SCALANCE W 網(wǎng)絡(luò)安全功能

時間：2021-10-26作者：上海騰希電氣技術(shù)有限公司瀏覽：590

無線網(wǎng)絡(luò)技術(shù)提供了使用網(wǎng)絡(luò)的便捷性和移動性，給復(fù)雜的工業(yè)控制網(wǎng)絡(luò)連接提供了靈活的連接方式。但WLAN在工業(yè)控制場合與在辦公室中有很大的不同，這就要求工業(yè)無線局域網(wǎng)IWLAN，有著可靠，耐用，安全等特點。西門子無線產(chǎn)品SCALANCE W具備上述的特點，越來越多的工業(yè)控制場合使用SCALANCE W構(gòu)建無線工業(yè)局域網(wǎng)，滿足工業(yè)設(shè)備高速穩(wěn)定靈活的通訊。
工業(yè)無線控制場合，信息安全是非常重要的要求。無線局域網(wǎng)絡(luò)由于是通過無線信號來傳送數(shù)據(jù)的，無線信號在**出去之后就無法控制其在空間中的擴(kuò)散，因而任何具有合適接收設(shè)備的人都可以捕獲該頻率的信號，進(jìn)而進(jìn)入目標(biāo)網(wǎng)絡(luò)。除非訪問者及設(shè)備的身份驗證和授權(quán)機(jī)制足夠健全，這樣任何具有兼容的無線網(wǎng)卡的用戶就可以訪問該網(wǎng)絡(luò)。 如果不進(jìn)行有效的數(shù)據(jù)加密，無線數(shù)據(jù)就以明文方式發(fā)送，這樣在某個無線訪問點的信號有效距離之內(nèi)的任何人都可以檢測和接收往來于該無線訪問點的所有數(shù)據(jù)。黑客不需要攻進(jìn)內(nèi)部的有線網(wǎng)絡(luò)就能輕而易舉地在無線局域網(wǎng)信號覆蓋的范圍內(nèi)通過無線客戶端設(shè)備接入網(wǎng)絡(luò)。只要能破解無線局域網(wǎng)的不安全的相關(guān)安全機(jī)制就能徹底攻陷企業(yè)生產(chǎn)的局域網(wǎng)絡(luò)，導(dǎo)致影響工業(yè)控制，造成產(chǎn)品生產(chǎn)中斷，甚至人員傷亡。
為了保證無線網(wǎng)絡(luò)的安全，西門子SCALANCE W通過安全向?qū)Ш桶踩x項提供了多種方式來保證IWLAN的信息安全，**工業(yè)控制的穩(wěn)定和安全。下面主要介紹保護(hù)SCALANCE W無線網(wǎng)絡(luò)安全需要采取的基本安全措施。


1 訪問協(xié)議控制
用戶登陸無線產(chǎn)品有多種協(xié)議支持方式，例如PING，SNMP和Telnet等協(xié)議。如圖3 - 1所示，可以禁止一些協(xié)議來滿足安全要求。在SCALANCE W中可以通過System標(biāo)簽下的選項激活和禁止相應(yīng)協(xié)議的訪問。



圖3 - 1


2 更改默認(rèn)SSID名稱與禁用SSID廣播
無線設(shè)備有一個出廠前的SSID（服務(wù)組標(biāo)識符）設(shè)置。SSID 標(biāo)識您的無線網(wǎng)絡(luò)，較長不能**過 32 個字符。SCALANCE W的默認(rèn)SSID是“Siemens Wireless Network”。如果黑客事先知道這個默認(rèn)值，就可以用它接入工廠的無線網(wǎng)絡(luò)。所以將網(wǎng)絡(luò)的 SSID 改為*特的名稱，如圖3 - 2所示。


圖3 - 2

雖然修改了SSID的默認(rèn)名，但是多數(shù)無線網(wǎng)絡(luò)設(shè)備默認(rèn)啟用SSID廣播，任何人用此信息即可輕而易舉地接入您的無線網(wǎng)絡(luò)，因此較好禁用 SSID 廣播。您可能會認(rèn)為廣播 SSID 讓您通過單擊操作方便地接入網(wǎng)絡(luò)，但您可以將網(wǎng)絡(luò)上的設(shè)備配置為自動連接到* SSID，而無須從AP廣播 SSID。如圖3 - 3所示，SCALANCE W支持禁止SSID廣播，啟用禁止SSID廣播，這樣只有知道該SSID的Client才能訪問AP，通過這種簡單的方法可以保護(hù)SCALANCE W無線網(wǎng)絡(luò)的非授權(quán)的訪問


圖3 - 3

3 更改管理員或用戶默認(rèn)密碼
對于無線產(chǎn)品（例如AP和客戶端）來說，需要輸入用戶名和密碼才能更改設(shè)置。這些設(shè)備有出廠前的默認(rèn)密碼。SCALANCE W產(chǎn)品的用戶名和默認(rèn)密碼是 admin。黑客知道用戶名和默認(rèn)密碼，會嘗試用該密碼訪問您的無線設(shè)備、更改您的網(wǎng)絡(luò)設(shè)置。要防止任何未經(jīng)授權(quán)的更改，修改設(shè)定設(shè)備的密碼，密碼要難以被人猜出。SCALANCE W的密碼較長不能**過31個字符?？梢杂袛?shù)字、字符和一些特殊字符組成。如圖3 - 4所示，可以通過這個界面配置用戶和管理員的密碼。



圖3 - 4


4 使用ACL協(xié)議

4.1 概述
ACL即是Access Control List——訪問控制列表。訪問控制列表是交換機(jī)、路由器及*墻中的常用技術(shù)，常用來根據(jù)事先設(shè)定的訪問控制規(guī)則，過濾某些特定MAC地址、IP地址、協(xié)議類型、服務(wù)類型的的數(shù)據(jù)包，合法的允許通過，不合法的阻截并丟棄。 訪問控制列表技術(shù)是**濾*墻的基礎(chǔ)技術(shù)，但是在*墻和交換機(jī)、路由器中，默認(rèn)的轉(zhuǎn)發(fā)和攔截規(guī)則是不一樣的。SCALANCE W 也支持訪問控制列表功能ACL，通過配置MAC地址和訪問權(quán)限來實現(xiàn)。每個網(wǎng)絡(luò)設(shè)備客戶端都有一的標(biāo)識——MAC 地址。啟用 MAC 地址過濾功能，只有特定 MAC 地址的無線設(shè)備提供無線網(wǎng)絡(luò)訪問許可。例如，可以*只讓工廠內(nèi)的客戶端訪問無線網(wǎng)絡(luò)。這樣黑客很難用隨機(jī)的 MAC 地址訪問您的網(wǎng)絡(luò)。同時SCALANCE W配備了兩種密鑰的驗證，一種是默認(rèn)密鑰，另外一種是私鑰。

4.2 網(wǎng)絡(luò)拓?fù)鋱D



圖3 - 5：網(wǎng)絡(luò)拓?fù)鋱D
 

4.3 網(wǎng)絡(luò)組態(tài)及參數(shù)設(shè)置

PG/PC1與PG/PC2通過各自的無線網(wǎng)卡與AP通過基礎(chǔ)架構(gòu)方式相連接。根據(jù)圖3 - 5的網(wǎng)絡(luò)拓?fù)鋱D設(shè)置PG/PC的IP地址，使用PST軟件設(shè)置SCALANCE W788的IP地址。另外可以使用PG/PC通過IE瀏覽器來直接連接調(diào)試SCALANCE W模塊。其中PG/PC1的MAC地址為 00-11-25-12-7B-1F；PG/PC2的MAC地址為 00-0C-F1-5C-83-03。相應(yīng)的IP地址參考ACL組態(tài)圖。通過SCALANCE W788組態(tài)設(shè)置ACL，察看PG/PC1對PG/PC2的訪問。
如圖3 - 6所示通過IE瀏覽器打開SCALANCE W的網(wǎng)頁，輸入用戶名和密碼，均為“admin”。在Security——>ACL標(biāo)簽下，點擊New按鈕，把管理員PG/PC1的無線網(wǎng)卡MAC地址輸入到ACL列表中。選擇允許操作。



圖3 - 6

如圖3 - 7所示，把黑客PG/PC2的無線網(wǎng)卡MAC地址輸入到ACL列表中，選擇拒絕操作。



圖3 - 7

如圖3 - 8所示，設(shè)置使能菜單后，點擊Set Values按鈕。然后重新啟動SCALANCE W。



圖3 - 8

通過對SCALANCE W的訪問控制列表進(jìn)行設(shè)置，使得只有管理員PG/PC1的無線網(wǎng)卡可以訪問SCALANCE W。來自于黑客PG/PC2的無線網(wǎng)卡被拒絕訪問SCALANCE W。


5 使用驗證和加密功能

5.1 概述

有線等效私有協(xié)議 (WEP) 和 Wi-Fi 保護(hù)訪問 (WPA) 為無線通信提供不同級別的安全保護(hù)。WPA 被公認(rèn)為比 WEP 安全，因為它用動態(tài)密鑰加密。當(dāng)需要較高的安全級別時，應(yīng)當(dāng)啟用網(wǎng)絡(luò)設(shè)備支持的**加密機(jī)制。
SCALANCE W通過授權(quán)和加密機(jī)制對無線網(wǎng)絡(luò)提供全面的保護(hù)。SCALANCE W提供了Shared-key，WPA-PSK，802.1X，WPA2-PSK，WPA2，WPA-Auto-PSK和WPA-Auto等驗證方式。并且提供了WEP，TKIP和AES等加密機(jī)制。相應(yīng)的加密機(jī)制與授權(quán)方式配合使用。

5.2 網(wǎng)絡(luò)拓?fù)鋱D



圖3 - 9：網(wǎng)絡(luò)拓?fù)鋱D
 

5.3 網(wǎng)絡(luò)組態(tài)及參數(shù)設(shè)置

PG/PC與SCALANCE W的以太網(wǎng)端口相連，根據(jù)圖3 - 9的網(wǎng)絡(luò)拓?fù)鋱D設(shè)置PG/PC的IP地址，使用PST軟件設(shè)置SCALANCE W788的IP地址。另外可以使用PG/PC通過IE瀏覽器來直接連接調(diào)試SCALANCE W模塊。
如圖3 - 10所示，在作為AP的SCALANCE W788的Security——>Basic WLAN標(biāo)簽下，設(shè)置驗證方式為WPA/WPA2-AUTOPSK，加密機(jī)制選擇AUTO，既可以是AES也可以是TKIP，最后設(shè)置有一定復(fù)雜程度的密碼，點擊Set Values完成設(shè)置。這時AP就啟用了**的網(wǎng)絡(luò)安全功能。


圖3 - 10

使用PG/PC的無線網(wǎng)卡搜索已有的無線網(wǎng)絡(luò)，發(fā)現(xiàn)設(shè)置的無線網(wǎng)絡(luò)Siemens Wireless Network的網(wǎng)絡(luò)安全功能已啟用。如圖3 - 11所示，點擊鏈接按鈕，彈出對話框按要求輸入密碼。


圖3 - 11

這時如圖3 - 12所示，客戶端與接入點AP的連接已經(jīng)建立?？蛻舳丝梢詿o線訪問接入點AP。


圖3 - 12


上海騰希電氣技術(shù)有限公司專注于西門子PLC,V90伺服,V20變頻器等, 歡迎致電 13681875601

• 詞條

  詞條說明

• S7-300的編程技巧

  在仿真器中顯示變量符號表現(xiàn)在輸入一個地址試試：符號表出來啦！2仿真器的單次掃描功能：3使用OB35制作一個周期時鐘脈沖：因為OB35是循環(huán)中斷功能，這里我們可以是使用OB35做一個自己的周期時鐘脈沖（放在OB35里面需要定期執(zhí)行的程序也可以這么使用）。4CPU屬性中通訊設(shè)置的注意事項：注意：當(dāng)實際連接的設(shè)備數(shù)目大于設(shè)定數(shù)目的時候，**個連接的設(shè)備會自動離線5關(guān)于符號表的導(dǎo)出（導(dǎo)出成EXCEL格式的

• SCALANCE X IPv4 地址的結(jié)構(gòu)

  IPv4 地址的結(jié)構(gòu)地址類別IP 地址范圍較大網(wǎng)絡(luò)數(shù)較大主機(jī)/網(wǎng)絡(luò)數(shù)類別CIDR1.x.x.x 至 126.x.x.x12616777214A/8128.0.x.x.x 至 191.255.x.x.x1638365534B/16192.0.0.x 至 223.255.255.x2097151254C/24224.0.0.0 - 239.255.255.255組播應(yīng)用D?240.0.0.0

• 顯示已安裝的 TIA Portal Teamcenter Gateway 軟件

  顯示已安裝的 TIA Portal Teamcenter Gateway 軟件可以隨時了解安裝了哪些軟件。此外，還將顯示有關(guān)已安裝軟件的更多信息。操作步驟要顯示已安裝軟件的概覽，請執(zhí)行以下步驟：在“幫助”(Help) 菜單中單擊“已安裝的軟件”(Installed software)?！耙寻惭b的軟件”(Installed software) 對話框隨即打開。將在對話框中看到已安裝的軟件產(chǎn)品。展開此

• 創(chuàng)建 MRP 環(huán)網(wǎng)組態(tài)

  創(chuàng)建 MRP 環(huán)網(wǎng)組態(tài)設(shè)置 R/H CPU 的 MRP 角色在 STEP?7 中創(chuàng)建了冗余系統(tǒng) S7-1500R/H 后，STEP?7 將自動為兩個 CPU 的 PROFINET 接口 X1 分配 MRP 角色“管理員（自動）”(Manager (auto))。為環(huán)網(wǎng)中的其它站點定義 MRP 角色要確定環(huán)網(wǎng)中其它站的介質(zhì)冗余，請按以下步驟操作：在 STEP?7 的網(wǎng)絡(luò)