西门子工业自动化中国一级经销商
提供西门子G120、G120C V20 变频器; S120 V90 伺服控制系统;6EP电源;电线;电缆;
网络交换机;工控机等工业自动化的设计、技术开发、项目选型安装调试等相关服务。西门子中国有限公司授权合作伙伴——湖南西控自动化设备有限公司,作为西门子中国有限公司授权合作伙伴,湖南西控自动化设备有限公司代理经销西门子产品供应全国,西门子工控设备包括S7-200SMART、S7-200CN、S7-300、S7-400、S7-1200、S7-1500、S7-ET200SP等各类工业自动化产品。公司国际化工业自动化科技产品供应商,是专业从事工业自动化控制系统、机电一体化装备和信息化软件系统
集成和硬件维护服务的综合性企业。
西门子中国授权代理商——湖南西控自动化设备有限公司,本公司坐落于湖南省中国(湖南)自由贸易试验区长沙片区开元东路 1306 号开
阳智能制造产业园一期 4 栋 30市内外连接,交通十分便利。
建立现代化仓
储基地、积累充足的产品储备、引入万余款各式工业自动化科技产品,我们以持续的卓越与服务,取得了年销
售额10亿元的佳绩,凭高满意的服务赢得了社会各界的好评及青睐。与西门子品牌合作,只为能给中国的客户提供值得信赖的服务体系,我们
的业务范围涉及工业自动化科技产品的设计开发、技术服务、安装调试、销售及配套服务领域。
仅激活使用设备所需的协议。 • 通过访问控制列表 (ACL) 中的规则限制对设备管理的访问。 • VLAN 结构化选项可针对DoS 攻击和未经授权的访问提供保护。请检查该功能在您的环 境下是否实用或有效。 •通过中央记录服务器对更改和访问进行记录。在受保护的网络区域内运行记录服务器,并 定期检查记录信息。 验证 说明 可访问性风险 -数据损失风险 请勿丢失设备的密码。只能通过将设备复位为出厂设置(这会完全删除所有组态数据)来恢 复对设备的访问。 •使用设备之前,请更换所有用户帐户、访问模式和应用程序(如适用)的默认密码。 • 定义密码分配规则。 •使用密码强度高的密码。避免使用密码强度弱的密码(如,password1、、abcdefgh)或重复字符(如,abcabc)。 此建议也适用于对设备组态的对称密码/密钥。 •确保密码受保护且只透露给授权的人员。 • 请勿对多个用户名和系统使用相同的密码。 •将密码存储在安全位置(非在线),以便在丢失时使用。 • 定期更改密码以**安全性。 •如果已知或者疑似有未经授权的人员知道了密码,则必须更改密码通过 RADIUS执行用户验证时,请确保所有通信均在安全环境中进行或均受到安全通道的 保护。 • 注意在端点之间不提供自身验证的链路层协议,例如 ARP或 IPv4。攻击者可利用这些协 议中的漏洞来攻击连接到您的第 2 层网络的主机、交换机和路由器,例如,通过操纵子 网中系统的 ARP缓存或使其中毒并随后拦截数据**。对于非安全第 2 层协议,必须采取适当的安全措施,以防对网络进行未经授权的访问。对本地网络的物理访问可以是安 全的,也可以使用更高层的协议。 证书和密钥 •设备中有一个密钥长度为 2048 位的预设 SSL/TLS (RSA) 证书。将此证书替换为用户生成的含密钥高质量证书。使用由可靠外部或内部认证机构签署的证书。可通过 WBM (“System > Load andSave”)安装证书。 • 使用密钥长度为 4096 位的证书。 • 使用认证机构,包括密钥撤销与管理,来签署证书。 •确保用户自定义的私人密钥都受到保护,未授权人员无法访问。 • 如果存在可疑的安全违规,请立即更改所有证书和密钥。 • 使用“PKCS#12”格式的具有密码保护的证书。 • 基于服务器和客户端侧的指纹验证证书,避免“中间人”攻击。为此,请使用第二条安 全传输路径。 •将设备送至 Siemens 进行维修之前,请使用临时的一次性证书和密钥替换当前证书和密钥,这些证书和密钥在设备返厂时会被销毁。 务 •应避免使用或禁用非安全协议或服务,例如,HTTP、Telnet 和 TFTP。由于历史原因,这些协议可用,但并不适用于安全应用。请慎重对设备使用非安全协议。 • 检查是否有必要使用以下协议和服务: – 未验证和未加密的端口 –MRP、HRP – IGMP 监听 – LLDP – DCP – Syslog – RADIUS – DHCP 选项 66/67 –TFTP – GMRP 和 GVRP • 以下协议具有安全备选方法: – HTTP → HTTPS – Telnet → SSH –SNMPv1/v2c → SNMPv3 检查是否有必要使用 SNMPv1/v2c。SNMPv1/v2c的分类为非安全协议。使用阻止写访 问的选项。设备会为您提供适合的设置选项。 如果 SNMP已启用,请更改团体名称。如果不需要不受限制的访问,请通过 SNMP 限 制访问。 使用 SNMPv3 的验证和加密机制。 – TFTP→ SFTP – NTP → NTPsecure • 在物理保护措施未阻止设备访问时使用安全协议。 •如果需要非安全协议和服务,请仅在受保护的网络区域内运行该设备。 • 将可用于外部的服务和协议限制到*少。 • 如果使用 RADIUS来管理对设备的访问,需激活安全协议和服务。 接口安全性 • 禁用不使用的接口。 • 使用 IEEE 802.1X 进行接口认证。 •使用“锁定端口”(Locked Ports) 功能阻断未知节点的接口。使用接口的配置选项,例如“边缘类型”(Edge Type)。 •组态接收端口,以便丢弃所有无标记帧(“**带标记的帧”(Tagged frames Only))。 3.2 可用服务以下是所有可用服务及其端口的列表,通过这些服务和端口可对设备进行访问。 该表包括以下列: • 服务 设备支持的服务 • 默认端口状态此为交付状态(出厂设置)下的端口状态。 • 可组态端口/服务 指示是否可通过 WBM/CLI 组态端口号或服务。 • 身份验证指定是否对通信伙伴进行验证。 如果可选,可根据需要组态验证。 • 加密 指定传输是否加密。 如果可选,可根据需要组态加密。以下是所有可用协议和服务以及用于访问设备的相应端口的列表。 协议 协议/ 端口号 默认端口状 端口号可通过 WBM组态。 2) 服务默认禁用。 3) 仅只读访问。 4) 协议符合默认安全。 5) 此端口默认关闭,并在组态了 RADIUS服务器时显示。端口号可通过 WBM 组态。 6) 有关使用的加密方法的更多信息,请参见 WBM 附录中的“使用的加密方法”。以下是所有可用第 2 层服务的列表,通过这些服务可对设备进行访问该表包括以下列: • 第 2 层服务 设备支持的第 2 层服务。 •默认状态 服务的默认状态(打开或关闭)。 • 服务可组态 指示是否可通过 WBM/CLI 组态服务。 第 2 层服务 默认值 状态服务可组态 DCP 设置模式Pv6 IP 组态 • DHCP 服务器 • 手册 • 无状态地址自动配置 (SLAAC):采用NDP(邻居发现 协议)的无状态自动组态 – 为各个在链路中无需路由器的接口创建链路本地 地址。 –检查在链路中无需路由器的链路地址的唯一性。 – 指定是否通过无状态机制、有状态机制或两种机 制获得全局地址。(在链路中需要路由器。)• 手册 • DHCPv6(有状态) 可用 IP 地址 32 位:4.29 * 109 个地 址 128 位:3.4 * 1038个地址 地址格式 十进制: 端口为: :20 十六进制:2a00:ad80::0123端口为:[2a00:ad80::0123]:20 回送 127.0.0.1 ::1 接口的 IP 地址 5 个 IP 地址 多个 IP地址 • LLA:每个接口的链路本地地址(自动形成) fe80::/128 • ULA:每个接口的多个唯一本地单播地址 •GUA:每个接口的多个全局单播地址 标头 • 校验和 • 可变长度 • 报头分片 • 无安全性 • 在较高层检查 • 固定大小 •扩展报头分片 分片 主机和路由器 仅通信的端点 服务质量 服务类型 (ToS) 的优先 级 在报头字段“TrafficClass”中指定优先级。组播、单播、任播 DHCP 客户端/服务器的标识 客户端 ID: • MAC 地址 • DHCP 客户端ID • 系统名称 • PROFINET 站名称 • IAID 和 DUID DUID + IAID 恰好为主机的一个接口 DUID= DHCP 唯一标识符 服务器和客户端的唯一标识符 IAID = 身份关联标识符 每个接口至少有一个由客户端生成,且在 DHCP客户端 重新启动时保持不变 获取 DUID 的三种方法 • DUID-LLT • DUID-EN • DUID-LL DHCP 通过UDP 广播 通过 UDP 单播 RFC 3315、RFC 3363 有状态的 DHCPv6 有状态组态,在其中传送 IPv6地址和组态设置。 客户端和服务器之间交换以下四种 DHVPv6 消息: 1. SOLICIT: 由 DHCPv6 客户端发送,用于定位DHCPv6 服务器。 2. ADVERTISE 可用的 DHCPv6 服务器对此做出应答。 3. REQUEST DHCPv6客户端从 DHCPv6 服务器请求 IPv6 地址和 组态设置。 4. REPLY DHCPv6 服务器发送 IPv6地址和组态设置。 如果客户端和服务器支持“Rapid commit”功能,本步骤 将缩短为两种 DHCPv6 消息 SOLICIT 和REPLY。 无状态 DHCPv6 在无状态 DHCPv6 中,仅传送组态设置。 前缀代理 DHCPv6 服务器将 IPv6前缀的分配委托给 DHCPv6 客户 端。DHCPv6 客户端也称为 PD 路由器。 硬件地址中 IP 地址的解析ARP(地址解析协议)