SIEMENS西门子 机床控制面板 6FC5303-0AF32-0AA1

产品详情

             自动创建的防火墙规则的约定 优先级 规则具有最高的优先级，因此插入到本地规则集的顶部。 删除规则 无法删除规则。可以启用日志记录，并分配服务。还可以插入传输速度和注释。 更改操作 如果将操作从“Accept”更改为“Drop”，或反之，则此更改将在系统同步更新期间再次被覆 盖。如果要保留更改，则选择“Accept*”或“Drop*”操作。在这种情况下，只同步了 IP 地 址，操作和方向仍与设置相同。系统同步更新后，即使操作不改为“Accept*”或“Drop*”， 记录、服务、传输速度和注释的设置也会保留。如果删除了已组态的连接，相应的规则 将从列表中删除。 VPN 组中的安全模块 默认情况下，“仅隧道通信”(Tunnel communication only) 复选框被启用。如果取消选中该 复选框，除隧道伙伴间的隧道通信外，还可以与未连接隧道的设备进行通信。 如果伙伴地址属于在 STEP 7 中未组态 VPN 隧道的已知站，那么通信不通过隧道进行。 如果伙伴地址是 VPN 端点，通信将通过隧道进行。 说明 如果要确保通信只能通过隧道进行，需要在gaoji防火墙模式下创建合适的防火墙规则。 要仅允许 CP 进行隧道通信，请使用以下设置添加规则： “动作”：“Drop” “从”：“站” “到”：“外部” 除此之外，还需要删除现有允许不通过隧道进行通信的防火墙规则。默认模式下的日志设置与防火墙规则的关系 “预定义的 IPv6 规则”中的日志设置不会影响因组态连接而自动生成的防火墙规则。例如， 这意味着不能记录属于已组态连接的通过隧道传输的帧。在gaoji防火墙模式中，可以将记录 扩展到自动生成的连接防火墙规则中。 使用预定义的 MAC 规则组态防火墙 如何访问该功能 1. 选择待编辑的模块。 2. 选择“Firewall > Predefined MAC rules”条目。默认模式下的日志设置与防火墙规则的关系 “预定义的 IP 规则”和“预定义的 MAC 规则”中的日志设置不会影响因组态连接而自动创 建的防火墙规则。例如，这意味着不能记录属于已组态连接的通过隧道传输的帧。在gaoji防 火墙模式中，可以将记录扩展到自动生成的连接防火墙规则中。 S7-1200/S7-1500 CP 的 IP 数据包过滤方向 含义 gaoji防火墙模式的 IP 规则中通信方向“从”和“至”的可能选择。连接相关的自动防火墙规则 含义 对于使用 CP 组态的连接，STEP 7 会自动创建防火墙规则，允许在指定方向（CP 主动/被动） 上与 CP 的伙伴进行通信。同时会考虑连接建立方向。要在启用了gaoji防火墙模式时显示这 些防火墙规则，需要单击“更新连接规则”(Update connection rules) 按钮。随后，会在gaoji 防火墙模式下显示防火墙规则。 说明 手动启用 UDP 组播和 UDP 广播连接 没有为 UDP 组播和 UDP 广播连接创建自动防火墙规则。要启用连接，请在gaoji防火墙模式 中手动添加相关防火墙规则。 根据所组态的连接建立方式，可创建以下 3 级防火墙规则。如果 CP 在 VPN 组中，方向“外 部”将变为“隧道”。

             为 CP 154x-1 组态可通过背板总线访问的 S7 子网 要求 安全模块 CP 15431 V2.1 及更高版本/CP 15451 为 VPN 组的成员，选项“IP routing between communications modules”已激活。 说明 通过虚拟接口的 S7 路由 通过使用 CP 中的 S7 网关实现通过 CP 的 S7 路由。如果将虚拟接口“W1”的 IP 地址用作下 一个 S7 路由器地址，则会通过 CPU 的 S7 网关转发到指定目标，但不能保证“反向通 道”。 如何访问该功能 1. 选择待编辑的模块。 2. 在本地安全设置中，选择条目“VPN" > "Nodes" > "Subnets reachable through tunnel”。 组态可通过背板总线访问的子网 对于可通过站的背板总线访问的子网和网络节点，只有在将其释放给 VPN 通信时，才能实现 VPN 通信。在条目“Subnets reachable through tunnel”中，最多可指定 16 个地址或子网。必 须使用 32 位子网掩码指定 IP 地址，子网的允许子网掩码范围为 1...31 位。不能指定广播地 址。 使用虚拟接口 W1 时的防火墙设置 将带有 CP 的虚拟 CPU 接口用作接口时，建议采用以下设置： 1. 激活扩展的防火墙模式。 2. 指定可以访问 CPU 和 Web 服务器和 OPC UA 的 IP 地址或 IP 地址范围。 3. 对协议进行设置，必要时对带宽限制进行设置。通过 SINEMA Remote Connect 服务器自动组态 OpenVPN： 自动组态 OpenVPN 并建立 OpenNPN 隧道 支持的模块 此功能可用于多个安全模块和遥控通信模块。 功能 模块可与应用“SINEMA Remote Connect Server”建立 OpenVPN 连接。用于建立连接的 OpenVPN 连接参数由 SINEMA Remote Connect 服务器指定。模块可循环调用这些连接参 数，因此会自动获取 OpenVPN 组态。 步骤 1. 选择要编辑的模块。 2. 在本地安全设置中，选择“VPN”条目。 3. 选中“激活 VPN”(Activate VPN) 复选框，并选择 VPN 连接类型“通过 SINEMA Remote Connect 服务器自动进行 OpenVPN 组态”(Automatic OpenVPN configuration via SINEMA Remote Connect Server)。 4. 为 OpenVPN 连接设置以下参数： 参数 含义 SINEMA RC 地址 (SINEMA RC address) SINEMA Remote Connect 服务器的 IPv4/IPv6 地址、FQDN 或 PROFINET 设 备名称，模块通过该服务器调用 OpenVPN 连接的连接参数。 SINEMA RC 端口 (SINEMA RC port) 连接到用于调用 OpenVPN 连接的连接参数的 SINEMA Remote Connect 服 务器所使用的端口。 CA 证书 (CA Certificate) 模块通过 SINEMA Remote Connect 服务器验证自己的身份，该服务器使用 从服务器下载并为模块选择的 CA 证书。只能选择通过其本地证书管理器 分配给模块的证书。 为了对 SINEMA Remote Connect 服务器进行验证，模块会检查服务器的 CA 证书。同时会检查模块的当前时间是否处于证书有效期内。 识别码 模块通过 SINEMA Remote Connect 服务器验证自己的身份，该服务器使用 SINEMA Remote Connect 服务器 CA 证书的“识别码”属性。设备 ID (Device ID) 设备 ID 是 SINEMA Remote Connect 服务器为在 SINEMA Remote Connect 服务器上组态的每个模块分配的。 设备 ID 用户标识模块。 设备密码 (Device password) 为 SINEMA Remote Connect 服务器的设备 ID 组态的密码 更新间隔 (Update interval) 模块从 SINEMA Remote Connect 服务器调用要使用的 OpenVPN 连接参数 的间隔分钟数。是否可建立 OpenVPN 连接以及使用哪些连接参数建立 OpenVPN 连接是由 SINEMA Remote Connect 服务器指定的。如果数值为 “0”，说明禁止更新。 最小更新间隔值：10 分钟 最大更新间隔值：10080 分钟 连接类型 (Connection type) 连接类型指定模块何时与 SINEMA Remote Connect 服务器建立 OpenVPN 连接： yongjiu (Permanent)：模块在读取 OpenVPN 连接参数后建立 OpenVPN 连 接。在连接参数由 SINEMA Remote Connect 服务器更改之前， OpenVPN 连接都会保持。 PLC 触发 (PLC trigger)：所选 PLC 变量值为“TRUE”时，模块会立即建立 OpenVPN 连接。 用于建立连接的 PLC 变量 选择类型为“BOOL”的站变量。变量值为“TRUE”时，模块会立即与 SINEMA Remote Connect 服务器建立 OpenVPN 连接：如果变量值为“FALSE”， OpenVPN 连接会中断。 诊断自动 OpenVPN 组态和 OpenNPN 连接 含义 诊断页面显示自动 OpenVPN 组态和 OpenVPN 连接的状态。 自动 OpenVPN 组态的状态指示模块是否能够从 SINEMA Remote Connect 服务器调用包含要 使用的 OpenVPN 连接参数的组态文件。 对于 SINEMA Remote Connect 服务器的 OpenVPN 连接，会显示连接状态及其原因。 CP1543-1/CP1545/1 网络身份验证 网络身份验证和 EAP 方法 如果 CP 要通过交换机访问网络，CP 必须先对自身进行身份验证，然后才能实现网络访问。CP 身份验证是通过 RADIUS 服务器执行的，该服务器会验证 CP 的身份以及对网络的访问权限。 身份验证通信是通过可扩展身份验证协议 (EAP) 运行的。该协议用于对 CP 和网络进行相互 验证和密钥交换，以确保通信安全。 为此，可选择不同的 EAP 方法作为身份验证方法。 激活 1. 选择 CP。 2. 在本地安全设置中选择“Network authentication”条目。 3. 选择一种 EAP 方法： 4. 对所选 EAP 方法进行相应设置。 有关各个 EAP 方法的说明 MD5 MD5 方法无法抵御中间人攻击和字典式攻击。请尽可能使用安全性更高的方法。 TLS 建立安全的加密 TLS 连接。提供对客户端和网络的基于证书的相互认证。 PEAP PEAP 过程分为两个阶段。第一阶段会建立安全隧道，第二阶段会在该隧道中执行另一身 份验证程序。 与 TLS 方法不同的是，PEAP 并不一定要在第一阶段验证客户端的身份，因此组态客户端 证书为可选项。 TTLS TTLS 过程分为两个阶段，属于 TLS 的扩展。通过加密通道（或隧道）提供对客户端和网 络的基于证书的相互认证。与 TLS 不同的是，TTLS 仅需要服务器侧证书。 MSCHAPv2 登录 Microsoft 网络的操作步骤。仅在安全隧道中使用。 PWD 可在隧道中使用（例如 TTLS），也可单独使用。