单元保护概念利用工业以太网安全,单个设备或以太网网段均可受到保护:• 允许访问安全模块保护的各个设备和网段。•通过非安全网络结构实现安全连接成为可能。借助不同安全措施(例如防火墙、NAT/NAPT 路由器和 IPsec隧道上的VPN)的组合,安全模块可防止:• 数据间谍• 数据操纵• 不希望的访问为各站间的 S7 通信创建 VPN通道要求要允许使用安全 CP(如 CP 1628)为两个 S7 站间的 S7 通信,或为 S7 站与工程师站间的S7 通信创建 VPN隧道,则必须满足以下要求:• 已组态这两个站。• 两个站中的 CP 必须都支持安全功能。•两个站的以太网接口位于统一子网中。说明也可通过 IP 路由器进行通信也可通过IP路由器在两个站之间进行通信。但是,要使用此通信路径,需要进行进一步设置。操作步骤要创建 VPN 隧道,需要完成以下步骤:1.创建安全用户如果已创建安全用户:请以该用户身份登录。2. 启用“激活安全特性”(Activate security features)选项3. 创建 VPN 组并分配安全模块组态4.10 安全性SIMATIC CP 1243-1操作说明, 06/2022,C79000-G8952-C365-06 694. 组态 VPN 组的属性5. 组态两个 CP 的本地 VPN属性有关各步骤的详细说明,请参见本部分的以下段落。选中“激活安全特性”(Activate securityfeatures)登录后,需要在两个 CP 的组态中选中“激活安全特性”(Activate securityfeatures)复选框。这样,您就可以使用两个 CP 的安全功能。创建 VPN 组并分配安全模块1.在全局安全设置中,选择条目“防火墙 > VPN 组 > 添加新 VPN 组”(Firewall > VPNgroups> Add new VPN group)。2. 双击条目“添加新 VPN 组”(Add new VPN group)来创建 VPN 组。结果:新的 VPN 组显示在所选条目下。3. 在全局安全设置中,双击条目“VPN 组 > 将模块分配给VPN 组”(VPN groups > Assignmodule to a VPN group)。4. 分配将在其间建立到VPN 组的 VPN 隧道的安全模块。说明CP 上 VPN 连接的当前日期和时间通常,为建立VPN连接和能够相应识别待交换的证书,将需要获取连接双方工作站的当前日期和时间。与工程师站建立 VPN连接时,若该工程师站同时又是遥控服务器(装有TCSB),则会按以下方式建立并伴随 CP 的时钟同步操作:在工程师站(装有TCSB)中,使用 CP 来建立 VPN 连接。即使该 CP尚不具有当前时间,也将建立VPN连接。若具有当前时间,所用的证书将评估为有效,从而可进行安全通信。在连接建立后,CP 会与 PC同步其时钟,因为遥控通信启用后,遥控服务器为时间主站。组态4.10 安全性SIMATIC CP 1243-170 操作说明,06/2022, C79000-G8952-C365-06组态 VPN 组的属性1. 双击新创建的 VPN 组。结果:VPN组的属性显示在“身份验证”(Authentication) 下。2. 输入 VPN 组的名称。在属性中组态 VPN组的设置。这些属性定义 VPN 组的默认设置,可以随时进行更改。说明指定 CP 的 VPN 属性请在相关模块的参数组“Security> 防火墙 > VPN”(Security > Firewall > VPN) 中指定 CP 的VPN属性。结果您已创建 VPN 隧道。CP 的防火墙将自动激活:创建 VPN组时,已默认选中“激活防火墙”(Activatefirewall) 复选框。无法取消选择该复选框。将组态下载到属于该 VPN 组的所有模块。 SOFTNET 安全客户端的 VPN通信(工程师站)有关在 SOFTNET 安全客户端和 CP 之间建立 VPN 隧道通信的信息,请参见“为各站间的 S7通信创建 VPN通道 (页 68)”部分。只有禁用了内部节点,VPN 隧道通信才会工作在某些情况下,在 SOFTNET Security Client与 CP 之间建立 VPN 隧道通信会失败。SOFTNET Security Client 也尝试建立与低级别内部节点的VPN隧道通信。与不存在的节点建立通信将妨碍与 CP 建立所需的通信。要成功建立与 CP 的 VPN隧道通信,需要禁用内部节点。只有出现所描述的问题时,才会使用下述节点禁用步骤。在 SOFTNET Security Client通道概述中禁用节点:1. 移除“启用主动学习”复选框中的复选标记。低级别节点在初始时从隧道列表中消失。2. 在隧道列表中,选择所需的CP 连接。3. 使用鼠标右键,在快捷菜单中选择“启用所有成员”。低级别节点暂时再次出现在隧道列表中。4.在隧道列表中选择低级别节点。5. 使用鼠标右键,在快捷菜单中选择“删除条目”。结果:现在已完全禁用低级别节点。可以建立 VPN隧道通信。在 CP 和 SCALANCE M 之间建立 VPN 隧道通信按照对各个站的描述,在 CP 和 SCALANCE M路由器之间建立 VPN 隧道。只有在已创建的 VPN 组(“VPN 组 > 身份验证”(VPN groups>Authentication))的全局安全设置中选中“完美前向安全性”(Perfect ForwardSecrecy)复选框,才能建立 VPN 隧道通信。如果未选中该复选框,CP 会拒绝建立隧道。CP 作为 VPN连接的被动用户设置通过被动用户建立 VPN 连接的权限如果 CP 通过网关连接另一个 VPN 用户,则需要将建立VPN连接的权限设置为“Responder”。以下典型组态中会出现这种情况:VPN 用户(主动)⇔ 网关(动态 IP 地址)⇔Internet ⇔ 网关(固定 IP 地址)⇔CP(被动)按如下方法,组态将 CP 作为被动用户建立 VPN 连接的权限:1. 在STEP 7 中,转到设备和网络视图。2. 选择 CP。3. 在本地安全设置中,打开“VPN”参数组。4. 对于每个将 CP 作为被动VPN 用户的 VPN连接,将默认设置“Initiator/Responder”更改为设置“Responder”。SYSLOG仅对 1个 VPN 连接使用 SYSLOG如果要通过 VPN 连接使用级别 7 (debug) 的SYSLOG,则这jinxian于一个已组态的 VPN连接。SINEMA Remote Connect使用 SINEMA RemoteConnect (SINEMA RC) 进行远程维护应用程序“SINEMA Remote Connect”(SINEMA RC)可用于远程维护。SINEMA RC 使用 OpenVPN 对数据加密。通信中心为 SINEMARC服务器,通过该服务器可实现用户间的通信及管理通信系统的组态。准备步骤在 STEP 7 中开始组态模块的 SINEMA RC连接之前,请执行以下步骤。这是确保 STEP 7项目一致性的先决条件。• 组态 SINEMA Remote ConnectServer根据需要组态 SINEMA RC Server(不在 STEP 7 中)。必须在 SINEMARC服务器中组态通信模块及其通信伙伴。• 导出 CA证书(可选)如果要在建立连接期间使用服务器证书作为通信模块的身份验证方式,请从SINEMA RC Server 中导出 CA证书。然后将 CA 证书从 SINEMA RC Server导入工程师站。或者,也可以使用服务器证书的识别码作为通信模块的身份验证方式。识别码的有效期限可能短于证书的有效期限。请注意,更换模块时需要重复导入证书。组态SINEMA Remote Connect导入自己的证书1. 在 CP 上,导航到参数组“安全 > 证书管理器 >伙伴设备的证书”。2. 双击第一个表格空行以打开证书选择对话框。3. 选择 SINEMA RC Server 的 CA证书。然后导航到参数组“安全 > VPN”(Security > VPN)。VPN > 常规1. 激活 VPN2.对于“VPN 连接类型”,如果要通过 SINEMA Remote Connect 进行通信,则选择“通过SINEMA远程连接服务器进行的自动 OpenVPN 组态”选项。SINEMA远程连接服务器输入该服务器的地址和端口号。服务器验证在此可以选择建立连接期间的通信模块身份验证方式。• CA 证书在“CA证书”下,从之前导入并在本地证书管理器中进行分配的 SINEMA RC Server中选择 CA 证书。模块通常会检查服务器的 CA证书及其有效期。这两个选项无法更改。• 识别码选择这种身份验证方式时,应输入 SINEMA RC Server服务器证书的识别码。身份验证• 设备 ID输入在 SINEMA RC 中为模块生成的设备 ID。• 设备密码输入在 SINEMA RC中组态的模块的设备密码。Zui大字符数: 127可选设置在“安全 > VPN >可选设置”参数组中通过参数“连接类型”对连接建立进行组态。• 更新间隔可通过此参数设置 CP 在 SINEMA RC服务器上查询组态的间隔。请注意,如果将 SINEMA RC 服务器的组态设置更改为 0(零),则 CP 将无法再与SINEMA RC服务器建立连接。• “连接类型”该参数的两个选项将在连接建立中具有以下作用:– 自动模块建立与 SINEMARC服务器的连接。在连接参数由 SINEMA远程连接服务器更改之前,OpenVPN 连接都会保持。如果连接中断,则CP会自动重新建立连接。如果 SINEMA 远程连接服务器更改了连接参数,则 CP将在上述组态的更新间隔结束后请求获取新的连接数据。–PLC 触发器该选项用于模块通过 SINEMA RC 服务器进行的偶发通信。如果要在模块和 PC之间建立临时连接,则可使用该选项。例如,临时连接通过PLC变量建立,可用于提供服务。说明连接中止如果由于固件更新或“下载到设备”而导致 CPU 停止,则 OpenVPN连接将中止。仅在启用“自动”选项后才能使用这些功能。• 建立连接的 PLC 变量如果已选择选项“PLC 触发器”,则当 PLC 变量(Bool) 变为值 1时模块会建立一个连接。操作期间可根据需要通过使用 HMI 面板等方式设置 PLC变量。将 PLC 变量重置为0 后,会再次终止连接。证书管理器证书分配如果对模块通信采用身份验证,例如采用SSL/TLS以实现安全传送电子邮件,则需要证书。您需要将非 Siemens 通信伙伴的证书导入STEP 7项目,并将其与组态数据一起下载到模块:1. 使用全局安全设置中的证书管理器导入通信伙伴的证书。2.然后通过以下任一方式将导入的证书分配给模块:– 使用全局安全设置中的“受信任的证书和根证书颁发机构”表–使用模块(安全性)的本地证书管理器中的“伙伴设备的证书”表该表还包括已在同一 STEP 7项目中生成其证书的通信伙伴的证书。有关操作步骤说明,请参见处理证书 (页 75)部分。更多相关信息,请参见 STEP 7信息系统。处理证书验证证书如果已为通信模块组态了需要身份验证的安全通信,则自身与通信伙伴双方都具有证书才能进行通信。已启用安全功能的STEP 7 项目的所有节点均由证书提供。STEP 7 项目是认证机构。说明安全功能被禁用时无证书。如果在 STEP 7 项目中禁用了CP 的安全功能,则不会为 CP 生成证书。为了通过 SSL/TLS 安全传送电子邮件,需要为 CP 创建 SSL 证书。证书显示在STEP 7的“全局安全设置 > 证书管理器 > 设备证书”(Global security settings >Certificate manager> Device certificates) 中。“设备证书”(Devicecertificates)表显示签发者、有效性、证书(服务/应用程序)使用和密钥使用情况。可以通过在表中选择证书并选择快捷菜单“显示”(Show)来调用有关证书的更多信息。该表还显示 STEP 7生成的所有其它证书和所有导入的证书。