西門子S7-1500中國總經銷商

西門子S7-1500中國總經銷商

提供西門子G120、G120C V20 變頻器； S120 V90 伺服控制系統；6EP電源；電線；電纜；

網絡交換機；工控機等工業自動化的設計、技術開發、項目選型安裝調試等相關服務。西門子中國有限公司授權合作伙伴——湖南西控自動化設備有限公司，作為西門子中國有限公司授權合作伙伴，湖南西控自動化設備有限公司代理經銷西門子產品供應全國，西門子工控設備包括S7-200SMART、S7-200CN、S7-300、S7-400、S7-1200、S7-1500、S7-ET200SP等各類工業自動化產品。公司國際化工業自動化科技產品供應商，是專業從事工業自動化控制系統、機電一體化裝備和信息化軟件系統

集成和硬件維護服務的綜合性企業。

西門子中國授權代理商——湖南西控自動化設備有限公司，本公司坐落于湖南省中國（湖南）自由貿易試驗區長沙片區開元東路 1306 號開

陽智能制造產業園一期 4 棟 30市內外連接，交通十分便利。

建立現代化倉

儲基地、積累充足的產品儲備、引入萬余款各式工業自動化科技產品，我們以持續的卓越與服務，取得了年銷

售額10億元的佳績，憑高滿意的服務贏得了社會各界的好評及青睞。與西門子品牌合作，只為能給中國的客戶提供值得信賴的服務體系，我們

的業務范圍涉及工業自動化科技產品的設計開發、技術服務、安裝調試、銷售及配套服務領域。

中分配給用戶特定的 IP 規則集的角色。 這樣做的好處就是，所有的用戶數據只存儲在 RADIUS 服務器上。 有關通過RADIUS 服務器進行驗證的詳細信息，請參見以下部分： 通過 RADIUS 服務器驗證 (頁 90) 在本地使用用戶特定的 IP規則集 - 慣例 與以下部分所述相同的慣例適用： ● 防火墻規則集 - 慣例 (頁 159) 4.3.3.1 創建并分配用戶特定的IP 規則集 如何訪問此功能 1. 在導航面板中，選擇“用戶特定的 IP 規則集”(Users-specific IP rulesets) 文件夾。 2. 選擇菜單命令“插入 > 防火墻規則集”(Insert > Firewall ruleset)。 3. 輸入如下數據： – 名稱： 項目范圍內用戶特定的 IP規則集的唯一名稱。分配規則集后，名稱顯示在安全模塊的本地規則列表中。 – 描述： 輸入用戶特定的 IP 規則集的描述。 4.單擊“添加規則”(Add rule) 按鈕。 5. 在列表中逐個輸入防火墻規則。 請注意以下部分中的參數說明： – IP數據濾規則 (頁 179) 注意由 SCT 根據 NAT/NAPT 規則自動生成的防火墻規則的特性： – NAT/NAPT路由器與用戶特定防火墻之間的關系 (頁 219) 將一個或多個用戶和/或一個或多個角色分配給用戶特定的 IP 規則集。 給用戶特定的IP 規則集分配角色僅適用于 SCALANCE S V4 模塊。 說明 分配用戶特定的 IP 規則集 ?針對每個用戶，只能為安全模塊分配一個用戶特定的規則集。 ? 由于分配的原因，只能針對已分配到 IP規則集的所有用戶或角色激活“用戶/角色可以登錄模塊”權限。 7. 將用戶特定的 IP 規則集分配給要在其中使用該規則集的安全模塊。為此，在導航面板中選擇用戶特定的 IP 規則集，并將其拖動至導航面板的安全模塊中（拖放）?；蛘?，也可以使用“添加規則集...”(Add rule sets...) 按鈕在安全模塊的本地規則列表中進行分配。 結果 ●已分配的安全模塊會將用戶特定的規則集用作本地規則集，并將其自動顯示在模塊特 定的防火墻規則列表中。 ● 用戶可以登錄安全模塊。是否驗證用戶取決于是選擇通過安全模塊還是通過 RADIUS 服務器驗證。范圍創建或編輯某個用戶時，可以指定多長時間后會自動注銷用戶，默認時間是 30 分鐘。 在安全模塊的 Web頁面上，可以將會話時間延長至已分配給用戶的值。 有關創建用戶的詳細信息，請參見以下部分： 管理用戶 (頁 77) 4.3.4連接相關的自動防火墻規則 在 SCT 中自動創建防火墻規則 對于以下應用，將自動創建防火墻規則。 ● 在 STEP 7 中組態的連接已組態連接的防火墻規則 如果已在 STEP 7 中創建連接，則會在 SCT 中為這些連接自動創建防火墻規則。為實現此操作，STEP 7和 SCT 之間會進行系統同步，期間會檢查項目中組態的所有連接。對于每個通信伙伴，IP 地址/MAC地址、動作和接口會自動同步。無論連接的數目是多少，每個連接伙伴都有 2 個規則。 說明 手動釋放 UDP 組播連接 不會為 UDP組播連接自動創建防火墻規則。要啟用連接，在**模式下手動添加相關防火墻規則。 根據 STEP 7 中連接建立的組態方式，SCT中會創建以下級別的 3 種防火墻規則。如果安全模塊處于 VPN 組中，則方向會從“外部”(External)更改為“隧道”(Tunnel)。 主動和被動 允許 內部 站允許 站 內部 對于 2 級連接，為兩個方向創建了“允許”規則。如果安全模塊處于 VPN 組中，則方向會從“外部”(External)更改為“隧道”(Tunnel)。 在這些防火墻規則的“源 MAC 地址”(Source MAC address) 和“目標 MAC地址”(Destination MAC address) 列中輸入連接伙伴的 MAC 地址。 CP->外部 動作 自 至主動、被動、主動和被動 允許 站自動創建防火墻規則的慣例 ● 優先級 規則具有*高優先級，因此會插入本地規則列表的頂部。 ● 刪除規則無法刪除規則集。可以啟用記錄功能和分配服務。還可以插入帶寬和注釋。 ● 更改操作 在 SCT中，如果設置從“允許”到“丟棄”的操作或者相反的操作，則在重復系統同步時，操作將被再次覆蓋。如果要保留更改，則選擇“允許*”或“丟棄*”。這種情況下，只有 IP 地址/MAC 地址與 STEP 7保持同步，而動作和方向則保持不變。系統同步更新后，記錄、服務、帶寬和注釋的設置也會保留，甚至不會將動作更改為“允許*”或“丟棄*”。如果 STEP 7 中不存在相應連接，則從列表中刪除該規則 默認情況下，“僅隧道通信”(Tunnel communication only)復選框處于啟用狀態。如果取消選擇該復選框，則除隧道伙伴間的隧道通信外，還可與未 連接隧道的網絡節點進行通信。 ● 如果伙伴地址屬于SCT 中已知的未組態 VPN 隧道的站，通信會在隧道外進行。 ● 如果伙伴地址是一個 VPN 端點，通信會通過隧道進行。 ●如果不清楚連接應繞過還是經由 VPN 隧道運行，則會將連接分配給 VPN隧道并顯示有關其影響的消息。這種分配適合在**模式下進行，例如通過將“自”方向“隧道”更改為“外部”。為避免下一次系統同步將該調整覆蓋，必須選擇“允許*”或“丟棄*” 動作。 說明如果要確保通信只能通過隧道進行，則需要在**防火墻模式下創建合適的防火墻規 則，例如針對內部節點或 NDIS 地址。 要僅允許 CP進行隧道通信，請使用以下設置添加規則： ? “操作”：“丟棄” ? “從”：“任意”： ? “到”：“外部” 對于 CP1628，使用以下設置添加規則： ? “操作”：“丟棄” ? “從”：“站” ? “到”：“外部”除此之外，還需要刪除現有允許不通過隧道進行通信的防火墻規則。 4.3.5 設置本地 IP 數據濾規則 利用 IP數據濾規則，您可以過濾如 UDP、TCP、ICMP 數據包之類的 IP 數據包。 在 IP數據濾規則中，還可以包括服務定義，并進一步限制過濾條件。 如果不指定服務，則 IP 數據濾規則適用于所有服務。 打開本地 IP數據濾規則對話框 SCT： 選擇要編輯的安全模塊，然后選擇菜單命令“編輯 > 屬性...”(Edit >Properties...)，“防火墻”(Firewall) 選項卡STEP 7： 在“安全”(Security)選項卡中，單擊“開始安全組態”(Start of security configuration) 旁邊的“運行”(Run)按鈕，“防火墻”(Firewall) 選項卡。 輸入 IP 數據濾規則在列表中依次輸入防火墻規則；注意以下幾個部分中或在線幫助中的下列參數說明和示例 。 使用全局和用戶特定的防火墻規則集已分配給模塊的全局防火墻規則集和用戶特定的規則集會自動輸入到本地規則列表中。如果已分配的規則集顯示在規則列表的末尾，將按*低優級處理。 可以通過更改規則列表中的位置來更改優先級。