西門子工業自動化中國一級經銷商

西門子工業自動化中國一級經銷商

提供西門子G120、G120C V20 變頻器； S120 V90 伺服控制系統；6EP電源；電線；電纜；

網絡交換機；工控機等工業自動化的設計、技術開發、項目選型安裝調試等相關服務。西門子中國有限公司授權合作伙伴——湖南西控自動化設備有限公司，作為西門子中國有限公司授權合作伙伴，湖南西控自動化設備有限公司代理經銷西門子產品供應全國，西門子工控設備包括S7-200SMART、S7-200CN、S7-300、S7-400、S7-1200、S7-1500、S7-ET200SP等各類工業自動化產品。公司國際化工業自動化科技產品供應商，是專業從事工業自動化控制系統、機電一體化裝備和信息化軟件系統

集成和硬件維護服務的綜合性企業。

西門子中國授權代理商——湖南西控自動化設備有限公司，本公司坐落于湖南省中國（湖南）自由貿易試驗區長沙片區開元東路 1306 號開

陽智能制造產業園一期 4 棟 30市內外連接，交通十分便利。

建立現代化倉

儲基地、積累充足的產品儲備、引入萬余款各式工業自動化科技產品，我們以持續的卓越與服務，取得了年銷

售額10億元的佳績，憑高滿意的服務贏得了社會各界的好評及青睞。與西門子品牌合作，只為能給中國的客戶提供值得信賴的服務體系，我們

的業務范圍涉及工業自動化科技產品的設計開發、技術服務、安裝調試、銷售及配套服務領域。

僅激活使用設備所需的協議。 ? 通過訪問控制列表 (ACL) 中的規則限制對設備管理的訪問。 ? VLAN 結構化選項可針對DoS 攻擊和未經授權的訪問提供保護。請檢查該功能在您的環 境下是否實用或有效。 ?通過中央記錄服務器對更改和訪問進行記錄。在受保護的網絡區域內運行記錄服務器，并 定期檢查記錄信息。 驗證 說明 可訪問性風險 -數據損失風險 請勿丟失設備的密碼。只能通過將設備復位為出廠設置（這會完全刪除所有組態數據）來恢 復對設備的訪問。 ?使用設備之前，請更換所有用戶帳戶、訪問模式和應用程序（如適用）的默認密碼。 ? 定義密碼分配規則。 ?使用密碼強度高的密碼。避免使用密碼強度弱的密碼（如，password1、123456789、abcdefgh）或重復字符（如，abcabc）。 此建議也適用于對設備組態的對稱密碼/密鑰。 ?確保密碼受保護且只透露給授權的人員。 ? 請勿對多個用戶名和系統使用相同的密碼。 ?將密碼存儲在安全位置（非在線），以便在丟失時使用。 ? 定期更改密碼以**安全性。 ?如果已知或者疑似有未經授權的人員知道了密碼，則必須更改密碼通過 RADIUS執行用戶驗證時，請確保所有通信均在安全環境中進行或均受到安全通道的 保護。 ? 注意在端點之間不提供自身驗證的鏈路層協議，例如 ARP或 IPv4。攻擊者可利用這些協 議中的漏洞來攻擊連接到您的第 2 層網絡的主機、交換機和路由器，例如，通過操縱子 網中系統的 ARP緩存或使其中毒并隨后攔截數據**。對于非安全第 2 層協議，必須采取適當的安全措施，以防對網絡進行未經授權的訪問。對本地網絡的物理訪問可以是安 全的，也可以使用更高層的協議。 證書和密鑰 ?設備中有一個密鑰長度為 2048 位的預設 SSL/TLS (RSA) 證書。將此證書替換為用戶生成的含密鑰高質量證書。使用由可靠外部或內部認證機構簽署的證書?？赏ㄟ^ WBM （“System > Load andSave”）安裝證書。 ? 使用密鑰長度為 4096 位的證書。 ? 使用認證機構，包括密鑰撤銷與管理，來簽署證書。 ?確保用戶自定義的私人密鑰都受到保護，未授權人員無法訪問。 ? 如果存在可疑的安全違規，請立即更改所有證書和密鑰。 ? 使用“PKCS#12”格式的具有密碼保護的證書。 ? 基于服務器和客戶端側的指紋驗證證書，避免“中間人”攻擊。為此，請使用第二條安 全傳輸路徑。 ?將設備送至 Siemens 進行維修之前，請使用臨時的一次性證書和密鑰替換當前證書和密鑰，這些證書和密鑰在設備返廠時會被銷毀。 務 ?應避免使用或禁用非安全協議或服務，例如，HTTP、Telnet 和 TFTP。由于歷史原因，這些協議可用，但并不適用于安全應用。請慎重對設備使用非安全協議。 ? 檢查是否有必要使用以下協議和服務： – 未驗證和未加密的端口 –MRP、HRP – IGMP 監聽 – LLDP – DCP – Syslog – RADIUS – DHCP 選項 66/67 –TFTP – GMRP 和 GVRP ? 以下協議具有安全備選方法： – HTTP → HTTPS – Telnet → SSH –SNMPv1/v2c → SNMPv3 檢查是否有必要使用 SNMPv1/v2c。SNMPv1/v2c的分類為非安全協議。使用阻止寫訪 問的選項。設備會為您提供適合的設置選項。 如果 SNMP已啟用，請更改團體名稱。如果不需要不受限制的訪問，請通過 SNMP 限 制訪問。 使用 SNMPv3 的驗證和加密機制。 – TFTP→ SFTP – NTP → NTPsecure ? 在物理保護措施未阻止設備訪問時使用安全協議。 ?如果需要非安全協議和服務，請僅在受保護的網絡區域內運行該設備。 ? 將可用于外部的服務和協議限制到*少。 ? 如果使用 RADIUS來管理對設備的訪問，需激活安全協議和服務。 接口安全性 ? 禁用不使用的接口。 ? 使用 IEEE 802.1X 進行接口認證。 ?使用“鎖定端口”(Locked Ports) 功能阻斷未知節點的接口。使用接口的配置選項，例如“邊緣類型”(Edge Type)。 ?組態接收端口，以便丟棄所有無標記幀（“**帶標記的幀”(Tagged Frames Only)）。 3.2 可用服務以下是所有可用服務及其端口的列表，通過這些服務和端口可對設備進行訪問。 該表包括以下列： ? 服務 設備支持的服務 ? 默認端口狀態此為交付狀態（出廠設置）下的端口狀態。 ? 可組態端口/服務 指示是否可通過 WBM/CLI 組態端口號或服務。 ? 身份驗證指定是否對通信伙伴進行驗證。 如果可選，可根據需要組態驗證。 ? 加密 指定傳輸是否加密。 如果可選，可根據需要組態加密。以下是所有可用協議和服務以及用于訪問設備的相應端口的列表。 協議 協議/ 端口號 默認端口狀 端口號可通過 WBM組態。 2) 服務默認禁用。 3) 僅只讀訪問。 4) 協議符合默認安全。 5) 此端口默認關閉，并在組態了 RADIUS服務器時顯示。端口號可通過 WBM 組態。 6) 有關使用的加密方法的更多信息，請參見 WBM 附錄中的“使用的加密方法”。以下是所有可用第 2 層服務的列表，通過這些服務可對設備進行訪問該表包括以下列： ? 第 2 層服務 設備支持的第 2 層服務。 ?默認狀態 服務的默認狀態（打開或關閉）。 ? 服務可組態 指示是否可通過 WBM/CLI 組態服務。 第 2 層服務 默認值 狀態服務可組態 DCP 設置模式Pv6 IP 組態 ? DHCP 服務器 ? 手冊 ? 無狀態地址自動配置 (SLAAC)：采用NDP（鄰居發現 協議）的無狀態自動組態 – 為各個在鏈路中無需路由器的接口創建鏈路本地 地址。 –檢查在鏈路中無需路由器的鏈路地址的唯一性。 – 指定是否通過無狀態機制、有狀態機制或兩種機 制獲得全局地址。（在鏈路中需要路由器。）? 手冊 ? DHCPv6（有狀態） 可用 IP 地址 32 位：4.29 * 109 個地 址 128 位：3.4 * 1038個地址 地址格式 十進制：192.168.1.1 端口為： 192.168.1.1:20 十六進制：2a00:ad80::0123端口為：[2a00:ad80::0123]:20 回送 127.0.0.1 ::1 接口的 IP 地址 5 個 IP 地址 多個 IP地址 ? LLA：每個接口的鏈路本地地址（自動形成） fe80::/128 ? ULA：每個接口的多個唯一本地單播地址 ?GUA：每個接口的多個全局單播地址 標頭 ? 校驗和 ? 可變長度 ? 報頭分片 ? 無安全性 ? 在較高層檢查 ? 固定大小 ?擴展報頭分片 分片 主機和路由器 僅通信的端點 服務質量 服務類型 (ToS) 的優先 級 在報頭字段“TrafficClass”中指定優先級。組播、單播、任播 DHCP 客戶端/服務器的標識 客戶端 ID： ? MAC 地址 ? DHCP 客戶端ID ? 系統名稱 ? PROFINET 站名稱 ? IAID 和 DUID DUID + IAID 恰好為主機的一個接口 DUID= DHCP 唯一標識符 服務器和客戶端的唯一標識符 IAID = 身份關聯標識符 每個接口至少有一個由客戶端生成，且在 DHCP客戶端 重新啟動時保持不變 獲取 DUID 的三種方法 ? DUID-LLT ? DUID-EN ? DUID-LL DHCP 通過UDP 廣播 通過 UDP 單播 RFC 3315、RFC 3363 有狀態的 DHCPv6 有狀態組態，在其中傳送 IPv6地址和組態設置。 客戶端和服務器之間交換以下四種 DHVPv6 消息： 1. SOLICIT: 由 DHCPv6 客戶端發送，用于定位DHCPv6 服務器。 2. ADVERTISE 可用的 DHCPv6 服務器對此做出應答。 3. REQUEST DHCPv6客戶端從 DHCPv6 服務器請求 IPv6 地址和 組態設置。 4. REPLY DHCPv6 服務器發送 IPv6地址和組態設置。 如果客戶端和服務器支持“Rapid commit”功能，本步驟 將縮短為兩種 DHCPv6 消息 SOLICIT 和REPLY。 無狀態 DHCPv6 在無狀態 DHCPv6 中，僅傳送組態設置。 前綴代理 DHCPv6 服務器將 IPv6前綴的分配委托給 DHCPv6 客戶 端。DHCPv6 客戶端也稱為 PD 路由器。 硬件地址中 IP 地址的解析ARP（地址解析協議）