应的规则 将从列表中删除。 VPN 组中的安全模块默认情况下,“仅隧道通信”(Tunnel communication only) 复选框被启用。如果取消选中该复选框,除隧道伙伴间的隧道通信外,还可以与未连接隧道的设备进行通信。 • 如果伙伴地址属于在 STEP 7 中未组态 VPN隧道的已知站,那么通信不通过隧道进行。 • 如果伙伴地址是 VPN 端点,通信将通过隧道进行。 说明如果要确保通信只能通过隧道进行,需要在gaoji防火墙模式下创建合适的防火墙规则。 要仅允许 CP进行隧道通信,请使用以下设置添加规则: • “动作”:“Drop” • “从”:“站” • “到”:“外部”除此之外,还需要删除现有允许不通过隧道进行通信的防火墙规则。默认模式下的日志设置与防火墙规则的关系 “预定义的 IPv6规则”中的日志设置不会影响因组态连接而自动生成的防火墙规则。例如,这意味着不能记录属于已组态连接的通过隧道传输的帧。在gaoji防火墙模式中,可以将记录 扩展到自动生成的连接防火墙规则中。使用预定义的 MAC 规则组态防火墙 如何访问该功能 1. 选择待编辑的模块。 2. 选择“Firewall >Predefined MAC rules”条目。默认模式下的日志设置与防火墙规则的关系 “预定义的 IP 规则”和“预定义的 MAC规则”中的日志设置不会影响因组态连接而自动创 建的防火墙规则。例如,这意味着不能记录属于已组态连接的通过隧道传输的帧。在gaoji防火墙模式中,可以将记录扩展到自动生成的连接防火墙规则中。 S7-1200/S7-1500 CP 的 IP 数据包过滤方向 含义gaoji防火墙模式的 IP 规则中通信方向“从”和“至”的可能选择。连接相关的自动防火墙规则 含义 对于使用 CP组态的连接,STEP 7 会自动创建防火墙规则,允许在指定方向(CP 主动/被动) 上与 CP的伙伴进行通信。同时会考虑连接建立方向。要在启用了gaoji防火墙模式时显示这 些防火墙规则,需要单击“更新连接规则”(Updateconnection rules) 按钮。随后,会在gaoji 防火墙模式下显示防火墙规则。 说明 手动启用 UDP 组播和 UDP广播连接 没有为 UDP 组播和 UDP 广播连接创建自动防火墙规则。要启用连接,请在gaoji防火墙模式 中手动添加相关防火墙规则。根据所组态的连接建立方式,可创建以下 3 级防火墙规则。如果 CP 在 VPN 组中,方向“外 部”将变为“隧道”。
为 CP 154x-1组态可通过背板总线访问的 S7 子网 要求 • 安全模块 CP 1543‑1 V2.1及更高版本/CP 1545‑1 为 VPN 组的成员,选项“IP routing betweencommunications modules”已激活。 说明 通过虚拟接口的 S7 路由 通过使用 CP 中的 S7 网关实现通过CP 的 S7 路由。如果将虚拟接口“W1”的 IP 地址用作下 一个 S7 路由器地址,则会通过 CPU 的 S7网关转发到指定目标,但不能保证“反向通 道”。 如何访问该功能 1. 选择待编辑的模块。 2. 在本地安全设置中,选择条目“VPN"> "Nodes" > "Subnets reachable through tunnel”。组态可通过背板总线访问的子网 对于可通过站的背板总线访问的子网和网络节点,只有在将其释放给 VPN 通信时,才能实现 VPN通信。在条目“Subnets reachable through tunnel”中,Zui多可指定 16 个地址或子网。必 须使用 32位子网掩码指定 IP 地址,子网的允许子网掩码范围为 1...31 位。不能指定广播地 址。 使用虚拟接口 W1 时的防火墙设置将带有 CP 的虚拟 CPU 接口用作接口时,建议采用以下设置: 1. 激活扩展的防火墙模式。 2. 指定可以访问 CPU 和 Web服务器和 OPC UA 的 IP 地址或 IP 地址范围。 3. 对协议进行设置,必要时对带宽限制进行设置。通过 SINEMARemote Connect 服务器自动组态 OpenVPN: 自动组态 OpenVPN 并建立 OpenNPN 隧道 支持的模块此功能可用于多个安全模块和遥控通信模块。 功能 模块可与应用“SINEMA Remote Connect Server”建立OpenVPN 连接。用于建立连接的 OpenVPN 连接参数由 SINEMA Remote Connect服务器指定。模块可循环调用这些连接参 数,因此会自动获取 OpenVPN 组态。 步骤 1. 选择要编辑的模块。 2.在本地安全设置中,选择“VPN”条目。 3. 选中“激活 VPN”(Activate VPN) 复选框,并选择 VPN 连接类型“通过SINEMA Remote Connect 服务器自动进行 OpenVPN 组态”(Automatic OpenVPNconfiguration via SINEMA Remote Connect Server)。 4. 为 OpenVPN连接设置以下参数: 参数 含义 SINEMA RC 地址 (SINEMA RC address) SINEMA RemoteConnect 服务器的 IPv4/IPv6 地址、FQDN 或 PROFINET 设 备名称,模块通过该服务器调用 OpenVPN连接的连接参数。 SINEMA RC 端口 (SINEMA RC port) 连接到用于调用 OpenVPN 连接的连接参数的SINEMA Remote Connect 服 务器所使用的端口。 CA 证书 (CA Certificate) 模块通过SINEMA Remote Connect 服务器验证自己的身份,该服务器使用 从服务器下载并为模块选择的 CA证书。只能选择通过其本地证书管理器 分配给模块的证书。 为了对 SINEMA Remote Connect服务器进行验证,模块会检查服务器的 CA 证书。同时会检查模块的当前时间是否处于证书有效期内。 识别码 模块通过 SINEMARemote Connect 服务器验证自己的身份,该服务器使用 SINEMA Remote Connect 服务器 CA证书的“识别码”属性。设备 ID (Device ID) 设备 ID 是 SINEMA Remote Connect 服务器为在SINEMA Remote Connect 服务器上组态的每个模块分配的。 设备 ID 用户标识模块。 设备密码 (Devicepassword) 为 SINEMA Remote Connect 服务器的设备 ID 组态的密码 更新间隔 (Updateinterval) 模块从 SINEMA Remote Connect 服务器调用要使用的 OpenVPN 连接参数的间隔分钟数。是否可建立 OpenVPN 连接以及使用哪些连接参数建立 OpenVPN 连接是由 SINEMA RemoteConnect 服务器指定的。如果数值为 “0”,说明禁止更新。 Zui小更新间隔值:10 分钟 Zui大更新间隔值:10080 分钟连接类型 (Connection type) 连接类型指定模块何时与 SINEMA Remote Connect 服务器建立OpenVPN 连接: • yongjiu (Permanent):模块在读取 OpenVPN 连接参数后建立 OpenVPN 连接。在连接参数由 SINEMA Remote Connect 服务器更改之前, OpenVPN 连接都会保持。 • PLC 触发(PLC trigger):所选 PLC 变量值为“TRUE”时,模块会立即建立 OpenVPN 连接。 用于建立连接的 PLC 变量选择类型为“BOOL”的站变量。变量值为“TRUE”时,模块会立即与 SINEMA Remote Connect 服务器建立OpenVPN 连接:如果变量值为“FALSE”, OpenVPN 连接会中断。 诊断自动 OpenVPN 组态和 OpenNPN连接 含义 诊断页面显示自动 OpenVPN 组态和 OpenVPN 连接的状态。 自动 OpenVPN 组态的状态指示模块是否能够从SINEMA Remote Connect 服务器调用包含要 使用的 OpenVPN 连接参数的组态文件。 对于 SINEMARemote Connect 服务器的 OpenVPN 连接,会显示连接状态及其原因。 CP1543-1/CP1545/1网络身份验证 网络身份验证和 EAP 方法 如果 CP 要通过交换机访问网络,CP必须先对自身进行身份验证,然后才能实现网络访问。CP 身份验证是通过 RADIUS 服务器执行的,该服务器会验证 CP的身份以及对网络的访问权限。 身份验证通信是通过可扩展身份验证协议 (EAP) 运行的。该协议用于对 CP 和网络进行相互验证和密钥交换,以确保通信安全。 为此,可选择不同的 EAP 方法作为身份验证方法。 激活 1. 选择 CP。 2.在本地安全设置中选择“Network authentication”条目。 3. 选择一种 EAP 方法: 4. 对所选 EAP方法进行相应设置。 有关各个 EAP 方法的说明 • MD5 MD5方法无法抵御中间人攻击和字典式攻击。请尽可能使用安全性更高的方法。 • TLS 建立安全的加密 TLS连接。提供对客户端和网络的基于证书的相互认证。 • PEAP PEAP过程分为两个阶段。第一阶段会建立安全隧道,第二阶段会在该隧道中执行另一身 份验证程序。 与 TLS 方法不同的是,PEAP并不一定要在第一阶段验证客户端的身份,因此组态客户端 证书为可选项。 • TTLS TTLS 过程分为两个阶段,属于 TLS的扩展。通过加密通道(或隧道)提供对客户端和网 络的基于证书的相互认证。与 TLS 不同的是,TTLS 仅需要服务器侧证书。 •MSCHAPv2 登录 Microsoft 网络的操作步骤。仅在安全隧道中使用。 • PWD 可在隧道中使用(例如TTLS),也可单独使用。