产品规格:模块
产品数量:10000 个
包装说明:全新未拆封
关 键 词:西门子伺服驱动总代理商
行 业:电气 工控电器 DCS/PLC系统
发布时间:2023-05-12
集成和硬件维护服务的综合性企业。西部科技园,东边是松江大学城,西边和全球著名芯片制造商台积电毗邻,作为西门子授权代理商,西门子模块代理商,西门子一级代理商,西门子PLC代理商,西门子PLC模块代理商NMPv3
需要组态以下算法以通过 SNMPv3 对设备进行加密访问。
• “验证算法”(Authentication algorithm)
从下拉列表中选择要使用的验证方法。
• “加密算法”(Encryption algorithm)
从下拉列表中选择要使用的加密方法。
用户管理
用户管理可在全局安全设置中找到,可在其中为各用户分配角色。
在角色的属性下,可以查看特定角色的权限列表,例如使用 SNMP 的各种访问类型。对于
新角色,可以自由组态个限。
可在 STEP 7 的信息系统中找到有关用户、角色和密码策略的信息。
3.18 全局证书管理器
SIMATIC NET 设备的证书
SIMATIC NET 通信模块通常使用全局证书管理器。相关信息,请参见项目导航中“安全设
置 > 安全功能”(Security settings > Security features)。
可以在全局证书管理器中找到 SIMATIC NET 通信模块的所有本地书。
3.19 CP:安全性和证书
3.19.1 安全用户
创建安全用户
组态安全功能需要具备相关的组态权限。为此,需要通过相应权限创建至少一个安全导航到全局安全设置 >“用户和角色”>“用户”选项卡。
1. 创建用户并组态参数。
2. 在“分配的角色”下方区域为该用户分配角色“NET Standard”或“NET Administrator”。
登录后,该用户可以在 STEP 7 项目中进行所需的设置。
在以后使用安全参数时,请继续以该用户身份登录。
3.19.2 日志设置 - 过滤系统事件
系统事件值设置太高时产生的通信问题
如果过滤系统事件的值设置得过高,则您可能无法实现最佳通信性能。 大量输出错误消
息可延迟或阻止通信连接的处理。
在“Security > 日志设置 > 组态系统事件”(Security > Log settings > Configure system
events) 中,将“等级:”(Level:) 参数设为值“3(错误)”(3 (Error)),以便确保建立可靠的
通信连接。
3.19.3 SYSLOG
仅对 1 个 VPN 连接使用 SYSLOG
如果要通过 VPN 连接使用级别 7 (debug) 的 SYSLOG,则这仅限于一个已组态的 VPN 连
接。
3.19.4 VPN
3.19.4.1 VPN (Virtual Private Network)irtual Private Network (VPN) 是用于在公共 IP 网络(例如 Internet)中安全传输保密数
据的技术。利用 VPN,可通过非安全网络在两个安全 IT 系统或网络间建立安全连接
(IPsec 隧道)并进行操作。
IPsec 隧道转发所有数据,甚至包括来自更高层协议(HTTP、FTP 等)的数据两个网络组件间的数据通信通过其它网络进行无限制传输。这样便可通过相邻或中间网络
将整个网络连接在一起。
属性
• VPN 构成了一个嵌入到相邻(已分配)网络中的逻辑子网。VPN 使用已分配网络的通
常寻址机制,但就数据而言,其传输自己的帧,因此独立于该网络的其余部分运行。
• VPN 允许 VPN 伙伴通过分配的网络进行通信。
• VPN 基于隧道技术,可单独进行组态。
• 使用密码、公钥或数字证书(身份验证)可保护 VPN 伙伴间的通信免遭窃听或操纵。
应用领域
• 可通过 Internet 将局域网安全地连接在一起(“站点到站点”连接)。
• 对公司网络进行安全访问(“端到站点”连接)
• 对服务器进行安全访问(“端到端”连接)
• 无需访问第三方即可在两个服务器间进行通信(端到端连接或主机到主机连接)
• 确保联网的自动化系统中的信息安全性
• 保护包含自动化网络中或通过 Internet 进行的安全远程访问中的相关数据通信的计算
机系统
• 可通过公共网络从 PC/编程设备对受安全模块保护的自动化设备或网络进行安全远程
访问。
单元保护概念
利用工业以太网安全,单个设备或以太网网段均可受到保护:
• 允许访问安全模块保护的各个设备和网段。
• 通过非安全网络结构实现安全连接成为可能。
借助不同安全措施(例如防火墙、NAT/NAPT 路由器和 IPsec 隧道上的 VPN)的组合,安
全模块可防止:
• 数据要允许使用安全 CP(如 CP 1628)为两个 S7 站间的 S7 通信,或为 S7 站与工程师站间的
S7 通信创建 VPN 隧道,则必须满足以下要求:
• 已组态这两个站。
• 两个站中的 CP 必须都支持安全功能。
• 两个站的以太网接口位于统一子网中。
说明
也可通过 IP 路由器进行通信
也可通过 IP 路由器在两个站之间进行通信。但是,要使用此通信路径,需要进行进一步
设置。
操作步骤
要创建 VPN 隧道,需要完成以下步骤:
1. 创建安全用户
如果已创建安全用户:请以该用户身份登录。
2. 启用“安全特性”(Activate security features) 选项
3. 创建 VPN 组并分配安全模块
4. 组态 VPN 组的属性
5. 组态两个 CP 的本地 VPN 属性
有关各步骤的详细说明,请参见本部分的以下段落。
选中“安全特性”(Activate security features)
登录后,需要在两个 CP 的组态中选中“安全特性”(Activate security features) 复选
框。
这样,您就可以使用两个 CP 的安全功能在全局安全设置中,选择条目“防火墙 > VPN 组 > 添加新 VPN 组”(Firewall > VPN
groups > Add new VPN group)。
2. 双击条目“添加新 VPN 组”(Add new VPN group) 来创建 VPN 组。
结果:新的 VPN 组显示在所选条目下。
3. 在全局安全设置中,双击条目“VPN 组 > 将模块分配给 VPN 组”(VPN groups > Assign
module to a VPN group)。
4. 分配将在其间建立到 VPN 组的 VPN 隧道的安全模块。
说明
CP 上 VPN 连接的当前日期和时间
通常,为建立 VPN 连接和能够相应识别待交换的书,将需要获取连接双方工作站的当
前日期和时间。
与工程师站建立 VPN 连接时,若该工程师站同时又是遥控服务器(装有 TCSB),则会按
以下方式建立并伴随 CP 的时钟同步操作:
在工程师站(装有 TCSB)中,使用 CP 来建立 VPN 连接。即使该 CP 尚不具有当前时间,
也将建立 VPN 连接。若具有当前时间,所用的证书将评估为有效,从而可进行安全通
信。
在连接建立后,CP 会与 PC 同步其时钟,因为遥控通信启用后,遥控服务器为时间主站。
组态 VPN 组的属性
1. 双击新创建的 VPN 组。
结果:VPN 组的属性显示在“身份验证”(Authentication) 下。
2. 输入 VPN 组的名称。在属性中组态 VPN 组的设置。
这些属性定义 VPN 组的默认设置,可以随时进行更改。
说明
指定 CP 的 VPN 属性
请在相关模块的参数组“Security > 防火墙 > VPN”(Security > Firewall > VPN) 中指定 CP 的
VPN 属性。
