西门子S7-1500中国总经销商
提供西门子G120、G120C V20 变频器; S120 V90 伺服控制系统;6EP电源;电线;电缆;
网络交换机;工控机等工业自动化的设计、技术开发、项目选型安装调试等相关服务。西门子中国有限公司授权合作伙伴——湖南西控自动化设备有限公司,作为西门子中国有限公司授权合作伙伴,湖南西控自动化设备有限公司代理经销西门子产品供应全国,西门子工控设备包括S7-200SMART、S7-200CN、S7-300、S7-400、S7-1200、S7-1500、S7-ET200SP等各类工业自动化产品。公司国际化工业自动化科技产品供应商,是专业从事工业自动化控制系统、机电一体化装备和信息化软件系统
集成和硬件维护服务的综合性企业。
西门子中国授权代理商——湖南西控自动化设备有限公司,本公司坐落于湖南省中国(湖南)自由贸易试验区长沙片区开元东路 1306 号开
阳智能制造产业园一期 4 栋 30市内外连接,交通十分便利。
建立现代化仓
储基地、积累充足的产品储备、引入万余款各式工业自动化科技产品,我们以持续的卓越与服务,取得了年销
售额10亿元的佳绩,凭高满意的服务赢得了社会各界的好评及青睐。与西门子品牌合作,只为能给中国的客户提供值得信赖的服务体系,我们
的业务范围涉及工业自动化科技产品的设计开发、技术服务、安装调试、销售及配套服务领域。
中分配给用户特定的 IP 规则集的角色。 这样做的好处就是,所有的用户数据只存储在 RADIUS 服务器上。 有关通过RADIUS 服务器进行验证的详细信息,请参见以下部分: 通过 RADIUS 服务器验证 (页 90) 在本地使用用户特定的 IP规则集 - 惯例 与以下部分所述相同的惯例适用: ● 防火墙规则集 - 惯例 (页 159) 4.3.3.1 创建并分配用户特定的IP 规则集 如何访问此功能 1. 在导航面板中,选择“用户特定的 IP 规则集”(Users-specific IP rulesets) 文件夹。 2. 选择菜单命令“插入 > 防火墙规则集”(Insert > Firewall ruleset)。 3. 输入如下数据: – 名称: 项目范围内用户特定的 IP规则集的唯一名称。分配规则集后,名称显示在安全模块的本地规则列表中。 – 描述: 输入用户特定的 IP 规则集的描述。 4.单击“添加规则”(Add rule) 按钮。 5. 在列表中逐个输入防火墙规则。 请注意以下部分中的参数说明: – IP数据滤规则 (页 179) 注意由 SCT 根据 NAT/NAPT 规则自动生成的防火墙规则的特性: – NAT/NAPT路由器与用户特定防火墙之间的关系 (页 219) 将一个或多个用户和/或一个或多个角色分配给用户特定的 IP 规则集。 给用户特定的IP 规则集分配角色仅适用于 SCALANCE S V4 模块。 说明 分配用户特定的 IP 规则集 ?针对每个用户,只能为安全模块分配一个用户特定的规则集。 ? 由于分配的原因,只能针对已分配到 IP规则集的所有用户或角色激活“用户/角色可以登录模块”权限。 7. 将用户特定的 IP 规则集分配给要在其中使用该规则集的安全模块。为此,在导航面板中选择用户特定的 IP 规则集,并将其拖动至导航面板的安全模块中(拖放)。或者,也可以使用“添加规则集...”(Add rule sets...) 按钮在安全模块的本地规则列表中进行分配。 结果 ●已分配的安全模块会将用户特定的规则集用作本地规则集,并将其自动显示在模块特 定的防火墙规则列表中。 ● 用户可以登录安全模块。是否验证用户取决于是选择通过安全模块还是通过 RADIUS 服务器验证。范围创建或编辑某个用户时,可以指定多长时间后会自动注销用户,默认时间是 30 分钟。 在安全模块的 Web页面上,可以将会话时间延长至已分配给用户的值。 有关创建用户的详细信息,请参见以下部分: 管理用户 (页 77) 4.3.4连接相关的自动防火墙规则 在 SCT 中自动创建防火墙规则 对于以下应用,将自动创建防火墙规则。 ● 在 STEP 7 中组态的连接已组态连接的防火墙规则 如果已在 STEP 7 中创建连接,则会在 SCT 中为这些连接自动创建防火墙规则。为实现此操作,STEP 7和 SCT 之间会进行系统同步,期间会检查项目中组态的所有连接。对于每个通信伙伴,IP 地址/MAC地址、动作和接口会自动同步。无论连接的数目是多少,每个连接伙伴都有 2 个规则。 说明 手动释放 UDP 组播连接 不会为 UDP组播连接自动创建防火墙规则。要启用连接,在**模式下手动添加相关防火墙规则。 根据 STEP 7 中连接建立的组态方式,SCT中会创建以下级别的 3 种防火墙规则。如果安全模块处于 VPN 组中,则方向会从“外部”(External)更改为“隧道”(Tunnel)。 主动和被动 允许 内部 站允许 站 内部 对于 2 级连接,为两个方向创建了“允许”规则。如果安全模块处于 VPN 组中,则方向会从“外部”(External)更改为“隧道”(Tunnel)。 在这些防火墙规则的“源 MAC 地址”(Source MAC address) 和“目标 MAC地址”(Destination MAC address) 列中输入连接伙伴的 MAC 地址。 CP->外部 动作 自 至主动、被动、主动和被动 允许 站自动创建防火墙规则的惯例 ● 优先级 规则具有*高优先级,因此会插入本地规则列表的顶部。 ● 删除规则无法删除规则集。可以启用记录功能和分配服务。还可以插入带宽和注释。 ● 更改操作 在 SCT中,如果设置从“允许”到“丢弃”的操作或者相反的操作,则在重复系统同步时,操作将被再次覆盖。如果要保留更改,则选择“允许*”或“丢弃*”。这种情况下,只有 IP 地址/MAC 地址与 STEP 7保持同步,而动作和方向则保持不变。系统同步更新后,记录、服务、带宽和注释的设置也会保留,甚至不会将动作更改为“允许*”或“丢弃*”。如果 STEP 7 中不存在相应连接,则从列表中删除该规则 默认情况下,“仅隧道通信”(Tunnel communication only)复选框处于启用状态。如果取消选择该复选框,则除隧道伙伴间的隧道通信外,还可与未 连接隧道的网络节点进行通信。 ● 如果伙伴地址属于SCT 中已知的未组态 VPN 隧道的站,通信会在隧道外进行。 ● 如果伙伴地址是一个 VPN 端点,通信会通过隧道进行。 ●如果不清楚连接应绕过还是经由 VPN 隧道运行,则会将连接分配给 VPN隧道并显示有关其影响的消息。这种分配适合在**模式下进行,例如通过将“自”方向“隧道”更改为“外部”。为避免下一次系统同步将该调整覆盖,必须选择“允许*”或“丢弃*” 动作。 说明如果要确保通信只能通过隧道进行,则需要在**防火墙模式下创建合适的防火墙规 则,例如针对内部节点或 NDIS 地址。 要仅允许 CP进行隧道通信,请使用以下设置添加规则: ? “操作”:“丢弃” ? “从”:“任意”: ? “到”:“外部” 对于 CP1628,使用以下设置添加规则: ? “操作”:“丢弃” ? “从”:“站” ? “到”:“外部”除此之外,还需要删除现有允许不通过隧道进行通信的防火墙规则。 4.3.5 设置本地 IP 数据滤规则 利用 IP数据滤规则,您可以过滤如 UDP、TCP、ICMP 数据包之类的 IP 数据包。 在 IP数据滤规则中,还可以包括服务定义,并进一步限制过滤条件。 如果不指定服务,则 IP 数据滤规则适用于所有服务。 打开本地 IP数据滤规则对话框 SCT: 选择要编辑的安全模块,然后选择菜单命令“编辑 > 属性...”(Edit >Properties...),“防火墙”(Firewall) 选项卡STEP 7: 在“安全”(Security)选项卡中,单击“开始安全组态”(Start of security configuration) 旁边的“运行”(Run)按钮,“防火墙”(Firewall) 选项卡。 输入 IP 数据滤规则在列表中依次输入防火墙规则;注意以下几个部分中或在线帮助中的下列参数说明和示例 。 使用全局和用户特定的防火墙规则集已分配给模块的全局防火墙规则集和用户特定的规则集会自动输入到本地规则列表中。如果已分配的规则集显示在规则列表的末尾,将按*低优级处理。 可以通过更改规则列表中的位置来更改优先级。