定义 IP 数据**滤规则

时间：2021-07-19作者：上海腾希电气技术有限公司浏览：112

定义 IP 数据**滤规则



含义

利用 IP 数据**滤规则，可根据 IP 帧（如 TCP、UDP 和 ICMP）进行过滤。

在数据**滤规则中，还可以回退到 IP 服务的定义。

分配的全局防火墙规则和为 NAT/NAPT 自动生成的防火墙规则会显示为规则集的形式。

菜单栏的操作员控制

菜单栏的操作员控制具有以下功能：

操作员控制元素	功能
	启用防火墙 启用 IP 规则编辑器。如果编辑器已启用，相应的规则可进行组态，并会在加载过程中传送到模块。
	上插规则 将规则插入到所选规则/所选规则集上方。要上插规则集，则必须选中其**行。
	下插规则 将规则插入到所选规则/所选规则集下方。要下插规则集，则必须选中其**行。
	上移 将所选规则/所选规则集上移一行。要移动规则集，则必须选中其**行。
	下移 将所选规则/所选规则集下移一行。要移动规则集，则必须选中其**行。
	展开规则集 展开显示现有规则集。
	折叠规则集 折叠显示现有规则集。
	分离 将所选行转换为单独的一条或多条规则。如果选择的是规则集的**行，则规则集的所有规则都会转换为单独的规则。如果选择的是规则集中包含的一个规则，则该规则会转换为一条单独的规则。除此之外，规则集的以下规则也会转换为一个单独的规则集。

高级 IP 规则编辑器

选择 IP 规则后，在巡视窗口的“常规 > IP 规则”(General > IP rules) 中会显示高级 IP 规则编辑器，用于 IP 规则的简单组态。在该编辑器中进行的更改会应用到所选 IP 规则中。

在高级 IP 规则编辑器中定义 IP 规则

可以组态以下参数：

列表: IP 规则编辑器中的参数

参数	含义/注释	可用选项/值范围
常规
编号 (Number)	为规则自动分配的编号。移动规则时将重新计算编号。
注释 (Comment)	用于解释规则的空间	若注释标记为“AUTO”，则该注释是为自动连接规则创建的注释。对于已创建的规则，可选择输入注释。
IP 规则 (IP rules)
操作 (Action)	允许/禁止（启用/阻止）	Accept 允许符合定义的帧。 Drop 阻止符合定义的帧。 Reject 帧被拒绝，并且发送方收到相应消息。 对于因组态连接而自动生成且随后手动进行调整的防火墙规则： Accept* Drop* 如果更改自动创建的连接规则，选择“*”选项后，STEP 7 将不会重新创建并覆盖这些规则。
自/至 (From/To)	选择规则适用的通信方向。	在单独的部分中介绍。 对于 SCALANCE S 模块：IP 数据**滤方向 SCALANCE S 对于 S7-300/S7-400/PC CP：S7-300-/S7-400-/PC-CP IP 数据**滤方向 对于 S7-1200/S7-1500 CP：S7-1200/S7-1500 CP 的 IP 数据**滤方向 通信方向“站”包含 CP 的访问以及通过 CP 对 CPU 的访问。 通信方向“任意”包含加载时安全模块支持的所有防火墙方向。 默认情况下，通信方向“站”、“背板总线”（** CP 1543-1 V2.1 及更高版本，并且带有选项“通信模块间 IP 路由”(IP routing between communications modules)）和“隧道”归类为受信任通信。对于受信方向之间的通信，*组态防火墙规则。
源 IP 地址 (Source IP address)	如果发送方在此处*帧的 IP 地址，则防火墙规则适用于这些帧。如果不* IP 地址，则防火墙规则适用于“自”(From) 列中选择的通信方向上的所有节点。	在编辑器中，可在“起始地址”(From) 和“结束地址”(To) 列的文本框中组态地址范围。如果为一个 IP 规则组态了多个地址范围，每种情况下的地址数必须匹配。组态地址范围后，STEP 7 会通过所选 IP 规则（包含每个地址的对应 IP 规则）创建一个 IP 规则集。 有关 IP 地址的其它信息，请参见“IP 数据**滤器规则中的 IP 地址”部分。 幻象模式下的组态选项（仅适用于 SCALANCE S S602 V3.1 及更高版本）： 如果已激活幻象模式，则内部节点的 IP 地址将由安全模块在运行时动态决定。根据所选方向，可以在“源 IP 地址”(Source IP address) 列（“从内到外”方向）或“目标 IP 地址”(Destination IP address) 列（“从外到内”方向）中选择下列选项之一。 内部节点的 IP 地址：由 SCALANCE S 将内部节点的 IP 地址插入到防火墙规则中。 限制广播：而是由 SCALANCE S 将广播 IP 地址 255.255.255.255 插入到防火墙规则中。 定向广播：由 SCALANCE S 将 SCALANCE S 网络的广播 IP 地址插入到防火墙规则中。也可以通过路由器将定向广播转发到目标网络中。 组播：由 SCALANCE S 将组播地址段 224.0.0.0 /24 插入到防火墙规则中。选择该选项后，还可以*来自组播地址段的特定组播 IP 地址。
目标IP 地址 (Dest. IP address)	如果接收方在此*帧的 IP 地址，则防火墙规则适用于这些帧。如果不* IP 地址，则防火墙规则适用于“至”(To) 列中选择的通信方向上的所有节点。
其它设置 (Additional settings)
服务	可供使用的 IP/ICMP 服务或服务组的选项。 注意：使用预定义服务前，请确保其预定义参数符合您的要求。特别注意预定义源和目标端口。	选中后，将打开一个窗口，其中显示所有预定义的和组态的 IP 服务、ICMP 服务和服务组。这些服务和服务组在全局安全功能下的“防火墙 > 服务 > 为 IP 规则定义服务”(Firewall > Services > Define services for IP rules) 中进行管理。
传输速度 (Mbps) (Transmission speed (Mbps))	传输速度限制 只有选择“Accept”操作时才能输入。 如果符合 Accept 规则且未**出该规则允许的传输速度，则数据包可通过防火墙。	CP 343-1 Adv. / CP 443-1 Adv.、S7-1200-/S7-1500-CPs、CP 1628：0.001 ... 100 Mbps SCALANCE S：0.001 ... 1000 Mbps 对于全局和用户特定的规则：0.001 ... 1000 Mbps 对于具有方向“背板总线”的 IP 规则：0.001 ... 1 Mbps 注意：如果在防火墙规则中为 S7-1200/S7-1500 CP 组态了方向“从隧道到工作站”(From tunnel to station)，则无法*任何传输速度限制。 对于 CP 1543-1 V2.1，如果为两个方向之一组态了“任意”，则只能*一个传输速度限制。这不适用于方向“任意”和“站”的组合。
记录 (Logging)	启用和禁用对该规则的记录。如果启用了记录功能，则将应用在本地安全设置中组态的数据**滤记录功能设置。	启用 禁用（默认）
编号 (Number)	为规则自动分配的编号。移动规则时将重新计算编号。
状态 (Stateful)	如果通过“Accept”操作取消选中 IP 规则的这一复选框，则 Accept 规则适用的所有数据包均不会生成防火墙状态。防火墙状态会自动让所允许数据包的响应通过。 只有选择“Accept”该操作，才能进行修改。仅 SCALANCE S 模块（V3 及更高固件版本）支持无防火墙状态 IP 规则组态。如果还要允许按照该 IP 规则通过防火墙的数据包的响应通过，则需要针对上述响应组态附加的 IP 规则。	对于 SCALANCE S V3 及更高版本的 Accept 规则： 启用（默认） 禁用 对于 SCALANCE S V3 之前版本和 CP 的 Accept 规则： 启用（默认） 注意：CP 不显示此复选框；但始终会隐式使用激活的选项以允许 CP 的 Accept 规则。 对于 Drop 规则： 禁用（默认）
要创建的副本数 (Number of copies to create)	复制所选 IP 规则。	选择复制所选规则的频率，然后单击“创建副本”(Create copies) 按钮。

列表: 快捷菜单中各条目的含义

快捷菜单中的条目	含义
上插规则	使用此选项可将规则插入到所选规则上方。
下插规则	使用此选项可将规则插入到所选规则下方。
删除 (Delete)	删除所选规则。
另存为全局规则集 (Save as global rule set)	复制所选防火墙规则，并将其作为全局防火墙规则集插入全局安全功能中。当前为安全模块组态的防火墙组态将不受此步骤的影响。
上移 (Move up)	使用此项可在列表中将所选规则向上移动一个位置。或者，通过拖放的方式移动所选规则。您可以选择多个条目。 这意味着将以更高的**级处理移动的规则。
下移 (Move down)	使用此项可将所选规则向下移动。或者，通过拖放的方式移动所选规则。您可以选择多个条目。 这将导致以更低的**级处理移动的规则。
为 IP 规则定义服务 (Define service for IP rules)	打开一个对话框，可在其中管理 IP 服务和服务组。


上海腾希电气技术有限公司专注于西门子PLC,V90伺服,V20变频器等, 欢迎致电 13681875601

• 词条

  词条说明

• 安全指南

  安全指南安全指南本帮助手册包含的安全声明必须遵循，以确保您的人身安全和避免财产损失。 人身安全的提示用一个警告三角表示，仅与财产损失有关的提示不带警告三角。 警告提示根据危险等级由高到低如下表示。危险表示如果不采取适当的预防措施，将导致死亡或严重的人身伤害。警告表示如果不采取适当的预防措施，可能会导致死亡或严重的人身伤害。小心带有警告三角，表示如果不采取适当的预防措施，可能会造成轻微的人身伤害。注

• 路由设置概述

  路由设置概述含义如果在路由模式下运行安全模块，则连接到内部接口和外部接口的网络将转换为单独的子网。无论何种模式，DMZ 接口（仅适用于 SCALANCE S623/S627-2M）均以路由模式连接。路由模式下，将转发用于子网中现有 IP 地址的帧。同时将应用该传输方向的防火墙规则。可使用以下附加选项：设置特定路由 - 可以在本地安全设置中的“路由”(Routing)（仅 SCALANCE S）下进

• Runtime Professional 的操作注意事项

  Runtime Professional 的操作注意事项内容在线帮助中未包含的信息和有关产品功能的重要信息。操作系统中的用户授权必须将所有用户都添加到“SIMATIC HMI”用户组。这也适用于要远程打开 WinCC 项目的用户。项目存储文件夹必须有 NTFS 授权，“SIMATIC HMI”有完全访问权限并且“SIMATIC HMI Viewer”有读取权限。所有从属对象都必须继承该授权。锁定快

• 循环 OB

  循环 OB说明用户程序的本质就是循环程序。 并循环执行相关的程序部分： 该过程执行之后，操作系统将再次开始执行。循环程序可以有一个或多个循环 OB。 这些 OB 的**级为 1，是所有 OB 中**级较低的。 任何其它事件类别的事件都可以中断循环程序。如果创建了多个程序循环 OB，将按照这些 OB 的编号依次进行调用。 首先调用 OB 编号较小的程序循环 OB。下列事件可启动循环程序：启动处理结束