西门子PCS7中国总经销商
提供西门子G120、G120C V20 变频器; S120 V90 伺服控制系统;6EP电源;电线;电缆;
网络交换机;工控机等工业自动化的设计、技术开发、项目选型安装调试等相关服务。西门子中国有限公司授权合作伙伴——湖南西控自动化设备有限公司,作为西门子中国有限公司授权合作伙伴,湖南西控自动化设备有限公司代理经销西门子产品供应全国,西门子工控设备包括S7-200SMART、S7-200CN、S7-300、S7-400、S7-1200、S7-1500、S7-ET200SP等各类工业自动化产品。公司国际化工业自动化科技产品供应商,是专业从事工业自动化控制系统、机电一体化装备和信息化软件系统
集成和硬件维护服务的综合性企业。
西门子中国授权代理商——湖南西控自动化设备有限公司,本公司坐落于湖南省中国(湖南)自由贸易试验区长沙片区开元东路 1306 号开
阳智能制造产业园一期 4 栋 30市内外连接,交通十分便利。
建立现代化仓
储基地、积累充足的产品储备、引入万余款各式工业自动化科技产品,我们以持续的卓越与服务,取得了年销
售额10亿元的佳绩,凭高满意的服务赢得了社会各界的好评及青睐。与西门子品牌合作,只为能给中国的客户提供值得信赖的服务体系,我们
的业务范围涉及工业自动化科技产品的设计开发、技术服务、安装调试、销售及配套服务领域。
IP 数据包过滤规则 IP 数据包规则的处理基于以下评估: ● 规则中输入的参数; ● 规则顺序及相关的优先级。 参数 IP规则的组态包括以下参数: 名称 含义/注释 可用选项/值范围 动作 (Action) 允许/禁止(启用/阻止) • 允许允许符合定义的帧。 • 丢弃 阻止符合定义的帧。 对于自动创建的连接规则: • 允许* • 丢弃* 如果选择这些规则,则不会与STEP 7 进行同步。因此,已修改的规则不会在 SCT 中被覆盖。 自/至 (From/To) 允许的通信方向。 在下面的表中说明。源 IP 地址 IP 数据包的源地址 用户特定 IP 规则集的说明 如果将“允许”(Allow) 选作操作,则会将条目“用户 IP地址”(User IP address) 用作源 IP 地址。这表示将使用设备的 IP 地址,用户将通过该地址登录到 安全模块的Web 页面。 如果将“删除”(Drop) 选作操作,则可以在用户 IP 地址和所有 IP 地址之间进行选择。 请参见以下部分: •IP 数据包过滤规则 (页 179) 也可以输入符号名称。 有关幻象模式的说明 如果已激活幻象模式,则内部节点的 IP地址将由安全模块在运行时动态决定。根据所选方 向,不能在“源 IP 地址”(Source IP address)列(对于“从内部到外部”方向)或“目标 IP 地址”(Target IP address) 列(对于“从外部到内部”方向)中输入 IP地址。而是由 SCALANCE S 自动将 IP 地址插入到防火墙规则中。 含义/注释可用选项/值范围 目标 IP 地址 IP 数据包的目标地址 服务 (Service) 使用的 IP/ICMP 服务或服务组的名称。使用服务定义,可以定义数据包 过滤规则。 在此选择一个已在 IP 服务对话框中定义的服务: • IP 服务 • ICMP 服务 •服务组包括 IP 和/或 ICMP 服务 如果尚未定义任何服务或想要定 义附加服务,单击“IP 服务…”(IP services…)按钮(在“IP 规则”(IP rules) 选项卡中)或“MAC 服务…”(MAC services…) 按钮(在“MAC规则”(MAC rules) 选项卡中)。 下拉列表框显示可以选择的已组态服务和服务组。 无条目表示:未选中任何服务,规则适用于所有服务。 注意: 为使预定义的 IP 服务显示在下拉列表中,首先在标准模式下选择此 参数。 带宽 (Bandwidth) (Mbps)用于设置带宽限制的选项。只有 选择了“允许”(Allow) 操作后才能输入该参数。 如果符合通过规则且未超出该规则允许的带宽,则数据包可通过 防火墙。 CP x43-1 Adv. 和 SCALANCE S < V3.0:0.001 ...100 CP 1628 和 SCALANCE S V3.0 及更高版本:0.001 ... 1000对于全局和用户特定的规则集中的规则:0.001 ... 1 00启用或禁用对该规则的记录。在 在线模式下,“数据包过滤日志”(Packet filter log) 选项卡显示适用于该规则的数据 包。对于自 V3 起的 SCALANCES模块,相关规则的数量会在“附 加信息”(Additional information) 列中显示。可在以下部分找到有关记录设置的详细信息: 记录事件 (页 316) 编号 (No.) 自动分配的规则编号,用于将记 录数据包分配给已组态的防火墙规则。移动规则时将重新计算编 号。 状态 如果通过“允许”(Allow) 操作禁用了 IP 规则的该复选框,则适用该允许规则的所有数据包均不会生成防 火墙States。防火墙States会自 动让所允许数据包的响应通过。 只有选择了“允许”(Allow)操作后才能调整该参数。仅 SCALANCE S 模块(V3 及更高固件版本)支持无防火墙 States IP 规则组态。 对于SCALANCE S V3 及以上版本的允许规则: • 启用(默认) • 禁用 对于 SCALANCE S V3 以下版本的允许规则:• 启用(默认) 对于删除规则: • 禁用(默认) 注释 (Comment) 用于解释规则的空间。若注释标记为“AUTO”,则会为自动连接规则创建注 释 安全模块进行规则评估的顺序按如下方式对数据包过滤规则进行评估: ● 按照从上至下的顺序评估列表;如果规则相矛盾(例如,具有相同方向信息的条目进行不同的操作),则应用列表中较**的规则。 ● 在内部网络、外部网络与 DMZ网络间的通信规则中,以下规则适用:除列表中明确允许的帧外,所有帧均被阻止。 ● 在与 IPsec隧道间的通信规则中,以下规则适用:除列表中明确阻止的帧外,所有帧均被允许默认情况下,除明确允许的帧类型之外,所有从内部网络到外部网络的数据包类型均被阻止。② 默认情况下,除明确允许的帧类型之外,所有从外部网络到内部网络的数据包类型均被阻止。 ③ IP 数据包过滤规则 1允许由内部网络发往外部网络服务定义为“服务 X1”的数据包。 ④ 满足以下条件时,IP 数据包过滤规则 2允许帧从外部网络到内部网络: • 发送方的 IP 地址:196.65.254.2 • 接收方的 IP 地址:197.54.199.4• 服务定义:“服务 X2” ⑤ IP 数据包过滤规则 3 阻止由 VPN 隧道发往内部网络的服务定义为“服务 X1”的帧。 ⑥默认情况下允许 IPsec 隧道通信,明确阻止的帧类型除外。 参见 MAC 数据包过滤规则 (页 190) IP地址、子网掩码和网关地址的值范围 (页 327) IP 数据包过滤规则中的 IP 地址 IP 地址由四个 0 到 255范围内的十进制数字组成,每个数字以句点分隔;例如: 141.80.0.16 在数据包过滤规则中,可使用以下选项指定 IP 地址: ● 不指定任何内容 未选中任何IP 地址,规则适用于所有 IP 地址。 ● 一个 IP 地址 规则只适用于指定的地址。 ● 多个 IP 地址该规则仅适用于特定地址。 地址之间由分号分隔。 ● 地址范围 规则适用于地址范围覆盖的所有 IP 地址。 通过在 IP地址中指定有效位数来定义地址范围,格式如下: [IP 地址]/[要包含的位数] – [IP 地址]/24 表示过滤规则中仅包含 IP地址的*高有效的 24 位: 这些位是 IP 地址前三个八位位组。 – [IP 地址]/25 表示过滤规则中仅包含 IP地址的前三个八位位组以及第四个八位位组的*高位。 ● 地址区 对于源 IP 地址,可以指定以连字符分隔的地址范围: [起始 IP地址]-[终止 IP 地址] 有关详细信息,请参见以下部分: ● IP 地址、子网掩码和网关地址的值范围 (页 327) 表格 4-21 IP 地址的地址范围示例 源 IP 地址或目标 IP 地址 地址范围 地址 数量 起始地址 结定义 IP 服务 如何访问此功能● 使用菜单命令“选项 > IP 服务...”(Options > IP services...)。 或 ● 在“IP规则”(IP Rules) 选项卡中,通过“IP 服务...”(IP Service...) 按钮打开。 含义 使用 IP服务定义,可以为特定服务定义简明而清晰的防火墙规则。用户只需要选择一个名称并为 其分配服务参数。也可以将通过此方式定义的服务分组到一个组名称下。 组态全局或本地数据包过滤规则时,使用该名称。 IP 服务的参数 使用以下参数定义IP 服务: 表格 4- 22 IP 服务:参数 名称 含义/注释 可用选项/值范围 名称 (Name)可由用户定义的服务名称,用作规则定义或 组中的标识。 可由用户选择 协议 (Protocol) 协议类型的名称