通过安全模块CP343-1 Advanced 的防火墙功能保护自动化单元 - 工控编程吧

1.1 介绍
网络安全在工业自动化中变得越来越重要。
在过去，自动化网络由于专有的现场总线从而成为物理上成为一个孤岛。随着以太网优势凸显使得在工业领域出现了大量基于以太网的解决方案。其具体体现为两个方面：一方面是工业生产越来越多的和以前民用化的网络相连连接越来越紧密，以及通过办公网络需要采集获得生产网络的信息，与生产网络需要大量的信息的交换。另一方面现代的一些技术越来越多的应用到工业控制领域。两种体系的融合度越来越高。由于这方面的进展，工业通信面临着威胁，如从办公室或IT环境中的黑客、病毒、蠕虫和木马等。

上传

点击文件名下载附件
图 1 自动化需求

从上图中看到自动化单元连接到了公司网络。但只允许公司网络的某些设备或某些通信服务可以访问自动化单元

2 自动化解决方案

2.1 网络拓扑结构
如图2所示，PC1（192.168.1.100/24）是工程师站；PC2（192.168.1.101）是普通的办公计算机。PLC通过CP343-1 Advanced V3的X1口（外网口）连接到了办公网络。

(, 下载次数: 1)

上传

点击文件名下载附件
图2 网络拓扑结构

2.2 硬件与软件需求

硬件组件

表1 硬件需求

设备	数量	订货号	注释
电源 PS307 2A	1	6ES7 307-1BA00-0AA0
CPU 315-2PN/DP	1	6ES7 315-2EH14-0AB0	可以使用任何其它CPU
CP 343-1 Advanced	1	6GK7 343-1GX31-0XE0
SCALANCE X308-2M	1	6GK5 308-2GG00-2AA2	可以使用任何其它交换机
PC	2

软件组件

表2 软件需求

设备	数量	订货号	注释
SIMATIC Manager V5.5 SP3	1	6ES7 810-5CC11-0YA7
Security Configuration Tool V3 or higher	1		硬件SCALANCES附带有该软件

2.3 核心功能描述

CP 343-1 Advanced V3
CP 343-1 Advanced V3 集成有防火墙功能。是西门子针对工业自动化工程安全理念的实现的一部分。可以被配置为防火墙功能保护自动化单元。
通过它很容易实现对自动化单元的保护，仅允许某些计算机访问。

3 防火墙安全机制
描述
在自动化网络和企业网络中防火墙是安全的一部分。阻止未经授权人访问网络或网络上的设备。
防火墙可以是基于硬件的也可以是基于软件的组件。

3.1 防火墙的分类

防火墙类型
有三类防火墙，根据在 OSI 参考模型的层级分别命名如下：
包过滤（根据 OSI 3层评估数据包（网络层））
链路网关（根据 OSI 4层评估数据包（传输层））
应用网关（根据 OSI 7层评估数据包（应用层））

包过滤是分析 IP 数据包根据定义的规则转发或过滤。
链路网关是可以访问传输层。因此可以分析网络连接与数据包的相互关系。所以叫链路网关，还有一些其它叫法，如状态包检测。
应用网关是一个代理服务器。他处理被保护网络与非安全网络之间的全部通信。会为每种服务（WWW, e-mail, Telnet, FTP, 等等）建立安全代理。
这就意味着局域网的计算机不能直接连接 Internet 上的服务器。代理识别并认证了这些服务后发送这些服务的请求到服务器。是由代理与服务器建立连接并发送相应的请求。
应用网关允许控制和过滤传输数据内容。

3.2 状态包检测

描述
状态检测时防火墙的一种技术且运行 OSI 模型的网络层、传输层和部分的应用层。状态检测是基于状态控制的过滤是包过滤的扩展。使能状态检测来创建网络连接表从而可以通过不同的通信协议实现访问。通过检测数据包的关系来确立存在的通信关系。

工作原理
由于分析通信，状态检测允许由内部节点发出的请求从外部源到内部网络的的数据包通过。如果外部节点发送的数据是没有被请求的数据。防火墙是阻止这种通信。即使是在内部节点和外部节点存在这样的一个连接。状态检测的一个重要属性是动态生成与删除过滤规则。如果内部节点发送第一个数据包且到达外部目标设备后。在一定的时限内定义一个规则允许“响应的数据包”通过防火墙转发到请求者（内部节点）。过了这个时间段，规则被删除。

4 CP X43-1 Advanced V3 概述

4.1 单元保护概念

动机
如果在一个网段中的控制器或智能设备没有或只有最小的自我保护的功能，唯一的选择就是为这些设备创建一个安全的网络环境。实现这一目标的最简单的方法是使用特殊的路由器或网关。他们通过工业级的防火墙来提供 IT 的安全。进而实现自身保护。

单元保护的概念
西门子设计的安全的理念专门针对自动化环境。以满意日益增加的网络安全的需求。
这个概念的核心是自动化网络分段及单元保护。一次单元保护就是根据安全进行网络分段隔离。
单元内的网络节点都受特殊安全模块的数据流控制及审查，只有经过授权的数据帧才能通过。

单元保护的优势
单元保护的主要目的是保护不能自我保护的设备。在大多数情况下这些设备由于成本问题不具备安全功能。另一个原因是技术上的可行性。特别是小型可编程控制器不具备必要的硬件要求。

4.2 CPx43-1 Advanced V3
集成了安全功能 CPx43-1 Advanced V3 通信（如图 3）处理器除了具有通信功能外，还集成有安全功能如防火墙和 VPN。
通过下列功能使带或不带安全功能的设备被保护：

基于源或目标地址的数据包检查（状态检测防火墙）
支持非 IP 帧的报文通信
带宽限制
全局或局部防火墙规则

(, 下载次数: 1)

上传

点击文件名下载附件
图 3 带安全功能的 CPx43-1 Advanced V3

提示！
CPx43-1 Advanced V3 的以太网的安全接口 X1 与非安全接口 X2 对报文的处理是不同的。连接设备时这些端口不能混用。负责达不到保护功能！

5 CPx43-1 Advanced V3 防火墙功能的组态配置

5.1 配置概述

网络概览
网络的连接如下图 4

(, 下载次数: 1)

上传

点击文件名下载附件
图 4 网络连接

IP 地址分配
各设备的 IP 地址分配见表 3

表 3 IP 地址表

	模块	IP 地址
外部网络	Engineer PC	192.168.1.100/24
外部网络	Test PC	192.168.1.101/24
内部网络	CPU 315 - 2PN/DP	192.168.0.1
	CP 343-1 Advanced V3 X1	192.168.1.1
	CP 343-1 Advanced V3 X2	192.168.2.1

5.2 分配 IP地址

分配 PC的IP地址
根据表 3 IP 地址列表，通过如下的步骤配置 Engineer PC 和 Test PC 的 IP地址
表 4

步骤	操作	备注
1..	选择 “开始 > 控制面板 > 网络和共享 > 本地连接>属性”打开 Internet Protocol Version 4(TCP/IPv4). 按表 3 修改Engineer PC 和 Test PC的 IP 地址. 注意: 对于路由模式，除此之外还需要输入网关地址。	(, 下载次数: 1) 上传点击文件名下载附件

分配模块的IP地址
为了下载 STEP 7 项目到 CPU。需要修改 CPU 或 CP卡的 IP 地址。

步骤	操作	备注
1	连接 Engineer PC到 SCALANCE X308的其中一个端口上，然后连接 CPU315-2PN/DP 的集成 PN SCALANCE X308的另一个端口	连接两个设备到同一个以太网物理网上
2.	在 Engineer PC 上打开 SIMATIC Manager。在 “PLC” 菜单中选择 “Edit Ethernet Node…” 选项	(, 下载次数: 1) 上传点击文件名下载附件
3.	点击Browse… 按钮	(, 下载次数: 1) 上传点击文件名下载附件
4.	选择要分配 IP 地址的模块，通过 OK 按钮确认选择。	(, 下载次数: 1) 上传点击文件名下载附件
5.	在 Set IP configurations 的窗口里, 输入表 3 所示的 IP 地址。注意: 对于路由模式，除此之外还需要输入网关地址。	(, 下载次数: 1) 上传点击文件名下载附件
6.	按上面的方法分别给CP 分配 IP 地址

5.3 创建 PLC 项目
在 STEP里创建一个项目并插入CPU315-2PN/DP 站。操作步骤如表6

步骤	操作	备注
1.	在 Engineer PC 上打开 SIMATIC Manager。在 “File” 菜单中选择 “New…” 选项	(, 下载次数: 1) 上传点击文件名下载附件
2.	在弹出的 New Project 窗口里输入项目名为“CP343_Firewall”	(, 下载次数: 1) 上传点击文件名下载附件
3.	在 CP343_Firewall 项目下插入 S7-300 站，并按实际硬件组态项目	(, 下载次数: 1) 上传点击文件名下载附件
4.	设置 CPU 的以太网口的IP地址：192.168.0.1/24 并连接到 Ethernet(1);	(, 下载次数: 1) 上传点击文件名下载附件
5.	CP 343-1 X1 口的IP地址： 192.168.1.1/24并连接到 Ethernet(2);	(, 下载次数: 1) 上传点击文件名下载附件
6.	CP 343-1 X2 口的IP地址： 192.168.2.1/24并连接到 Ethernet(3);	(, 下载次数: 1) 上传点击文件名下载附件
7.	在硬件组态中双击 CP 343-1Advanced，在打开的属性窗口中选择 Security 选项。在此选项下勾选 Enable Security 选项。在弹出的 Specify Security Login 的窗口中输入用户名与密码。点击 OK 按钮确认配置。用户名：admin234 密码：admin234	(, 下载次数: 1) 上传点击文件名下载附件
8.	保存并编译硬件项目。

5.4 创建SCT配置
配置 CP 343-1 Advanced V3的安全功能

步骤	操作	备注
1.	在站的硬件配置中选中 CP 343-1 Advanced 后选择“Edit”菜单下的“Security Configuration Tool”选项。
2.	打开 SCT 组态工具。	(, 下载次数: 1) 上传点击文件名下载附件

5.5 切换高级模式
除了缺省的设置外，在高级模式下可以设置更多的选项。

步骤	操作	备注
1.	在打开的“Security Configuration Tool”工具中选择“View”菜单下的“Advanced Mode”选项。	(, 下载次数: 1) 上传点击文件名下载附件
2.	通过 Yes 按钮确认警告信息	(, 下载次数: 1) 上传点击文件名下载附件

5.6 配置防火墙规则
在这个应用案例只允许 Engineer PC的S7协议的数据通过防火墙，不允许其他任何计算机的任何协议通过防火墙访问内网的节点。

步骤	操作	备注
1.	“Security Configuration Tool”工具。选择Option 菜单下的 IP services… 选项，在弹出的定义 definition of IPServices 的窗口里定义 S7 服务，端口号为 102。	(, 下载次数: 1) 上传点击文件名下载附件
2.	“Security Configuration Tool”工具中双击CP 343-1 Advanced 模块打开属性窗口。在属性窗口里选择 Firewall 选项。在此选项中勾选 Enable Firewall选项。	(, 下载次数: 1) 上传点击文件名下载附件
3.	选择 IP Rules 选项，在此选项下添加防火墙规则。	(, 下载次数: 1) 上传点击文件名下载附件

5.7 下载硬件配置
对于 CP 343-1 的安全功能不能通过 SCT 工具下载，只能通过 STEP 7 项目来下载。

步骤	操作	备注
1.	在“Security Configuration Tool”工具中点击保存按钮来保存配置。
2.	关闭“Security Configuration Tool”工具。返回到 STEP 7 中的站硬件组态。在硬件组态中编译项目并下载。注意: 首次通过 CP 343-1 下载硬件配置到 CPU 时，CP 343-1的安全功能并没有启用。一旦下载成功后，安全功能就启用。	(, 下载次数: 1) 上传点击文件名下载附件

5.8 测试防火墙功能
下载后，连接 Test PC 到SCALANCE X308 上。通过 Test PC 下载硬件配置到 CPU时，此通信被CP343-1防火墙阻止。提供 Engineer PC下载硬件配置到 CPU时，通信是被允许。

欢迎光临工控编程吧 (https://www.gkbc8.com/)