如果 PG/PC 需经由SCALANCE 和路由器访问Internet,SCALANCE S上的防火墙应如何配置
描述
该条目是“通过 Internet 和 UMTS 网络实现对 SIMATIC 站的安全访问“应 用的补充 该应用详细展示在安全组件之间建立 VPN 遂道的所有组态步骤。这可以使受保护的自动化单元实现通信。如果您的 PG/PC 需要从受 SCALANCE S 保护的自动化单元内部访问 Internet 或外部网络, 必须为SCALANCE S设置以下特定的防火墙规则。 如果使用SCALANCE S保护网络单元,初始情况下所有双向的数据访问都是被阻隔的,(内网-->外网和外网-->内网)。即使组态了一个 VPN 隧道,这也仅允许受保护的单元通过这个隧道与 VPN 隧道的另一端通信。
起初访问未保 护的网络是不可能的,不同的服务,例如 S7 通信,可以使用Security Configuration Tool (SCT) 组态工具通过防火墙规则。同样地从受保护的网络访问外网也必须使能防火墙。
组态见图. 01
描述 该条目是“通过 Internet 和 UMTS 网络实现对 SIMATIC 站的安全访问“应 用的补充,该应用可下载,条 ...
图. 01 例如,如果你想使用图.01所示的 Panel PC 来通过自动化网络和办公网络的路由器访问 Internet。那么你必须定义相应的防火墙规则。 步骤如下. - 在 SCT 中打开 SCALANCE S 模块的配置。
- 如果仍然工作在 "Standard Mode",那么可通过点击 "View" 菜单下"Extended Mode" 按钮点“OK”切换到"Extend Mode“。
- 双击 SCALANCE S 模块打开"Module Properties"对话框。
- 切换到 "Firewall" 标签.
- 点击 "IP services..." 按钮,之后 "Definitions of the IP services" 对话框会打开。
描述 该条目是“通过 Internet 和 UMTS 网络实现对 SIMATIC 站的安全访问“应 用的补充,该应用可下载,条 ...
图. 02
- 在 "Definitions of the IP services" 对话框打开 "IP services" 标签。
- 点击 "Add IP service" 按钮添加如下的3个服务:
- HTTP ( 超文本传输协议): 访问网站的协议
- HTTPS (安全的 HTTP): 加密的/需证书的访问网站的协议
- DNS (域名服务):域名转换服务,例如将 "www.siemens.de" 转换为它的实际 IP。
描述 该条目是“通过 Internet 和 UMTS 网络实现对 SIMATIC 站的安全访问“应 用的补充,该应用可下载,条 ...
图. 03 - 在 "Definitions of the IP services" 对话框打开 "Service groups" 标签。
创建一个新的组,本例中输入 "www"作为组名,点击 "Add" 按钮为该组分配名称。
描述 该条目是“通过 Internet 和 UMTS 网络实现对 SIMATIC 站的安全访问“应 用的补充,该应用可下载,条 ...
图. 04
描述 该条目是“通过 Internet 和 UMTS 网络实现对 SIMATIC 站的安全访问“应 用的补充,该应用可下载,条 ...
图. 05
- 在 "Definitions of the IP services" 对话框打开 "Group management" 标签。
将刚才创建的 3 个 IP 服务分配到 "www" 组。
描述 该条目是“通过 Internet 和 UMTS 网络实现对 SIMATIC 站的安全访问“应 用的补充,该应用可下载,条 ...
图. 06
描述 该条目是“通过 Internet 和 UMTS 网络实现对 SIMATIC 站的安全访问“应 用的补充,该应用可下载,条 ...
图. 07
- 点击 "OK" 按钮返回 SCALANCE S 的模块属性 > "Firewall" 标签。在 "IP Rules"标签下可创建一个新的 IP 规则,点击"Add rule" 标签。
描述 该条目是“通过 Internet 和 UMTS 网络实现对 SIMATIC 站的安全访问“应 用的补充,该应用可下载,条 ...
图. 08
- 下载配置到 SCALANCE S 模块。
这些防火墙规则在SCALANCE S工作在桥接模式 (未保护的和受保护的网络和 SCALANCE S 本身在一个子网) 和路由模式 (SCALANCE S 以路由身份工作在未保护的网络和受保护的网络之间)下有效。
在 PG/PC 打开”网络和共享中心“之后选择”修改适配器设置“功能,打开连接到SCALANCE S上需要访问 Internet 的的网络接口的连接属性,根据 SCALANCE S 的工作模式设置网络参数。 SCALANCE S工作在桥接模式下时 PG/PC 网段的网络连接参数
PG/PC 网段的网络连接参数 | SCALANCE S 工作在桥接模式 | IP 地址 | 手动指定本地网络地址或由 DHCP 分配的地址,例如 192.168.2.3。 | 子网掩码 | 必须与 IP 地址相符,例如 255.255.255.0. | 缺省网关 | 本地路由器的 IP 地址,例如192.168.2.1。 | DNS 服务器 | 创建访问 Internet 的本地路由器 IP 地址,例如192.168.2.1。 |
描述 该条目是“通过 Internet 和 UMTS 网络实现对 SIMATIC 站的安全访问“应 用的补充,该应用可下载,条 ...
图. 09 SCALANCE S工作在路由模式下时 PG/PC 网段的网络连接参数
PG/PC 网段的网络连接参数 | SCALANCE S 工作在路由模式 | IP 地址 | 受保护的网络手动指定地址或通过 DHCP 分配的地址, 例如192.168.2.3. | 子网掩码 | 必须与 IP 地址相符,例如 255.255.0.0. | 缺省网关 | SCALANCE S 的内网 IP 地址,例如 140.80.0.1。 | DNS 服务器 | 公网 DNS 服务器的 IP 地址 ,例如 217.91.8.166. |
描述 该条目是“通过 Internet 和 UMTS 网络实现对 SIMATIC 站的安全访问“应 用的补充,该应用可下载,条 ...
图. 10 在路由模式下,必须在Security Configuration Tool中为SCALANCE S 模块设定如下参数。 - 标准路由: 创建 Internet 访问的路由器 IP 地址,例如192.168.2.1.
- 使能路由模式并内网 IP 地址和子网掩码,例如140.80.0.1 和 255.255.0.0.
描述 该条目是“通过 Internet 和 UMTS 网络实现对 SIMATIC 站的安全访问“应 用的补充,该应用可下载,条 ...
图. 11 如果改变了SCALANCE S 的工作模式,则必须将配置重新下载到设备。 之后便可以从受保护的单元访问。
|