SIEMENS西门子 3VA1 IEC断路器 3VA1 116-4ED26-0AA0

          从 FTP_CMD 程序块评估“LOCKED”和“NEW”状态位 • 在版本为 1.2 的“FTP_CMD”程序块中，不会评估 FILE_DB_HEADER 的“LOCKED”和“NEW”状态位。 使用 FTP 服务器的功能或者使用同一文件 DB 时，不能排除同时多次访问同一数据区的可能性。这将导致数据不一致。 • 在版本 1.5 或更高版本的“FTP_CMD”程序块中，正确设置 FILE_DB_HEADER 的状态位“LOCKED”和“NEW”。评估这两个状态位。自 STEP 7 Professional V12 SP1 开始提供版本 1.5。 说明 避免数据不一致 确保不在同一时间多次访问同一文件 DB。 3.10 安全性 有关安全功能的范围和使用的概览信息，请参见工业以太网安全 (页 17)部分。 有关安全功能的组态限制，请参见安全特性 (页 21)部分。 要组态安全功能，需要创建一个安全用户，请参见安全用户 (页 70)部分。 3.10.1 安全用户 创建安全用户 组态安全功能需要具备相关的组态权限。为此，需要通过相应权限创建至少一个安全用户 。 导航到全局安全设置 >“用户和角色”>“用户”选项卡。 1. 创建用户并组态参数。 2. 在“分配的角色”下方区域为该用户分配角色“NET Standard”或“NET Administrator”。 登录后，该用户可以在 STEP 7 项目中进行所需的设置。 在以后使用安全参数时，请继续以该用户身份登录。VPN 仅当将模块分配给全局安全功能中的 VPN 组时，才会显示模块的“VPN”参数组。 什么是 VPN？ 虚拟专用网络 (VPN) 是用于在公共 IP 网络（例如 Internet）中安全传输保密数据的技术。利用 VPN，可通过非安全网络在两个安全 IT 系统或网络间建立安全连接（= 隧道）并进行操作。 VPN 隧道的主要特性之一是，无论是否使用高层协议（HTTP，FTP），它都能转发所有网络数 据包。 两个网络组件间的数据通信实际上是通过其它网络进行无限制传输。这样便可通过相邻网 络将整个网络连接在一起。 属性 • VPN 构成了一个嵌入到相邻（已分配）网络中的逻辑子网。VPN 使用已分配网络的通常寻址机制，但就数据而言，其传输自己的网络数据包，因此独 立于该网络的其余部分运行。 • VPN 允许 VPN 伙伴通过分配的网络进行通信。 • VPN 基于隧道技术，可单独进行组态，并且是客户特定且独立的。 • 使用密码、公钥或数字证书（= 身份验证）可保护 VPN 伙伴间的通信免遭窃听或操纵。 应用领域 • 可通过 Internet 将局域网安全地连接在一起（“站点到站点”连接）。 • 对公司网络进行安全访问（“端到站点”连接）。 • 对服务器进行安全访问（“端到端”连接）。 • 无需访问第三方即可在两个服务器间进行通信（“端到端”连接或“主机到主机”连接）。 • 确保联网的自动化系统中的信息安全性。 • 保护包含自动化网络中或通过 Internet进行的安全远程访问中的相关数据通信的计算机系统。 • 可通过公共网络从 PC/编程设备对受安全模块保护的自动化设备或网络进行安全远程访问。

          单元保护概念 利用工业以太网安全，单个设备、自动化单元或以太网网段均可受到保护： • 允许对受安全模块保护的各个设备甚至整个自动化单元进行访问。 • 通过非安全网络结构实现安全连接成为可能。 借助不同安全措施（例如防火墙、NAT/NAPT 路由器和 IPsec 隧道上的 VPN）的组合，安全模块可防止： • 数据间谍 • 数据操纵 • 不希望的访问 3.10.2.1 在 S7-1500 站之间建立 VPN 隧道通信 要求 要在 S7-1500 站之间创建 VPN 隧道，必须满足以下要求： • 已组态两个 S7-1500 站。 • 相关 CP 1543-1 组态 V1.1 及以上版本的固件。 • 两个站的以太网接口位于统一子网中。 说明 也可通过 IP 路由器进行通信 也可通过 IP 路由器在两个 S7-1500 站之间进行通信。但是，要使用此通信路径，需要进行进一步设置。 操作步骤 要创建 VPN 隧道，需要完成以下步骤： 1. 创建安全用户。如果已创建安全用户：请以该用户身份登录。 2. 选中“激活安全特性”(Activate security features) 复选框。 组态，程序块 3.10 安全性 CP 1543-1 操作说明, 07/2021, C79000-G8952-C289-08 73 3. 创建 VPN 组并分配安全模块。 4. 组态 VPN 组的属性。 组态两个 CP 的本地 VPN 属性。 有关各步骤的详细说明，请参见本部分的以下段落。 创建安全用户 要创建 VPN 隧道，需要相应的组态权限。要激活安全功能，需要至少创建一个安全用户。 1. 在 CP 的本地安全设置中，单击“用户登录”(User logon) 按钮。 结果：打开一个新窗口。 2. 输入用户名、密码和密码确认。 3. 单击“用户登录”(User login) 按钮。 您已创建新的安全用户。现在，您可以使用安全功能。对于所有其它登录，请以该用户身份登录。 启用“激活安全特性”选项 • 登录后，必须将两个 CP 的“激活安全特性”(Activate security features) 选项都选中。 现在，两个 CP 均可使用安全功能。 创建 VPN 组并分配安全模块 说明 安全模块上的当前日期和时钟 使用安全通信（例如 HTTPS、VPN...）时，确保涉及的安全模块具有当前时钟和当前日期。否则，使用的证书 将无法评估为有效，安全通信不会工作。 1. 在全局安全设置中，选择条目“防火墙 > VPN 组 > 添加新 VPN 组”(Firewall > VPN groups > Add new VPN group)。 2. 双击条目“添加新 VPN 组”(Add new VPN group) 来创建 VPN 组。 结果：新的 VPN 组显示在所选条目下。3. 在全局安全设置中，双击条目“VPN 组 > 将模块分配给 VPN 组”(VPN groups > Assign module to a VPN group)。 4. 分配将在其间建立到 VPN 组的 VPN 隧道的安全模块。 组态 VPN 组的属性 1. 双击新创建的 VPN 组。 结果：VPN 组的属性显示在“身份验证”(Authentication) 下。 2. 输入 VPN 组的名称。在属性中组态 VPN 组的设置。 通过这种方式，可以定义 VPN 组的基本属性。 说明 指定 CP 的 VPN 属性 请在模块的本地属性中指定所需 CP 的 VPN 属性（“安全性 > 防火墙 > VPN”(Security > Firewall > VPN)） 结果 您已创建 VPN 隧道。CP 的防火墙将自动激活：创建 VPN 组时，已默认选中“激活防火墙”(Activate firewall) 选项。无法禁用此选项。 • 将组态下载到属于该 VPN 组的所有模块。 3.10.2.2 在 CP 和 SCALANCE M 之间建立 VPN 隧道通信 在 CP 和 SCALANCE M 之间建立 VPN 隧道通信的步骤实际上与“适用于 S7-1500 站的步骤 (页 72)”中的说明相同。 只有在已创建的 VPN 组（“VPN 组 > 身份验证”(VPN groups > Authentication)）的全局安全设置中启用“Perfect Forward Secrecy”选项，才能建立 VPN 隧道通信。 如果禁用此选项，则 CP 会拒绝建立连接。