SCALANCE W 網(wǎng)絡(luò)安全功能

時(shí)間：2021-10-26作者：上海騰希電氣技術(shù)有限公司瀏覽：556

無(wú)線(xiàn)網(wǎng)絡(luò)技術(shù)提供了使用網(wǎng)絡(luò)的便捷性和移動(dòng)性，給復(fù)雜的工業(yè)控制網(wǎng)絡(luò)連接提供了靈活的連接方式。但WLAN在工業(yè)控制場(chǎng)合與在辦公室中有很大的不同，這就要求工業(yè)無(wú)線(xiàn)局域網(wǎng)IWLAN，有著可靠，耐用，安全等特點(diǎn)。西門(mén)子無(wú)線(xiàn)產(chǎn)品SCALANCE W具備上述的特點(diǎn)，越來(lái)越多的工業(yè)控制場(chǎng)合使用SCALANCE W構(gòu)建無(wú)線(xiàn)工業(yè)局域網(wǎng)，滿(mǎn)足工業(yè)設(shè)備高速穩(wěn)定靈活的通訊。
工業(yè)無(wú)線(xiàn)控制場(chǎng)合，信息安全是非常重要的要求。無(wú)線(xiàn)局域網(wǎng)絡(luò)由于是通過(guò)無(wú)線(xiàn)信號(hào)來(lái)傳送數(shù)據(jù)的，無(wú)線(xiàn)信號(hào)在**出去之后就無(wú)法控制其在空間中的擴(kuò)散，因而任何具有合適接收設(shè)備的人都可以捕獲該頻率的信號(hào)，進(jìn)而進(jìn)入目標(biāo)網(wǎng)絡(luò)。除非訪(fǎng)問(wèn)者及設(shè)備的身份驗(yàn)證和授權(quán)機(jī)制足夠健全，這樣任何具有兼容的無(wú)線(xiàn)網(wǎng)卡的用戶(hù)就可以訪(fǎng)問(wèn)該網(wǎng)絡(luò)。 如果不進(jìn)行有效的數(shù)據(jù)加密，無(wú)線(xiàn)數(shù)據(jù)就以明文方式發(fā)送，這樣在某個(gè)無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)的信號(hào)有效距離之內(nèi)的任何人都可以檢測(cè)和接收往來(lái)于該無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)的所有數(shù)據(jù)。黑客不需要攻進(jìn)內(nèi)部的有線(xiàn)網(wǎng)絡(luò)就能輕而易舉地在無(wú)線(xiàn)局域網(wǎng)信號(hào)覆蓋的范圍內(nèi)通過(guò)無(wú)線(xiàn)客戶(hù)端設(shè)備接入網(wǎng)絡(luò)。只要能破解無(wú)線(xiàn)局域網(wǎng)的不安全的相關(guān)安全機(jī)制就能徹底攻陷企業(yè)生產(chǎn)的局域網(wǎng)絡(luò)，導(dǎo)致影響工業(yè)控制，造成產(chǎn)品生產(chǎn)中斷，甚至人員傷亡。
為了保證無(wú)線(xiàn)網(wǎng)絡(luò)的安全，西門(mén)子SCALANCE W通過(guò)安全向?qū)Ш桶踩x項(xiàng)提供了多種方式來(lái)保證IWLAN的信息安全，**工業(yè)控制的穩(wěn)定和安全。下面主要介紹保護(hù)SCALANCE W無(wú)線(xiàn)網(wǎng)絡(luò)安全需要采取的基本安全措施。


1 訪(fǎng)問(wèn)協(xié)議控制
用戶(hù)登陸無(wú)線(xiàn)產(chǎn)品有多種協(xié)議支持方式，例如PING，SNMP和Telnet等協(xié)議。如圖3 - 1所示，可以禁止一些協(xié)議來(lái)滿(mǎn)足安全要求。在SCALANCE W中可以通過(guò)System標(biāo)簽下的選項(xiàng)激活和禁止相應(yīng)協(xié)議的訪(fǎng)問(wèn)。



圖3 - 1


2 更改默認(rèn)SSID名稱(chēng)與禁用SSID廣播
無(wú)線(xiàn)設(shè)備有一個(gè)出廠(chǎng)前的SSID（服務(wù)組標(biāo)識(shí)符）設(shè)置。SSID 標(biāo)識(shí)您的無(wú)線(xiàn)網(wǎng)絡(luò)，較長(zhǎng)不能**過(guò) 32 個(gè)字符。SCALANCE W的默認(rèn)SSID是“Siemens Wireless Network”。如果黑客事先知道這個(gè)默認(rèn)值，就可以用它接入工廠(chǎng)的無(wú)線(xiàn)網(wǎng)絡(luò)。所以將網(wǎng)絡(luò)的 SSID 改為*特的名稱(chēng)，如圖3 - 2所示。


圖3 - 2

雖然修改了SSID的默認(rèn)名，但是多數(shù)無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)備默認(rèn)啟用SSID廣播，任何人用此信息即可輕而易舉地接入您的無(wú)線(xiàn)網(wǎng)絡(luò)，因此較好禁用 SSID 廣播。您可能會(huì)認(rèn)為廣播 SSID 讓您通過(guò)單擊操作方便地接入網(wǎng)絡(luò)，但您可以將網(wǎng)絡(luò)上的設(shè)備配置為自動(dòng)連接到* SSID，而無(wú)須從AP廣播 SSID。如圖3 - 3所示，SCALANCE W支持禁止SSID廣播，啟用禁止SSID廣播，這樣只有知道該SSID的Client才能訪(fǎng)問(wèn)AP，通過(guò)這種簡(jiǎn)單的方法可以保護(hù)SCALANCE W無(wú)線(xiàn)網(wǎng)絡(luò)的非授權(quán)的訪(fǎng)問(wèn)


圖3 - 3

3 更改管理員或用戶(hù)默認(rèn)密碼
對(duì)于無(wú)線(xiàn)產(chǎn)品（例如AP和客戶(hù)端）來(lái)說(shuō)，需要輸入用戶(hù)名和密碼才能更改設(shè)置。這些設(shè)備有出廠(chǎng)前的默認(rèn)密碼。SCALANCE W產(chǎn)品的用戶(hù)名和默認(rèn)密碼是 admin。黑客知道用戶(hù)名和默認(rèn)密碼，會(huì)嘗試用該密碼訪(fǎng)問(wèn)您的無(wú)線(xiàn)設(shè)備、更改您的網(wǎng)絡(luò)設(shè)置。要防止任何未經(jīng)授權(quán)的更改，修改設(shè)定設(shè)備的密碼，密碼要難以被人猜出。SCALANCE W的密碼較長(zhǎng)不能**過(guò)31個(gè)字符。可以有數(shù)字、字符和一些特殊字符組成。如圖3 - 4所示，可以通過(guò)這個(gè)界面配置用戶(hù)和管理員的密碼。



圖3 - 4


4 使用ACL協(xié)議

4.1 概述
ACL即是Access Control List——訪(fǎng)問(wèn)控制列表。訪(fǎng)問(wèn)控制列表是交換機(jī)、路由器及*墻中的常用技術(shù)，常用來(lái)根據(jù)事先設(shè)定的訪(fǎng)問(wèn)控制規(guī)則，過(guò)濾某些特定MAC地址、IP地址、協(xié)議類(lèi)型、服務(wù)類(lèi)型的的數(shù)據(jù)包，合法的允許通過(guò)，不合法的阻截并丟棄。 訪(fǎng)問(wèn)控制列表技術(shù)是**濾*墻的基礎(chǔ)技術(shù)，但是在*墻和交換機(jī)、路由器中，默認(rèn)的轉(zhuǎn)發(fā)和攔截規(guī)則是不一樣的。SCALANCE W 也支持訪(fǎng)問(wèn)控制列表功能ACL，通過(guò)配置MAC地址和訪(fǎng)問(wèn)權(quán)限來(lái)實(shí)現(xiàn)。每個(gè)網(wǎng)絡(luò)設(shè)備客戶(hù)端都有一的標(biāo)識(shí)——MAC 地址。啟用 MAC 地址過(guò)濾功能，只有特定 MAC 地址的無(wú)線(xiàn)設(shè)備提供無(wú)線(xiàn)網(wǎng)絡(luò)訪(fǎng)問(wèn)許可。例如，可以*只讓工廠(chǎng)內(nèi)的客戶(hù)端訪(fǎng)問(wèn)無(wú)線(xiàn)網(wǎng)絡(luò)。這樣黑客很難用隨機(jī)的 MAC 地址訪(fǎng)問(wèn)您的網(wǎng)絡(luò)。同時(shí)SCALANCE W配備了兩種密鑰的驗(yàn)證，一種是默認(rèn)密鑰，另外一種是私鑰。

4.2 網(wǎng)絡(luò)拓?fù)鋱D



圖3 - 5：網(wǎng)絡(luò)拓?fù)鋱D
 

4.3 網(wǎng)絡(luò)組態(tài)及參數(shù)設(shè)置

PG/PC1與PG/PC2通過(guò)各自的無(wú)線(xiàn)網(wǎng)卡與AP通過(guò)基礎(chǔ)架構(gòu)方式相連接。根據(jù)圖3 - 5的網(wǎng)絡(luò)拓?fù)鋱D設(shè)置PG/PC的IP地址，使用PST軟件設(shè)置SCALANCE W788的IP地址。另外可以使用PG/PC通過(guò)IE瀏覽器來(lái)直接連接調(diào)試SCALANCE W模塊。其中PG/PC1的MAC地址為 00-11-25-12-7B-1F；PG/PC2的MAC地址為 00-0C-F1-5C-83-03。相應(yīng)的IP地址參考ACL組態(tài)圖。通過(guò)SCALANCE W788組態(tài)設(shè)置ACL，察看PG/PC1對(duì)PG/PC2的訪(fǎng)問(wèn)。
如圖3 - 6所示通過(guò)IE瀏覽器打開(kāi)SCALANCE W的網(wǎng)頁(yè)，輸入用戶(hù)名和密碼，均為“admin”。在Security——>ACL標(biāo)簽下，點(diǎn)擊New按鈕，把管理員PG/PC1的無(wú)線(xiàn)網(wǎng)卡MAC地址輸入到ACL列表中。選擇允許操作。



圖3 - 6

如圖3 - 7所示，把黑客PG/PC2的無(wú)線(xiàn)網(wǎng)卡MAC地址輸入到ACL列表中，選擇拒絕操作。



圖3 - 7

如圖3 - 8所示，設(shè)置使能菜單后，點(diǎn)擊Set Values按鈕。然后重新啟動(dòng)SCALANCE W。



圖3 - 8

通過(guò)對(duì)SCALANCE W的訪(fǎng)問(wèn)控制列表進(jìn)行設(shè)置，使得只有管理員PG/PC1的無(wú)線(xiàn)網(wǎng)卡可以訪(fǎng)問(wèn)SCALANCE W。來(lái)自于黑客PG/PC2的無(wú)線(xiàn)網(wǎng)卡被拒絕訪(fǎng)問(wèn)SCALANCE W。


5 使用驗(yàn)證和加密功能

5.1 概述

有線(xiàn)等效私有協(xié)議 (WEP) 和 Wi-Fi 保護(hù)訪(fǎng)問(wèn) (WPA) 為無(wú)線(xiàn)通信提供不同級(jí)別的安全保護(hù)。WPA 被公認(rèn)為比 WEP 安全，因?yàn)樗脛?dòng)態(tài)密鑰加密。當(dāng)需要較高的安全級(jí)別時(shí)，應(yīng)當(dāng)啟用網(wǎng)絡(luò)設(shè)備支持的**加密機(jī)制。
SCALANCE W通過(guò)授權(quán)和加密機(jī)制對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)提供全面的保護(hù)。SCALANCE W提供了Shared-key，WPA-PSK，802.1X，WPA2-PSK，WPA2，WPA-Auto-PSK和WPA-Auto等驗(yàn)證方式。并且提供了WEP，TKIP和AES等加密機(jī)制。相應(yīng)的加密機(jī)制與授權(quán)方式配合使用。

5.2 網(wǎng)絡(luò)拓?fù)鋱D



圖3 - 9：網(wǎng)絡(luò)拓?fù)鋱D
 

5.3 網(wǎng)絡(luò)組態(tài)及參數(shù)設(shè)置

PG/PC與SCALANCE W的以太網(wǎng)端口相連，根據(jù)圖3 - 9的網(wǎng)絡(luò)拓?fù)鋱D設(shè)置PG/PC的IP地址，使用PST軟件設(shè)置SCALANCE W788的IP地址。另外可以使用PG/PC通過(guò)IE瀏覽器來(lái)直接連接調(diào)試SCALANCE W模塊。
如圖3 - 10所示，在作為AP的SCALANCE W788的Security——>Basic WLAN標(biāo)簽下，設(shè)置驗(yàn)證方式為WPA/WPA2-AUTOPSK，加密機(jī)制選擇AUTO，既可以是AES也可以是TKIP，最后設(shè)置有一定復(fù)雜程度的密碼，點(diǎn)擊Set Values完成設(shè)置。這時(shí)AP就啟用了**的網(wǎng)絡(luò)安全功能。


圖3 - 10

使用PG/PC的無(wú)線(xiàn)網(wǎng)卡搜索已有的無(wú)線(xiàn)網(wǎng)絡(luò)，發(fā)現(xiàn)設(shè)置的無(wú)線(xiàn)網(wǎng)絡(luò)Siemens Wireless Network的網(wǎng)絡(luò)安全功能已啟用。如圖3 - 11所示，點(diǎn)擊鏈接按鈕，彈出對(duì)話(huà)框按要求輸入密碼。


圖3 - 11

這時(shí)如圖3 - 12所示，客戶(hù)端與接入點(diǎn)AP的連接已經(jīng)建立?？蛻?hù)端可以無(wú)線(xiàn)訪(fǎng)問(wèn)接入點(diǎn)AP。


圖3 - 12


上海騰希電氣技術(shù)有限公司專(zhuān)注于西門(mén)子PLC,V90伺服,V20變頻器等, 歡迎致電 13681875601

• 詞條

  詞條說(shuō)明

• “導(dǎo)出...”對(duì)話(huà)框中的“信息”選項(xiàng)卡 -（TIA Portal 項(xiàng)目）

  “導(dǎo)出...”對(duì)話(huà)框中的“信息”選項(xiàng)卡 -（TIA Portal 項(xiàng)目）導(dǎo)出后，將在“信息”(Info) 選項(xiàng)卡中顯示有關(guān)該 TIA Portal 項(xiàng)目存儲(chǔ)位置的信息。

• 移植 WinCC flexible 項(xiàng)目 (WinCC flexible)

  移植 WinCC flexible 項(xiàng)目 (WinCC flexible)簡(jiǎn)介項(xiàng)目移植過(guò)程中，將 WinCC flexible 項(xiàng)目中的數(shù)據(jù)加載到 WinCC 的新項(xiàng)目中。因此，在進(jìn)行項(xiàng)目移植時(shí)將自動(dòng)創(chuàng)建一個(gè)新項(xiàng)目。不能移植到現(xiàn)有項(xiàng)目中?？稍?Portal 視圖和“項(xiàng)目”視圖中啟動(dòng)移植。只應(yīng)將項(xiàng)目移植到重新啟動(dòng)的 TIA Portal 中。有關(guān)集成項(xiàng)目移植的信息，請(qǐng)參見(jiàn)“移植集成的項(xiàng)目 (WinC

• 日志表事件日志

  日志表記錄事件提示只有與設(shè)備存在在線(xiàn)連接時(shí)才顯示該頁(yè)面。設(shè)備允許用戶(hù)記錄發(fā)生的事件，有些事件可以在“系統(tǒng) > 事件”(System > Events) 中*。這樣（舉例來(lái)說(shuō)）便可記錄身份驗(yàn)證嘗試失敗的時(shí)間或某端口連接狀態(tài)發(fā)生變化的時(shí)間。即使在設(shè)備關(guān)閉后，事件日志表的內(nèi)容仍可保留。顯示值說(shuō)明嚴(yán)重程度過(guò)濾器 (Severity Filters)提示每種嚴(yán)重程度較多支持在表中包含 400

• G120變頻器如何組成環(huán)網(wǎng)(MRP)

  隨著工廠(chǎng)對(duì)生產(chǎn)效率和產(chǎn)品質(zhì)量的要求越來(lái)越高，對(duì)自動(dòng)化系統(tǒng)可靠性的要求也不斷提高。自動(dòng)化系統(tǒng)故障造成的生產(chǎn)中斷可能給工廠(chǎng)帶來(lái)很大的損失。因此，容錯(cuò)性對(duì)于自動(dòng)化系統(tǒng)來(lái)說(shuō)是非常基礎(chǔ)的要求，對(duì)于過(guò)程自動(dòng)化和能源供應(yīng)尤其如此。? ?要增加系統(tǒng)可靠性，工業(yè)通信網(wǎng)絡(luò)節(jié)點(diǎn)之間的連接經(jīng)常被設(shè)計(jì)成冗余的物理連接，這就需要用到介質(zhì)冗余協(xié)議 (Media ?Redundancy ?