如果 PG/PC 需经由SCALANCE 和路由器访问Internet,SCALANCE S上的防火墙应如何配置?

n

描述
该条目是“通过 Internet 和 UMTS 网络实现对 SIMATIC 站的安全访问“应 用的补充,该应用可下载,条目ID 24960449。n

该应用详细展示在安全组件之间建立 VPN 遂道的所有组态步骤。这可以使受保护的自动化单元实现通信。如果您的 PG/PC 需要从受 SCALANCE S 保护的自动化单元内部访问 Internet 或外部网络, 必须为SCALANCE S设置以下特定的防火墙规则。n

如果使用SCALANCE S保护网络单元,初始情况下所有双向的数据访问都是被阻隔的,(内网-->外网和外网-->内网)。即使组态了一个 VPN 隧道,这也仅允许受保护的单元通过这个隧道与 VPN 隧道的另一端通信。
起初访问未保 护的网络是不可能的,不同的服务,例如 S7 通信,可以使用Security Configuration Tool (SCT) 组态工具通过防火墙规则。同样地从受保护的网络访问外网也必须使能防火墙。
组态见图. 01n

如果 PG/PC 需经由SCALANCE 和路由器访问Internet,SCALANCE S上的防火墙应如何配置?
图. 01n

例如,如果你想使用图.01所示的 Panel PC 来通过自动化网络和办公网络的路由器访问 Internet。那么你必须定义相应的防火墙规则。n

步骤如下.n

  1. 在 SCT 中打开 SCALANCE S 模块的配置。n
  2. 如果仍然工作在 "Standard Mode",那么可通过点击 "View" 菜单下"Extended Mode" 按钮点“OK”切换到"Extend Mode“。n
  3. 双击 SCALANCE S 模块打开"Module Properties"对话框。n
  4. 切换到 "Firewall" 标签.n
  5. 点击"IP services..." 按钮,之后 "Definitions of the IP services" 对话框会打开。

    如果 PG/PC 需经由SCALANCE 和路由器访问Internet,SCALANCE S上的防火墙应如何配置?
    图. 02
    n

  6. 在 "Definitions of the IP services" 对话框打开 "IP services" 标签。
    n
  7. 点击 "Add IP service" 按钮添加如下的3个服务: n
    • HTTP ( 超文本传输协议): 访问网站的协议n
    • HTTPS (安全的 HTTP): 加密的/需证书的访问网站的协议n
    • DNS (域名服务):域名转换服务,例如将 "www.siemens.de" 转换为它的实际 IP。

    如果 PG/PC 需经由SCALANCE 和路由器访问Internet,SCALANCE S上的防火墙应如何配置?
    图. 03n

  8. 在 "Definitions of the IP services" 对话框打开 "Service groups" 标签。
    创建一个新的组,本例中输入 "www"作为组名,点击 "Add" 按钮为该组分配名称。

    如果 PG/PC 需经由SCALANCE 和路由器访问Internet,SCALANCE S上的防火墙应如何配置?
    图. 04

    如果 PG/PC 需经由SCALANCE 和路由器访问Internet,SCALANCE S上的防火墙应如何配置?
    图. 05
    n

  9. 在 "Definitions of the IP services" 对话框打开 "Group management" 标签。
    将刚才创建的 3 个 IP 服务分配到 "www" 组。

    如果 PG/PC 需经由SCALANCE 和路由器访问Internet,SCALANCE S上的防火墙应如何配置?
    图. 06

    如果 PG/PC 需经由SCALANCE 和路由器访问Internet,SCALANCE S上的防火墙应如何配置?
    图. 07
    n

  10. 点击 "OK" 按钮返回 SCALANCE S 的模块属性 > "Firewall" 标签。在 "IP Rules"标签下可创建一个新的 IP 规则,点击"Add rule" 标签。

    如果 PG/PC 需经由SCALANCE 和路由器访问Internet,SCALANCE S上的防火墙应如何配置?
    图. 08
    n

  11. 下载配置到 SCALANCE S 模块。

这些防火墙规则在SCALANCE S工作在桥接模式 (未保护的和受保护的网络和 SCALANCE S 本身在一个子网) 和路由模式 (SCALANCE S 以路由身份工作在未保护的网络和受保护的网络之间)下有效。
在 PG/PC 打开”网络和共享中心“之后选择”修改适配器设置“功能,打开连接到SCALANCE S上需要访问 Internet 的的网络接口的连接属性,根据 SCALANCE S 的工作模式设置网络参数。n

SCALANCE S工作在桥接模式下时 PG/PC 网段的网络连接参数

PG/PC 网段的网络连接参数 SCALANCE S 工作在桥接模式
IP 地址 手动指定本地网络地址或由 DHCP 分配的地址,例如 192.168.2.3。
子网掩码 必须与 IP 地址相符,例如 255.255.255.0.
缺省网关 本地路由器的 IP 地址,例如192.168.2.1。
DNS 服务器 创建访问 Internet 的本地路由器 IP 地址,例如192.168.2.1。

如果 PG/PC 需经由SCALANCE 和路由器访问Internet,SCALANCE S上的防火墙应如何配置?
图. 09n

SCALANCE S工作在路由模式下时 PG/PC 网段的网络连接参数

PG/PC 网段的网络连接参数 SCALANCE S 工作在路由模式
IP 地址 受保护的网络手动指定地址或通过 DHCP 分配的地址, 例如192.168.2.3.
子网掩码 必须与 IP 地址相符,例如 255.255.0.0.
缺省网关 SCALANCE S 的内网 IP 地址,例如 140.80.0.1。
DNS 服务器 公网 DNS 服务器的 IP 地址 ,例如 217.91.8.166.

如果 PG/PC 需经由SCALANCE 和路由器访问Internet,SCALANCE S上的防火墙应如何配置?
图. 10

在路由模式下,必须在Security Configuration Tool中为SCALANCE S 模块设定如下参数。

  • 标准路由: 创建 Internet 访问的路由器 IP 地址,例如192.168.2.1.
  • 使能路由模式并内网 IP 地址和子网掩码,例如140.80.0.1 和 255.255.0.0.

如果 PG/PC 需经由SCALANCE 和路由器访问Internet,SCALANCE S上的防火墙应如何配置?
图. 11

如果改变了SCALANCE S 的工作模式,则必须将配置重新下载到设备。

之后便可以从受保护的单元访问。

原创文章,作者:ximenziask,如若转载,请注明出处:https://www.zhaoplc.com/plc326759.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2020年11月5日 下午12:03
下一篇 2021年4月12日 上午12:00

相关推荐

发表回复

登录后才能评论