防火墙激活情况下的在线安全诊断和下载到站设置说明在线安全诊断和下载的附加服务如果希望使用“在线安全诊断”(Online security diagnostics) 或“下载到设备”(Download todevice) 功能,则需要创建附加规则或禁用“Echo Request”/“Echo Reply”服务。针对在线功能设置防火墙若已启用安全功能,请按照下面列出的步骤进行操作。全局安全功能:1. 选择条目“防火墙 > 服务 > 为 IP 规则定义服务”(Firewall > Services > Define services forIP rules)。2. 选择“ICMP”选项卡。3. 插入一个类型为“Echo Reply”和一个类型为“Echo Request”的新条目。CP 的本地安全功能:现在选择 S7 站中的 CP。1. 在 CP 的本地安全设置中,在“安全 > 防火墙”(Security > Firewall) 参数组中启用gaoji防火墙模式。2. 打开“IP 规则”(IP rules) 参数组。3. 在表中,按如下方式为之前已创建的全局服务插入新的 IP 规则:– 操作:Accept;从:外部;至:站;服务 > ICMPv4/6 服务 > Echo Request(此前全局创建的服务)– 操作:Accept;从:站;至:外部;服务 > ICMPv4/6 服务 > Echo Reply(以前全局创建的服务)4. 对于“Echo Request”服务的 IP 规则,在“源 IP 地址”(Source IP address) 下输入工程师站的IP 地址。基于这些规则,只能通过防火墙从包含 ICMP 数据包 (ping) 的工程师站访问 CP。使用 VPN - 对通信的影响通过 VPN 隧道的通信与 VPN 隧道外面的通信相比,通过 VPN 隧道的通信在速度上有所下降。在使用 S7 通信和开放式通信服务(SEND/RECEIVE 接口)的连接的混合操作中,请记住CP 会处理优先级较高的开放式通信服务。重新加载防火墙规则激活的隧道连接的行为使用“在线重新加载防火墙规则”(Reload firewall rules online)(在 STEP 7/HW Config 的“CP属性”(CP properties),“安全”(Security) 选项卡中)重新加载防火墙规则会导致已激活的隧道连接上的通信中止。激活 IP 访问保护在防火墙禁用时动态扩展 IP 访问保护列表当防火墙禁用时,如果安全功能已激活,则没有 IP 访问保护。 换句话说,此设备状态下的 IP 访问不会限制为 IP 访问保护列表中输入的 IP 地址。为使用 STARTTLS 或 FTPS 的 SMTP 导入证书验证证书要导入证书,需要在 STEP 7 中启用 CP 的安全功能。在 STEP 7 中使用证书管理器导入证书。请按照下面列出的步骤进行操作:1. 打开证书管理器。– STEP 7 V5/SCT:“选项 > 证书管理器”(Options > Certificate manager...)。– STEP 7 Professional:“全局安全设置 > 证书管理器”(Global security settings >Certificate manager)2. 导入您之前在 PG/工程师站的文件系统中存储的证书。– STEP 7 V5/SCT:“导入”(Import)– STEP 7 Professional:在证书表中,打开快捷菜单“导入”(Import)(鼠标右键)。安全功能和 STEP 7 特殊诊断已激活 - 组态活动已阻挡已激活安全组态的模块请注意具有已激活安全组态的模块上的以下行为:初始状态:在 HW Config 中,使用键盘快捷键
SNMPSNMP(简单网络管理协议)SNMP 是用于管理网络的协议。SNMP 使用无连接 UDP 协议发送数据。有关 SNMP 兼容设备属性的信息在 MIB 文件中输入(MIB = 管理信息库)。CP 支持通过 SNMP 版本 1 进行数据查询。它会根据 MIB II 标准、LLDP MIB、自动化系统MIB 和 MRP Monitoring MIB 提供特定 MIB 对象的内容。CP 继续支持通过 SNMPv3(已启用安全)进行数据查询。支持的 MIBCP 支持以下几组 MIB II 标准(符合 RFC1213)的 MIB 对象:• 系统• 接口• IP• ICMP• TCP• UDP• SNMP• 地址转换 (AT)不支持其它组的 MIB II 标准:• EGP• 传输CP 还支持 LLDPMIB(符合 IEEE 802.1AB)、LLDPMIB 的 PROFINET 扩展(另请参见 IEC61158106)、自动化系统 MIB 和 MRP Monitoring MIB。例外/限制:• 只允许对系统组的以下 MIB 对象进行写访问:– sysContact– sysLocation– sysName使用 DHCP 选项 12 将设置的 sysName 作为主机名发送到 DHCP 服务器以注册 DNS服务器。出于安全原因,对于所有其它 MIB 对象/MIB 对象组,只能进行读访问。• CP 不支持陷阱。MIB 组“接口”“接口”MIB 对象通过以下分配提供 CP 接口的状态信息:此组返回 CP 接口的状态信息。ifTable 的 MIB 对象提供接口的状态信息。“ifIndex”对象标识符按以下方式分配给 CP 接口) 如果未组态千兆位接口,则将值 1 分配给 PROFINET 接口的第一个端口,随后的值相应移动一个位置。使用团体名称的访问权限CP 使用以下团体名称控制 SNMP 代理中的访问权限MIB 文件和 SNMP 配置文件模块的 MIB 文件和 SNMP 配置文件位于 STEP 7 安装中模块名称下的“S7DATA > snmp”文件夹中。Ping: ICMP 包的允许长度包大小超过 1000 字节的 Ping 将被评定为攻击,并被 CP 过滤掉。这种响应行为是故意为之,可提高 CP 在工业环境中的稳定性。ping 只用于检查可达性。 因此不需要支持超长的 ICMP 包。6.14 在 H 系统中使用通过 ISO-on-TCP 实现的 H 连接形式的 S7 连接 - 适应监视时间在 H 系统 V4.5 中使用 CP 时,还可以选择创建通过 ISO-on-TCP 实现的容错 S7 连接。通过 CP 操作大量连接时,可能有必要增加监视时间。否则有些连接可能无法建立。根据所使用 CPU 的固件版本,通过下列方法设置监视时间:• 固件版本 V6.0 及更高版本的 H CPU在已组态连接的属性参数中进行设置。• 固件版本低于 V6.0 的 H CPU在 CP 的属性参数中进行设置。基于 VPN 的 H 连接服务范围CP 不支持在 VPN 隧道中运行容错 S7 连接(H 连接)。每个 CP Zui多支持 10 个容错 S7 连接。限制操作存在以下限制:• 由于通过 VPN 实现了额外负载,必须预期基于 H 连接的传输速度较低。• 通过 CP 操作大量连接时,可能有必要延长 H 连接的监视时间。如果监视时间过短,有些连接可能无法建立,或者会在操作时发生故障。建议将监视时间至少设置为一秒。根据 VPN 组的数量、H 连接的数量和通信负载,可能需要进一步延长监视时间。• 只有在创建 VPN 组后才能建立 H 连接。• 通过 VPN 建立的第一个 H 连接比没有 VPN 隧道时所需的时间更长。• 如果使用 CP 进行基于 VPN 的 H 连接,则无法并行运行以下任何服务:– S7 通信– SEND/RECV 通信(TCP、ISO-on-TCP、UDP 或 ISO)• 只能在 VPN 隧道内建立与 CP 本身搭配运行的 H 连接。其它 SEND/RECV 通信(TCP、ISOonTCP、UDP、…)均无法通过 VPN 隧道运行,即使采用路由方式亦如此。• 未发布使用 SCALANCE S/SCALANCE SC 作为 VPN 连接端点的基于 VPN 的 H 连接操作。在 SIMATIC PCS 7 中使用 CP 时,请遵循 PCS 7 的限制和指南。要求• 软件版本:– 自版本 V5.6 起的 STEP 7– 自版本 V5.0 起的安全组态工具 (SCT)• S7-400H CPU 固件– 自固件版本 V4.5 起的 H-CPU:V4.5.7– 自固件版本 V6.0 起的 H CPU:V6.0.8– 自固件版本 V8.0 起的 CPU 410-5H:V8.2.1• CP 固件– CP 443-1 Advanced:自固件版本 V3.2.17 起• 对于相应的模块类型,H 站内模块的固件版本必须相同。建议使用相同的固件操作 VPN 组中的所有 CP。• 要正确建立 VPN 连接,所有 VPN 节点都需要当前时间。如有可能,请确保为所有节点均启用了时间同步并使用了相同的时间源。组态常规• 组态 VPN 组的节点,以使 H 连接的每个子连接和每个连接路径都可以通过 VPN 建立。• 建议在 NetPro 中为每个物理网络创建一个逻辑网络。• 为每个逻辑网络创建一个包含全部所需节点的 VPN 组。• 多个 H 连接可以通过同一个 VPN 组进行通信。VPN 组的组态规则以下条件适用:• 每个 CP Zui多允许 10 个 VPN 组。• VPN 组的验证模式必须基于证书。不允许采用基于预共享密钥的验证。• VPN 组必须在“主”IKE 模式下组态。不允许“激进”IKE 模式。• 对于密钥交换,仅使用“DH 组 14”或“DH 组 15”。• 在加密期间的第 1 阶段,仅将 AES-256 用于 SHA1 验证。• 在加密期间的第 2 阶段,仅将 AES-128 用于 SHA1 验证。• 可启用“完美前向安全性”。• 一个 VPN 组的所有节点必须能够彼此访问。如果将连接到不同物理网络的模块插入到一个 VPN 组中,则无法成功建立 VPN 组。可能的 VPN 组• 对于通过 2 条路径与一个物理网络建立的 H 连接,至少需要一个 VPN 组。此外,还可使用 2 个 VPN 组。• 对于通过 2 条路径与 2 个物理分离网络建立的 H 连接,需要 2 个 VPN 组。• 对于通过 4 条路径与一个物理网络建立的 H 连接,至少需要一个 VPN 组。此外,还可使用 2 个或 4 个 VPN 组。• 对于通过 4 条路径与 2 个物理分离网络建立的 H 连接,至少需要 2 个 VPN 组。此外,还可使用 4 个 VPN 组。• 对于通过 4 条路径与 4 个物理分离网络建立的 H 连接,需要 4 个 VPN 组。H 连接的组态• H 连接只能通过 CP 的 X1 接口 (GBIT) 进行组态。• 对于容错 S7 连接,只能使用 ISO-on-TCP 类型。不得使用 ISO 类型。