如果 PG/PC 需经由SCALANCE 和路由器访问Internet，SCALANCE S上的防火墙应如何配置

如果 PG/PC 需经由SCALANCE 和路由器访问Internet，SCALANCE S上的防火墙应如何配置

描述
该条目是“通过 Internet 和 UMTS 网络实现对 SIMATIC 站的安全访问“应 用的补充

该应用详细展示在安全组件之间建立 VPN 遂道的所有组态步骤。这可以使受保护的自动化单元实现通信。如果您的 PG/PC 需要从受 SCALANCE S 保护的自动化单元内部访问 Internet 或外部网络， 必须为SCALANCE S设置以下特定的防火墙规则。

如果使用SCALANCE S保护网络单元，初始情况下所有双向的数据访问都是被阻隔的，（内网-->外网和外网-->内网）。即使组态了一个 VPN 隧道，这也仅允许受保护的单元通过这个隧道与 VPN 隧道的另一端通信。
起初访问未保 护的网络是不可能的，不同的服务，例如 S7 通信，可以使用Security Configuration Tool (SCT) 组态工具通过防火墙规则。同样地从受保护的网络访问外网也必须使能防火墙。
组态见图. 01

描述 该条目是“通过 Internet 和 UMTS 网络实现对 SIMATIC 站的安全访问“应 用的补充，该应用可下载，条 ...

图. 01

例如，如果你想使用图.01所示的 Panel PC 来通过自动化网络和办公网络的路由器访问 Internet。那么你必须定义相应的防火墙规则。

步骤如下.

• 在 SCT 中打开 SCALANCE S 模块的配置。
• 如果仍然工作在 "Standard Mode"，那么可通过点击 "View" 菜单下"Extended Mode" 按钮点“OK”切换到"Extend Mode“。
• 双击 SCALANCE S 模块打开"Module Properties"对话框。
• 切换到 "Firewall" 标签.
• 点击 "IP services..." 按钮，之后 "Definitions of the IP services" 对话框会打开。
  
  

  描述 该条目是“通过 Internet 和 UMTS 网络实现对 SIMATIC 站的安全访问“应 用的补充，该应用可下载，条 ...

  
  图. 02
  
• 在 "Definitions of the IP services" 对话框打开 "IP services" 标签。
  
• 点击 "Add IP service" 按钮添加如下的3个服务：
  • HTTP ( 超文本传输协议): 访问网站的协议
  • HTTPS (安全的 HTTP): 加密的/需证书的访问网站的协议
  • DNS (域名服务):域名转换服务，例如将 "www.siemens.de" 转换为它的实际 IP。
    

  描述 该条目是“通过 Internet 和 UMTS 网络实现对 SIMATIC 站的安全访问“应 用的补充，该应用可下载，条 ...

  
  图. 03
• 在 "Definitions of the IP services" 对话框打开 "Service groups" 标签。
  创建一个新的组，本例中输入 "www"作为组名，点击 "Add" 按钮为该组分配名称。
  
  

  描述 该条目是“通过 Internet 和 UMTS 网络实现对 SIMATIC 站的安全访问“应 用的补充，该应用可下载，条 ...

  
  图. 04
  
  

  描述 该条目是“通过 Internet 和 UMTS 网络实现对 SIMATIC 站的安全访问“应 用的补充，该应用可下载，条 ...

  
  图. 05
  
• 在 "Definitions of the IP services" 对话框打开 "Group management" 标签。
  将刚才创建的 3 个 IP 服务分配到 "www" 组。
  
  

  描述 该条目是“通过 Internet 和 UMTS 网络实现对 SIMATIC 站的安全访问“应 用的补充，该应用可下载，条 ...

  
  图. 06
  
  

  描述 该条目是“通过 Internet 和 UMTS 网络实现对 SIMATIC 站的安全访问“应 用的补充，该应用可下载，条 ...

  
  图. 07
  
• 点击 "OK" 按钮返回 SCALANCE S 的模块属性 > "Firewall" 标签。在 "IP Rules"标签下可创建一个新的 IP 规则，点击"Add rule" 标签。
  
  

  描述 该条目是“通过 Internet 和 UMTS 网络实现对 SIMATIC 站的安全访问“应 用的补充，该应用可下载，条 ...

  
  图. 08
  
• 下载配置到 SCALANCE S 模块。
  

这些防火墙规则在SCALANCE S工作在桥接模式  (未保护的和受保护的网络和 SCALANCE S 本身在一个子网) 和路由模式 (SCALANCE S 以路由身份工作在未保护的网络和受保护的网络之间)下有效。
在 PG/PC 打开”网络和共享中心“之后选择”修改适配器设置“功能，打开连接到SCALANCE S上需要访问 Internet 的的网络接口的连接属性，根据 SCALANCE S 的工作模式设置网络参数。

SCALANCE S工作在桥接模式下时 PG/PC 网段的网络连接参数

PG/PC 网段的网络连接参数	SCALANCE S 工作在桥接模式
IP 地址	手动指定本地网络地址或由 DHCP 分配的地址，例如 192.168.2.3。
子网掩码	必须与 IP 地址相符，例如 255.255.255.0.
缺省网关	本地路由器的 IP 地址，例如192.168.2.1。
DNS 服务器	创建访问 Internet 的本地路由器 IP 地址，例如192.168.2.1。

描述 该条目是“通过 Internet 和 UMTS 网络实现对 SIMATIC 站的安全访问“应 用的补充，该应用可下载，条 ...

图. 09

SCALANCE S工作在路由模式下时 PG/PC 网段的网络连接参数

PG/PC 网段的网络连接参数	SCALANCE S 工作在路由模式
IP 地址	受保护的网络手动指定地址或通过 DHCP 分配的地址, 例如192.168.2.3.
子网掩码	必须与 IP 地址相符，例如 255.255.0.0.
缺省网关	SCALANCE S 的内网 IP 地址，例如 140.80.0.1。
DNS 服务器	公网 DNS 服务器的 IP 地址 ，例如 217.91.8.166.

描述 该条目是“通过 Internet 和 UMTS 网络实现对 SIMATIC 站的安全访问“应 用的补充，该应用可下载，条 ...

图. 10

在路由模式下，必须在Security Configuration Tool中为SCALANCE S 模块设定如下参数。

• 标准路由： 创建 Internet 访问的路由器 IP 地址，例如192.168.2.1.
• 使能路由模式并内网 IP 地址和子网掩码，例如140.80.0.1 和 255.255.0.0.
  

描述 该条目是“通过 Internet 和 UMTS 网络实现对 SIMATIC 站的安全访问“应 用的补充，该应用可下载，条 ...

图. 11

如果改变了SCALANCE S 的工作模式，则必须将配置重新下载到设备。

之后便可以从受保护的单元访问。