SCALANCE W 網(wǎng)絡(luò)安全功能

時(shí)間：2021-10-26作者：上海騰希電氣技術(shù)有限公司瀏覽：579

無(wú)線網(wǎng)絡(luò)技術(shù)提供了使用網(wǎng)絡(luò)的便捷性和移動(dòng)性，給復(fù)雜的工業(yè)控制網(wǎng)絡(luò)連接提供了靈活的連接方式。但WLAN在工業(yè)控制場(chǎng)合與在辦公室中有很大的不同，這就要求工業(yè)無(wú)線局域網(wǎng)IWLAN，有著可靠，耐用，安全等特點(diǎn)。西門子無(wú)線產(chǎn)品SCALANCE W具備上述的特點(diǎn)，越來(lái)越多的工業(yè)控制場(chǎng)合使用SCALANCE W構(gòu)建無(wú)線工業(yè)局域網(wǎng)，滿足工業(yè)設(shè)備高速穩(wěn)定靈活的通訊。
工業(yè)無(wú)線控制場(chǎng)合，信息安全是非常重要的要求。無(wú)線局域網(wǎng)絡(luò)由于是通過(guò)無(wú)線信號(hào)來(lái)傳送數(shù)據(jù)的，無(wú)線信號(hào)在**出去之后就無(wú)法控制其在空間中的擴(kuò)散，因而任何具有合適接收設(shè)備的人都可以捕獲該頻率的信號(hào)，進(jìn)而進(jìn)入目標(biāo)網(wǎng)絡(luò)。除非訪問(wèn)者及設(shè)備的身份驗(yàn)證和授權(quán)機(jī)制足夠健全，這樣任何具有兼容的無(wú)線網(wǎng)卡的用戶就可以訪問(wèn)該網(wǎng)絡(luò)。 如果不進(jìn)行有效的數(shù)據(jù)加密，無(wú)線數(shù)據(jù)就以明文方式發(fā)送，這樣在某個(gè)無(wú)線訪問(wèn)點(diǎn)的信號(hào)有效距離之內(nèi)的任何人都可以檢測(cè)和接收往來(lái)于該無(wú)線訪問(wèn)點(diǎn)的所有數(shù)據(jù)。黑客不需要攻進(jìn)內(nèi)部的有線網(wǎng)絡(luò)就能輕而易舉地在無(wú)線局域網(wǎng)信號(hào)覆蓋的范圍內(nèi)通過(guò)無(wú)線客戶端設(shè)備接入網(wǎng)絡(luò)。只要能破解無(wú)線局域網(wǎng)的不安全的相關(guān)安全機(jī)制就能徹底攻陷企業(yè)生產(chǎn)的局域網(wǎng)絡(luò)，導(dǎo)致影響工業(yè)控制，造成產(chǎn)品生產(chǎn)中斷，甚至人員傷亡。
為了保證無(wú)線網(wǎng)絡(luò)的安全，西門子SCALANCE W通過(guò)安全向?qū)Ш桶踩x項(xiàng)提供了多種方式來(lái)保證IWLAN的信息安全，**工業(yè)控制的穩(wěn)定和安全。下面主要介紹保護(hù)SCALANCE W無(wú)線網(wǎng)絡(luò)安全需要采取的基本安全措施。


1 訪問(wèn)協(xié)議控制
用戶登陸無(wú)線產(chǎn)品有多種協(xié)議支持方式，例如PING，SNMP和Telnet等協(xié)議。如圖3 - 1所示，可以禁止一些協(xié)議來(lái)滿足安全要求。在SCALANCE W中可以通過(guò)System標(biāo)簽下的選項(xiàng)激活和禁止相應(yīng)協(xié)議的訪問(wèn)。



圖3 - 1


2 更改默認(rèn)SSID名稱與禁用SSID廣播
無(wú)線設(shè)備有一個(gè)出廠前的SSID（服務(wù)組標(biāo)識(shí)符）設(shè)置。SSID 標(biāo)識(shí)您的無(wú)線網(wǎng)絡(luò)，較長(zhǎng)不能**過(guò) 32 個(gè)字符。SCALANCE W的默認(rèn)SSID是“Siemens Wireless Network”。如果黑客事先知道這個(gè)默認(rèn)值，就可以用它接入工廠的無(wú)線網(wǎng)絡(luò)。所以將網(wǎng)絡(luò)的 SSID 改為*特的名稱，如圖3 - 2所示。


圖3 - 2

雖然修改了SSID的默認(rèn)名，但是多數(shù)無(wú)線網(wǎng)絡(luò)設(shè)備默認(rèn)啟用SSID廣播，任何人用此信息即可輕而易舉地接入您的無(wú)線網(wǎng)絡(luò)，因此較好禁用 SSID 廣播。您可能會(huì)認(rèn)為廣播 SSID 讓您通過(guò)單擊操作方便地接入網(wǎng)絡(luò)，但您可以將網(wǎng)絡(luò)上的設(shè)備配置為自動(dòng)連接到* SSID，而無(wú)須從AP廣播 SSID。如圖3 - 3所示，SCALANCE W支持禁止SSID廣播，啟用禁止SSID廣播，這樣只有知道該SSID的Client才能訪問(wèn)AP，通過(guò)這種簡(jiǎn)單的方法可以保護(hù)SCALANCE W無(wú)線網(wǎng)絡(luò)的非授權(quán)的訪問(wèn)


圖3 - 3

3 更改管理員或用戶默認(rèn)密碼
對(duì)于無(wú)線產(chǎn)品（例如AP和客戶端）來(lái)說(shuō)，需要輸入用戶名和密碼才能更改設(shè)置。這些設(shè)備有出廠前的默認(rèn)密碼。SCALANCE W產(chǎn)品的用戶名和默認(rèn)密碼是 admin。黑客知道用戶名和默認(rèn)密碼，會(huì)嘗試用該密碼訪問(wèn)您的無(wú)線設(shè)備、更改您的網(wǎng)絡(luò)設(shè)置。要防止任何未經(jīng)授權(quán)的更改，修改設(shè)定設(shè)備的密碼，密碼要難以被人猜出。SCALANCE W的密碼較長(zhǎng)不能**過(guò)31個(gè)字符?？梢杂袛?shù)字、字符和一些特殊字符組成。如圖3 - 4所示，可以通過(guò)這個(gè)界面配置用戶和管理員的密碼。



圖3 - 4


4 使用ACL協(xié)議

4.1 概述
ACL即是Access Control List——訪問(wèn)控制列表。訪問(wèn)控制列表是交換機(jī)、路由器及*墻中的常用技術(shù)，常用來(lái)根據(jù)事先設(shè)定的訪問(wèn)控制規(guī)則，過(guò)濾某些特定MAC地址、IP地址、協(xié)議類型、服務(wù)類型的的數(shù)據(jù)包，合法的允許通過(guò)，不合法的阻截并丟棄。 訪問(wèn)控制列表技術(shù)是**濾*墻的基礎(chǔ)技術(shù)，但是在*墻和交換機(jī)、路由器中，默認(rèn)的轉(zhuǎn)發(fā)和攔截規(guī)則是不一樣的。SCALANCE W 也支持訪問(wèn)控制列表功能ACL，通過(guò)配置MAC地址和訪問(wèn)權(quán)限來(lái)實(shí)現(xiàn)。每個(gè)網(wǎng)絡(luò)設(shè)備客戶端都有一的標(biāo)識(shí)——MAC 地址。啟用 MAC 地址過(guò)濾功能，只有特定 MAC 地址的無(wú)線設(shè)備提供無(wú)線網(wǎng)絡(luò)訪問(wèn)許可。例如，可以*只讓工廠內(nèi)的客戶端訪問(wèn)無(wú)線網(wǎng)絡(luò)。這樣黑客很難用隨機(jī)的 MAC 地址訪問(wèn)您的網(wǎng)絡(luò)。同時(shí)SCALANCE W配備了兩種密鑰的驗(yàn)證，一種是默認(rèn)密鑰，另外一種是私鑰。

4.2 網(wǎng)絡(luò)拓?fù)鋱D



圖3 - 5：網(wǎng)絡(luò)拓?fù)鋱D
 

4.3 網(wǎng)絡(luò)組態(tài)及參數(shù)設(shè)置

PG/PC1與PG/PC2通過(guò)各自的無(wú)線網(wǎng)卡與AP通過(guò)基礎(chǔ)架構(gòu)方式相連接。根據(jù)圖3 - 5的網(wǎng)絡(luò)拓?fù)鋱D設(shè)置PG/PC的IP地址，使用PST軟件設(shè)置SCALANCE W788的IP地址。另外可以使用PG/PC通過(guò)IE瀏覽器來(lái)直接連接調(diào)試SCALANCE W模塊。其中PG/PC1的MAC地址為 00-11-25-12-7B-1F；PG/PC2的MAC地址為 00-0C-F1-5C-83-03。相應(yīng)的IP地址參考ACL組態(tài)圖。通過(guò)SCALANCE W788組態(tài)設(shè)置ACL，察看PG/PC1對(duì)PG/PC2的訪問(wèn)。
如圖3 - 6所示通過(guò)IE瀏覽器打開(kāi)SCALANCE W的網(wǎng)頁(yè)，輸入用戶名和密碼，均為“admin”。在Security——>ACL標(biāo)簽下，點(diǎn)擊New按鈕，把管理員PG/PC1的無(wú)線網(wǎng)卡MAC地址輸入到ACL列表中。選擇允許操作。



圖3 - 6

如圖3 - 7所示，把黑客PG/PC2的無(wú)線網(wǎng)卡MAC地址輸入到ACL列表中，選擇拒絕操作。



圖3 - 7

如圖3 - 8所示，設(shè)置使能菜單后，點(diǎn)擊Set Values按鈕。然后重新啟動(dòng)SCALANCE W。



圖3 - 8

通過(guò)對(duì)SCALANCE W的訪問(wèn)控制列表進(jìn)行設(shè)置，使得只有管理員PG/PC1的無(wú)線網(wǎng)卡可以訪問(wèn)SCALANCE W。來(lái)自于黑客PG/PC2的無(wú)線網(wǎng)卡被拒絕訪問(wèn)SCALANCE W。


5 使用驗(yàn)證和加密功能

5.1 概述

有線等效私有協(xié)議 (WEP) 和 Wi-Fi 保護(hù)訪問(wèn) (WPA) 為無(wú)線通信提供不同級(jí)別的安全保護(hù)。WPA 被公認(rèn)為比 WEP 安全，因?yàn)樗脛?dòng)態(tài)密鑰加密。當(dāng)需要較高的安全級(jí)別時(shí)，應(yīng)當(dāng)啟用網(wǎng)絡(luò)設(shè)備支持的**加密機(jī)制。
SCALANCE W通過(guò)授權(quán)和加密機(jī)制對(duì)無(wú)線網(wǎng)絡(luò)提供全面的保護(hù)。SCALANCE W提供了Shared-key，WPA-PSK，802.1X，WPA2-PSK，WPA2，WPA-Auto-PSK和WPA-Auto等驗(yàn)證方式。并且提供了WEP，TKIP和AES等加密機(jī)制。相應(yīng)的加密機(jī)制與授權(quán)方式配合使用。

5.2 網(wǎng)絡(luò)拓?fù)鋱D



圖3 - 9：網(wǎng)絡(luò)拓?fù)鋱D
 

5.3 網(wǎng)絡(luò)組態(tài)及參數(shù)設(shè)置

PG/PC與SCALANCE W的以太網(wǎng)端口相連，根據(jù)圖3 - 9的網(wǎng)絡(luò)拓?fù)鋱D設(shè)置PG/PC的IP地址，使用PST軟件設(shè)置SCALANCE W788的IP地址。另外可以使用PG/PC通過(guò)IE瀏覽器來(lái)直接連接調(diào)試SCALANCE W模塊。
如圖3 - 10所示，在作為AP的SCALANCE W788的Security——>Basic WLAN標(biāo)簽下，設(shè)置驗(yàn)證方式為WPA/WPA2-AUTOPSK，加密機(jī)制選擇AUTO，既可以是AES也可以是TKIP，最后設(shè)置有一定復(fù)雜程度的密碼，點(diǎn)擊Set Values完成設(shè)置。這時(shí)AP就啟用了**的網(wǎng)絡(luò)安全功能。


圖3 - 10

使用PG/PC的無(wú)線網(wǎng)卡搜索已有的無(wú)線網(wǎng)絡(luò)，發(fā)現(xiàn)設(shè)置的無(wú)線網(wǎng)絡(luò)Siemens Wireless Network的網(wǎng)絡(luò)安全功能已啟用。如圖3 - 11所示，點(diǎn)擊鏈接按鈕，彈出對(duì)話框按要求輸入密碼。


圖3 - 11

這時(shí)如圖3 - 12所示，客戶端與接入點(diǎn)AP的連接已經(jīng)建立?？蛻舳丝梢詿o(wú)線訪問(wèn)接入點(diǎn)AP。


圖3 - 12


上海騰希電氣技術(shù)有限公司專注于西門子PLC,V90伺服,V20變頻器等, 歡迎致電 13681875601

• 詞條

  詞條說(shuō)明

• Delivery Release SIMATIC WinCC V7.5 SP2 including options

  With immediate effect, SIMATIC WinCC V7.5 SP2 and SIMATIC WinCC V7.5 SP2 ASIA are available including all option packages.With immediate effect,?SIMATIC WinCC V7.5 SP2?and?SIMATIC WinCC

• 數(shù)據(jù)點(diǎn)索引

  數(shù)據(jù)點(diǎn)索引組態(tài)數(shù)據(jù)點(diǎn)索引以下所述是為各協(xié)議類型組態(tài)數(shù)據(jù)點(diǎn)索引的規(guī)則。未針對(duì) ST7 協(xié)議組態(tài)數(shù)據(jù)點(diǎn)索引。TeleControl Basic在 CP 中，數(shù)據(jù)點(diǎn)類別的索引必須符合以下規(guī)則：輸入所有數(shù)據(jù)點(diǎn)類型（數(shù)字量輸入、模擬量輸入等）中類型輸入的數(shù)據(jù)點(diǎn)索引必須一。輸出-?類型輸出的數(shù)據(jù)點(diǎn)可以與類型輸入的數(shù)據(jù)點(diǎn)具有相同索引。-?類型輸出的多個(gè)數(shù)據(jù)點(diǎn)可以具有相同的索引。提示用于與其

• 關(guān)閉項(xiàng)目

  關(guān)閉項(xiàng)目步驟要關(guān)閉項(xiàng)目，請(qǐng)按以下步驟操作：在“項(xiàng)目”(Project) 菜單中，選擇“關(guān)閉”(Close) 命令。如果保存項(xiàng)目之后又進(jìn)行過(guò)更改，則會(huì)顯示一條消息。決定是否要保存更改。

• IPv6 術(shù)語(yǔ)

  IPv6 術(shù)語(yǔ)網(wǎng)絡(luò)節(jié)點(diǎn)網(wǎng)絡(luò)節(jié)點(diǎn)是一種通過(guò)一個(gè)或多個(gè)接口連接至一個(gè)或多個(gè)網(wǎng)絡(luò)的設(shè)備。路由器轉(zhuǎn)發(fā) IPv6 數(shù)據(jù)包的網(wǎng)絡(luò)節(jié)點(diǎn)。主機(jī)代表 IPv6 通信關(guān)系端點(diǎn)的網(wǎng)絡(luò)節(jié)點(diǎn)。鏈路根據(jù) IPv6 術(shù)語(yǔ)，鏈路是 IPv6 網(wǎng)絡(luò)內(nèi)的* 3 層直接連接。鄰居若兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)位于同一鏈路，則稱這兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)為鄰居。IPv6 接口激活 IPv6 的物理接口或邏輯接口。路徑 MTU從發(fā)送方到接收方的路徑上允許的較大數(shù)據(jù)包