《工业网络技术与应用（微课版）》 课件 第7、8章 工业无线网络技术、工业网络安全技术

工业控制系统与工业网络第7章工业无线网络技术7.1工业无线通信技术概述工业无线通信技术是在现有智能数字仪表和现场总线技术基础上发展起来的最新技术，它不仅能传送现场设备（如各类变送器）的检测参数的测量值信号（如压力、温度的实时测量值），还可以同时传送多种类型信息，如设备状态和诊断报警、过程变量的测量单位、回路电流和百分比范围、生产商和设备标签等。应用的行业包括石化、冶金、电力、煤炭、烟草、长距离管线、海上石油平台等各行各业。7.1工业无线通信技术概述7.1.1无线通信技术简介无线通信是利用电磁波信号在自由空间中传播的特性进行信息交换的一种通信方式。无线通信技术自身有很多优点，成本较低，无线通信技术不必建立物理线路，更不用大量的人力去铺设电缆，而且无线通信技术不受工业环境的限制，对抗环境的变化能力较强，故障诊断也较为容易，相对于传统的有线通信的设置与维修，无线网络的维修可以通过远程诊断完成，更加便捷；扩展性强，当网络需要扩展时，无线通信不需要扩展布线；灵活性强，无线网络不受环境地形等限制，而且在使用环境发生变化时，无线网络只需要做很少的调整，就能适应新环境的要求。7.1工业无线通信技术概述1.Zig-Bee技术Zig-Bee是基于IEEE802.15.4标准而建立的一种短距离、低功耗的无线通信技术。Zig-Bee来源于蜜蜂群的通信方式，由于蜜蜂（Bee）是靠飞翔和‘嗡嗡’（Zig）地抖动翅膀来与同伴确定食物源的方向、位置和距离等信息，从而构成了蜂群的通信网络。。2.蓝牙技术蓝牙（Bluetooth）最早始于1994年，由瑞典爱立信研发，截止目前为止已经更新了9个版本，通信半径从几米延伸到几十米，可实现点对点或一点对多点的无线数据和声音传输，其数据传输带宽可达1Mbps，通讯介质为频率在2.402GHz到2.480GHz之间的电磁波。蓝牙技术可以广泛应用于局域网络中各类数据及语音设备，如PC、拨号网络、笔记本电脑、打印机、传真机、数码相机、移动电话和高品质耳机等，实现各类设备之间随时随地进行通信。7.1工业无线通信技术概述3.Wi-Fi技术Wi-Fi的全称是Wireless-Fidelity，即无线保真，是无线局域网（WLAN）中的一个标准，是一种基于802.11协议的无线局域网接入技术。从1999年推出以来一直是是我们生活中较常用的访问互联网的方式之一。4.UWB技术UWB（UltraWideband，超宽带）是一种无载波通信技术，利用纳秒至微秒级的非正弦波窄脉冲传输数据。通过在较宽的频谱上传送极低功率的信号，UWB能在10米左右的范围内实现数百Mbit/s至数Gbit/s的数据传输速率。5.NFC技术NFC是一种新的近距离无线通信技术，其工作频率为13.56MHz，与目前广为流行的非接触智能卡ISO14443所采用的频率相同，这就为所有的消费类电子产品提供了一种方便的通讯方式，已经成为得到越来越多主要厂商支持的正式标准7.1工业无线通信技术概述7.1.2无线局域网（WLAN）WLAN为WirelessLAN的简称，即无线局域网。无线局域网是利用无线通信技术实现快速接入的以太网技术。主要在中短距离覆盖范围内承载高速数据业务，支持固定和移动接入。Wi-Fi是WLAN技术中一项关键技术，由“Wi-Fi联盟”所发布，其核心技术采用了电子电气工程师协会（IEEE）制定的802.11系列标准。WLAN指的是基于IEEE802.11标准并兼容有线以太网的无线局域网络。因此，无线局域网通常被称为无线以太网。在PROFINETRT、EtherNet/IP或Modbus/TCP等基于以太网的自动化网络中，通过WLAN可无线集成自动化设备。7.1工业无线通信技术概述1.WLAN的特点与优势随着各行业数字化趋势愈演愈烈，要实现行业数字化，需要强大的工业通信网络。无线局域网作为核心技术之一，代表着出色的性能和可靠性。1）多台设备构建的大型网络。WLAN具有与以太网相同的特性，即通过多台设备构建大型网络。2）漫游技术支持设备自由移动。WLAN的一个独特优势在于支持设备在网络中移动。大型WLAN网络中的设备可自由移动，从而自动切换无线连接至无线信号较佳的接入点，这一过程即为漫游。WLAN网络的无线场可通过增加接入点无限扩展。3）高性能和高可靠性新型WLAN系统符合IEEE802.11n标准，相比旧WLAN标准，提供高达数百

Mbps的数据速率，传输距离更长，稳定性更佳。7.1工业无线通信技术概述2.IEEE802.11标准IEEE802.11系列标准对各种不同的无线技术进行了规定，如表7-1所示。7.1工业无线通信技术概述7.1.3工业无线局域网（IWLAN）工业无线局域网（IndustrialWirelessLocalAreaNetwork，简称IWLAN），是一种基于无线电技术，用于工业现场和设备之间传输数据的网络。它可以提供无线通信传输，代替传统的有线网络，节省了设备布线和设备移动的时间。1.IWLAN的优势1）高灵活、易使用。2）高可靠、易维护。3）数据传输稳定。4）成本降低。7.1工业无线通信技术概述2.工业无线局域网的应用领域无线网络在工业现场主要应用在设备或环境实现物理连接困难以及技术上不允许或不希望用物理连接的场合，如移动或旋转设备、运动节点、远距离设备管理、障碍物阻隔环境、高危环境等，以弥补有线网络的不足。目前工业无线局域网已经广泛应用于以下领域：1）工业自动化由于工业自动化需要大量的无线传输数据，工业无线局域网是实现智能化和自动化的必要条件。2）机器人机器人使用工业无线局域网可以将大量数据传输到中央处理单元，实现远程操作和监控。3）物流和仓储工业无线局域网可以帮助物流和仓储企业实现设备自动化管理，包括固定和移动装置的追踪和流程优化。7.1工业无线通信技术概述3.工业WLAN与通用WLAN的比较工业WLAN比一般企业办公和家庭应用环境用的WLAN要求要高许多，可归纳如下：

（1）严格的延迟要求：用于现场设备要求延迟不大于10ms，用于运动控制不大于1ms，对于周期性的控制通信，使延迟时间的波动减至最小也是很重要的指标。

（2）确定性性能的保证：保证确定性是对任务执行有严格保证的工业通信系统必备的特性。

（3）支持大量设备挂网，并容许挂网设备的接入数量可随机变化：工业WLAN的接入点约为数百个的数量级。若节点过多和接入的节点数有变化，有可能导致IEEE802.11的MAC协议层效率太低。

（4）网络安全的保证：满足安全保密法规是工业WLAN的基本要求。包括防止黑客用户的侵入及对这些接入点的检测等。7.2工业无线网络设备工业无线通信是数字化转型的关键要素，为向企业提供交换各种数据的基础设施，西门子开发了具有特殊附加功能的专用工业无线局域网产品，以满足工业中WLAN的特殊需求。西门子工业无线通信系列产品都具备高度的可靠性、耐用性和安全性，各组件可在十分恶劣的室内和室外条件下使用。开放式工业以太网标准PROFINET或Ethernet/IP以及PROFIsafe也可确保更高的效率、灵活性和安全性。7.2工业无线网络设备7.2.1西门子SCALANCEW系列产品简介西门子SCALANCEW系列是基于IEEE802.11标准的工业无线局域网产品。具有如下优势：1.投资安全性高。所有产品都符合国际公认标准IEEE802.11，并适用于2.4GHz和5GHz。2.可节约成本。无磨损和破损，从而可节省插入式连接、电缆架等装置的维护和维修成本。3.可实现安全、可靠通信。通过PROFINET、PROFIsafe、Ethernet/IP、CIPSafety和其它自动化协议，无线传输标准信号和故障安全信号。4.高数据传输率。传输率最高可达1733Mbps，适用于要求高带宽和高网络用户密度的应用。5.可维护性强。通过KEY-PLUG或CLPiFeature扩展SCALANCEW产品的特殊工业功能，可以在发生故障时轻松更换设备。6.稳健和灵活。具有IP65防护等级的SCALANCEW设备适用于控制柜外部应用。7.2工业无线网络设备7.2.2西门子无线访问接入点和无线客户端1.西门子SCALANCEW774和W734设备简介SCALANCEW774无线接入点和SCALANCEW734无线客户端模块是为了在控制柜内部使用而开发的。它们可作为控制器或分布式I/O的头部组件，以确保可靠的无线通信。由于具有IP65防护等级，SCALANCEW774接入点和SCALANCEW734客户机模块也可安装在控制柜外部。由于总数据速率高达300Mbit/s且具有可选的iFeatures功能，即使是在要求更加苛刻的应用环境下也可以正常使用。两个设备的外观及设备描述信息如图7-1所示。7.2工业无线网络设备7.2工业无线网络设备SCALANCEW774和W734设备具有如下属性：

（1）具有2个RJ-45以太网接口，支持全双工和半双工10Mbps和100Mbps速率，可实现自动跨接和自动极性变换。（2）具有2个天线接口，可连接ANT795-4MA型号的全向天线。（3）WLAN接口支持IEEE802.11n标准，同时兼容IEEE802.11a、IEEE802.11b和IEEE802.11g标准，可在2.4GHz和5GHz范围内工作，可实现高速WLAN通信。（4）支持WPA、WPA-PSK、WPA2、WPA2-PSK和IEEE802.1x验证标准，并支持WEP、AES和TKIP加密方法。（5）通过向导和在线帮助实现组态支持；通过Web服务器和SNMP实现轻松管理。7.2工业无线网络设备2.西门子无线访问接入点SCALANCEW774的功能无线访问接入点（wirelessAccessPoint，简称AP）是组建无线局域网时最核心的设备。AP相当于是无线网络中的交换机，是无线网和有线网之间沟通的桥梁。SCALANCEW774无线接入点的主要功能就是将各个无线网络客户端连接到一起，然后将无线网络接入以太网，从而达到无线覆盖的目的。AP的中继加桥接功能可以实现两个无线设备通讯，也可以起到放大信号的作用，保证了传输速度和稳定性；AP的主从模式可以方便网管统一管理子网络，实现一点对多点的连接。SCALANCEW774无线接入点通过MIMO（多输入多输出）技术实现可靠的无线链路，最多可以使用四个流同时进行发送和接收。适用于具有实时和冗余要求的苛刻应用，如PROFINET、PROFIsafe，扩展工业功能尤其适用于高可靠性要求的场合。7.2工业无线网络设备3.西门子无线客户端SCALANCEW734的功能SCALANCEW734是无线客户端（wirelessAccessClient，简称AC），是一种具有WLAN功能的设备，在该设备中永久性安装了一个无线卡。SCALANCEW734客户端模块可保证实时无线通信，在满足极高带宽要求的情况下保持稳定运行。该节省空间的客户机模块适合需要将设备安装在控制柜内的应用。由于采用SIMATIC设计，SIMATICS7PLC、ET200SP等自动化组件可无缝集成到工业WLAN中，可以节省控制柜内的空间。7.2工业无线网络设备4.全向天线和定向天线在工业无线局域网中使用的天线主要有全向天线和定向天线两种，其外观如图7-3所示。7.2工业无线网络设备5.工业无线网络结构使用无线接入点AP和无线客户端AC可以建立各种网络结构。1）使用AP的独立组态

2）对有线以太网网络进行无线访问3）通过客户端或客户端模式下的接入点访问网络7.3实训本章实训的主要目标是能熟练配置和使用工业无线网络设备。首先能完成对西门子SIMATICW774无线AP和W734无线客户端的基本管理配置，包括复位和IP地址配置。在此基础上要求学生能熟练完成工业无线网络设备的无线通信功能配置，从而能够在工业网络中灵活应用无线网络设备将现场终端设备接入网络中。最后介绍了NAT和NAPT技术在无线网络中的应用与配置。1.实训目的（1）掌握西门子SIMATICW774无线AP和W734无线客户端的基本管理配置；（2）掌握在SIMATICW774无线AP和SIMATICW734无线客户端上实现无线通信功能的配置方法；（3）掌握SIMATICW734无线客户端上实现NAT和NAPT功能的配置方法。7.2工业无线网络设备2.实训准备（1）复习本章内容；

（2）熟悉西门子SIMATICW774无线AP和的W734无线客户端设备外观及基本管理配置；

（3）熟悉西门子无线AP和无线客户端实现无线通信的基本配置；（4）熟悉无线客户端实现NAT和NAPT功能的基本配置。3.实训设备（1）1台电脑：已安装博途和PRONETA软件（2）1台SIMATICS7-1200PLC（3）2台SCALANCEXB-208第2层工业交换机（4）1台SCALANCEW774无线AP、1台SCALANCEW734无线客户端（5）网线若干7.3实训7.3.1西门子SCALANCEW工业无线设备的基本配置本实验将介绍使用PRONETA软件完成对工业无线APW774和工业无线ACW734进行IP地址配置及复位操作的方法和实施步骤。7.3实训步骤1按照实验拓扑将W774、W734和上位机连接到XB-208的任意端口。步骤2启动PRONETA软件进行网络分析，可显示出在线图形视图和设备列表7.3实训步骤3在设备表中依次选中W774和W734无线设备，会在窗口右侧显示出该设备的详细信息7.3实训步骤4依次对XB-208、W774和W734执行复位操作。在图形视图下右击相应设备图标，选择“复位网络参数”，将对3个设备执行复位操作并恢复到出厂配置，复位完成后会自动重启设备。步骤5为W774和W734配置IP地址，右击相应设备图标，选择“设置网络参数”，在IP组态下手工输入IP地址和子网掩码，必要时可设置网关地址。结果如图7-11所示。步骤6通过浏览器访问W774配置界面，右击SCALANCEW-700无线接入点图标，选择“打开Web浏览器”，进入系统登录界面。输入用户名和密码（初始都是admin）。按界面提示设置新密码为：ZD@123456，点击SetValues按钮使设置生效，如图7-12所示。步骤7通过浏览器访问W734配置界面，使用相同的用户名和密码为无线客户端W734进行登录，按界面提示设置新密码为：ZD@123456。登录成功后进入将分别进入无线AP和AC的管理及配置界面7.3实训7.3.2西门子SCALANCEW无线通信功能配置本实验按照如图7-14所示的网络结构逻辑拓扑图连接交换机与无线模块、交换机与上位机、交换机与S71200，PLC已和开关连接。通过在SCALANCEW774和W734上配置启动无线通信功能实现上位机和PLC之间的通信，同时通过上位机中的博途软件能够远程监控S71200PLC中的开关变量。7.3实训1.网络设备基础配置步骤1将交换机和PLC恢复出厂设置。步骤2按照拓扑图连接XB208-1的P3端口与W774的以太网端口P1相连、P1端口与上位机相连；XB208-2的P5端口与W734的以太网端口P1相连、P1端口与S71200PLC的以太网端口相连。步骤3用博途软件为PLC分配地址为。步骤4在上位机中用PRONETA软件为W774、W734、XB208和XM408分配IP地址7.3实训2.无线APW774配置步骤1将上位机重新连接XB208-1的P3端口，在上位机的浏览器中输入W774的IP地址1，登录后将进入W774的向导配置界面。步骤2点击配置界面左侧“Interfaces”的子项“WLAN”进行无线配置。在“Antennas”标签页下，选择“AntennaType”为“ANT795-4MA”7.3实训步骤3在“Basic”标签页下，选择“CountryCode”为“China”，选中表格中“Enabled”标题栏下的复选框，将“FrequencyBand”值选择为5GHz，将“max.TxPower”值修选择为20dBm7.3实训步骤4在“AllowedChannels”页签，列出了选择频率带宽为2.4G或5G时可以选择的信道，可以保持默认设置，即所有信道都勾选，如图7-19所示；也可以勾选“UseAllowedChannelsonly”后，选择特定的149信道。7.3实训步骤5在“AP”页签下，可以修改SSID号，如CIMC，要确保要使用的SSID号之前的“Enabled”为勾选状态，同时禁用SSID广播，如图7-20所示。7.3实训3.无线客户端W734配置步骤1将上位机与XB208-2的空闲网口相连，在上位机的浏览器中输入W734的IP地址https://2，进入其登陆界面，首次登录和W774类似，需重新配置密码。步骤2重新登录W734，点击配置界面左侧“Interfaces”的子项“WLAN”进行无线配置，配置过程与SCALANCEW774的类似。步骤3在“Antennas”标签页下，选择“AntennaType”为“ANT795-4MA”步骤4在“Basic”标签页下，选择“CountryCode”为“China”，选择“DeviceMode”为“Client”步骤5“AllowedChannels”页签页面内容保持不变，在“Client”页签下，设置SSID名称为CIMC，即要与AP设置的SSID名称一样，以便该客户端能够自动连接到AP上。7.3实训4.无线通信测试步骤1将上位机重新连接XB208-1的P3端口，进行连通性测试。步骤2在博途软件中，在“监控与强制表”中双击“添加新监控表”，在添加的监控表_1中新增地址为I0.0的变量，下载程序到IP地址对应的S71200PLC中。如图7-24所示7.3实训步骤3在博途软件“项目树”中，选中“CPU1214C”项，点击工具栏中的“转到在线”按钮，然后在“监控表_1”中点击“全部监视”按钮。变量监视界面如图7-25所示。拨动输入设备上的I0.0开关，可以看到监控表中的变量监控值变为TRUE，从而验证了无线通信正常。7.3实训步骤4测试上位机和PLC之间的连通性，如图7-26所示，因为两台无线设备间通信成功，因此通过上位机能ping通S7-1200PLC的IP地址。7.3实训7.3.3西门子SCALANCEW无线NAT和NAPT功能配置首先需要在无线AP和无线客户端上配置启动无线通信功能。在此基础上，要求在W734无线客户端上完成NAT和NAPT功能配置，使得内部网络的PLC地址00能够映射为W734的端口地址2。配置完成后上位机可以通过2地址：端口号方式访问PLC的WEB界面。7.3实训1.W734无线客户端NAT和NAPT功能配置步骤1通过浏览器登录到W734的配置界面，在左侧选择Layer3->NAT，在Basic标签下完成NAT启动与配置，具体配置参数如图7-28所示。7.3实训

在下拉列表“Interface”中选择所需的以太网接口：P1端口。

这里需要注意的是，NAT默认将P1端口作为映射端口，实际连接时，必须将线缆连接到W734设备的P1端口上，P1端口是靠里侧的PN端口。

勾选复选框“EnableNAT”为以太网接口P1启用NAT。

指定本地接口IP地址“LocalInterfaceIPaddress”，该地址将作为内网PLC的网关地址，应与PLC在一个网段，这里设置为。

设置端口子网掩码“LocalInterfaceSubnetMask”为

配置完成后，W734内网端口地址为；外网端口地址为2。PLC映射出去的地址就是W734的外网端口地址：2。配置完成后，当通过连接到交换机XB208-2的上位机访问W734时，因为内网地址已被设置为，此时必须以才能进入W734的配置界面。7.3实训步骤2点击NAPT标签，完成NAPT端口映射配置，具体配置参数如图7-29所示。7.3实训

在下拉列表“Interface”中选择P1端口。

全局端口号“GlobalPort”：指的是外部访问时使用的端口号，这里设置为443，表示要以HTTPS方式访问PLC。

本地IP地址“LocalIPAddress”：指的是内网设备的IP地址，就是PLC的地址00。

本地端口号“LocalPort”：因为要访问PLC的WEB界面，因此设置为443，代表HTTPS协议。

单击“Create”生成一条记录，勾选“Enable”，单击SetValues按钮。

需要重启W734设备才能使设置生效。配置完成后就在PLC地址00和W734外网地址2之间建立了NAT地址映射关系。7.3实训2.S71200PLC的配置步骤1用博途软件为PLC分配IP地址和网关，如图7-30所示。注意这里的网关地址必须与NAT配置中的本地接口IP地址保持一致。7.3实训步骤2配置PLC允许通过WEB方式访问，右击PLC->属性->常规选项卡->Web服务器访问，勾选“启用使用该接口的IP地址访问Web服务器，如图7-31所示。7.3实训步骤3在PLC中激活WEB服务器，右击PLC->属性->常规选项卡->Web服务器，勾选“在此设备的所有模块上激活Web服务器”，注意不要勾选“仅允许通过HTTPS访问”。如图7-32所示。7.3实训3.无线NAT功能测试配置完成后通过上位机将以https：//2方式来访问到PLC的WEB界面，如图7-33所示，点击进入链接，将会显示出当前PLC的常规和状态信息，如图7-34所示，至此说明NAT和NAPT功能配置成功。7.3实训本章实训的主要目标是能熟练配置和使用工业无线网络设备。首先能完成对西门子SIMATICW774无线AP和W734无线客户端的基本管理配置，包括复位和IP地址配置。在此基础上要求学生能熟练完成工业无线网络设备的无线通信功能配置，从而能够在工业网络中灵活应用无线网络设备将现场终端设备接入网络中。最后介绍了NAT和NAPT技术在无线网络中的应用与配置。1.实训目的（1）掌握西门子SIMATICW774无线AP和W734无线客户端的基本管理配置；（2）掌握在SIMATICW774无线AP和SIMATICW734无线客户端上实现无线通信功能的配置方法；（3）掌握SIMATICW734无线客户端上实现NAT和NAPT功能的配置方法。7.3实训本章实训的主要目标是能熟练配置和使用工业无线网络设备。首先能完成对西门子SIMATICW774无线AP和W734无线客户端的基本管理配置，包括复位和IP地址配置。在此基础上要求学生能熟练完成工业无线网络设备的无线通信功能配置，从而能够在工业网络中灵活应用无线网络设备将现场终端设备接入网络中。最后介绍了NAT和NAPT技术在无线网络中的应用与配置。1.实训目的（1）掌握西门子SIMATICW774无线AP和W734无线客户端的基本管理配置；（2）掌握在SIMATICW774无线AP和SIMATICW734无线客户端上实现无线通信功能的配置方法；（3）掌握SIMATICW734无线客户端上实现NAT和NAPT功能的配置方法。工业控制系统与工业网络第8章工业网络安全技术8.1访问控制列表工业以太网可以将现场层与企业管理层连接起来，但同时给生产现场带来了网络安全隐患。为工业以太网设置访问控制策略是比较基础的网络安全防范方法。工业现场网络具有规模大、用户密集等特点，容易导致高峰时段网络流量剧增，另一方面，用户类型较多，不同类型应该有不同的网络访问权限。为了对网络流量和用户权限实施有效控制,，需要应用访问控制技术，通过设置访问控制列表来实施访问控制。8.1访问控制列表8.1.1ACL概述访问控制列表（AccessControlList，ACL）是包过滤技术的核心内容，通过获取IP数据包的包头信息，包括IP层所承载的上层协议的协议号，数据包的源地址、目的地址、源端口号和目的端口号等，然后与设定的规则进行比较，根据比较的结果对数据包进行处理，合法的允许通过，不合法的阻截并丢弃，以达到提高网络安全性能的目的。8.1访问控制列表访问控制列表也是包过滤防火墙的基础技术，但是在防火墙和交换机、路由器中默认的转发和拦截规则是不一样的。交换机、路由器以转发数据包为主要任务，因此常使用“宽松规则”，也就是“只要不是禁止的就是允许的”，默认情况下会转发所有数据包，仅仅拦截访问控制列表中定义的特定数据包。而防火墙则以安全控制为主要任务，因此常使用“严谨规则”，即“只要不是允许的就是禁止的”，只转发在防火墙规则中允许的数据包。8.1访问控制列表ACL可以通过定义规则来允许或拒绝流量的通过，其应用场景如图8-1所示。通过设置ACL可以限制内部主机对服务器和Internet网络之间的访问操作。8.1访问控制列表8.1.2ACL工作原理ACL定义了一组规则，可配置为应用于入端口或出端口。入口ACL：传入数据包经过处理之后才会被路由到出站接口。因为如果数据包被丢弃，就节省了执行路由查找的开销，所以入口ACL非常高效。如果ACL允许该数据包，则会处理该数据包以进行路由。当与入接口连接的网络是需要检测的数据包的唯一来源时，最适合使用入口ACL来过滤数据包。出口ACL：传入数据包路由到出接口后，由出口ACL进行处理。在来自多个入接口的数据包通过同一出接口之前，对数据包应用相同过滤器时，最适合使用出站ACL。8.1访问控制列表

8.1访问控制列表8.1.3ACL分类根据工作方式的不同，访问控制列表分为基于MAC地址的ACL、基于IP地址的ACL和管理ACL三种类型。1.基于MAC地址的ACL当数据通过设置ACL规则的网络设备时，网络设备会查看设备内的ACL规则表，判断此数据携带的MAC地址是否能通过ACL规则由指定接口转发。8.1访问控制列表2.基于IP地址的ACL当数据通过设置ACL规则的网络设备时，网络设备会查看设备内的ACL规则表，判断此数据携带的IP地址是否能通过ACL规则由指定接口转发。如图8-4所示，定义规则时使用的是第3层的源IP地址和目的IP地址。8.1访问控制列表3.管理ACL要指定具有哪个IP地址的工作站允许访问设备，必须组态相应的IP地址或一个地址范围，这就需要用到管理ACL8.2工业防火墙8.2.1防火墙概述1.防火墙系统的组成防火墙通常是由专用硬件和相关软件组成的一套系统，也有纯软件的防火墙。一般来说，防火墙由四大要素组成。（1）防火墙规则集：在防火墙上定义的规则列表，是一个防火墙能否充分发挥作用的关键，这些规则决定了哪些数据不能通过防火墙、哪些数据可以通过防火墙。（2）内部网络：需要受保护的网络。（3）外部网络：需要防范的外部网络。（4）技术手段：具体的实施技术。8.2工业防火墙2.防火墙与OSI参考模型的关系绝大多数防火墙系统工作在OSI参考模型的4个层次上：数据链路层、网络层、传输层和应用层。（1）根据第2层数据链路层的MAC地址进行过滤（2）根据第3层网络层的IP地址进行过滤（3）根据第4层传输层的端口号进行过滤8.2工业防火墙3.防火墙和路由器实现安全控制的区别路由器与交换机的本质是转发，防火墙的本质是控制。8.2工业防火墙防火墙规则集由一组防火墙规则组成，是防火墙实现过滤功能的基础。1.防火墙规则的组成一条防火墙规则通常由以下部分组成：（1）网络协议：如ALL、ICMP、TCP、UDP、GRE等。（2）发送方的IP地址；接收方的IP地址。（3）发送方的端口号；接收方的端口号。（4）操作（Action）：对满足规则的数据包的处理方式，允许（Accept）、拒绝（Reject）和丢弃（Drop）三个选项。8.2工业防火墙2.规则集的应用流程8.2工业防火墙8.2.3VPN技术1.VPN概述VPN是一种是在公用网络上建立专用网络的技术。之所以称为虚拟网络，是因为VPN网络中两个节点之间的连接并不是传统专用网络所需的端到端的物理链路，而是架构在第三方网络平台之上的逻辑链路，用户数据在逻辑链路中进行传输。8.2工业防火墙VPN主要具有以下优势：（1）可降低成本。通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护广域网设备和远程访问设备。（2）连接方便灵活。VPN技术能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽带网连接到企业网络。（3）容易扩展。设计良好的宽带VPN是模块化的和可升级的。（4）传输数据安全可靠。VPN能提供高水平的安全，使用高级的加密和身份识别协议保护数据避免受到窥探，阻止数据窃贼和其他非授权用户接触这种数据。（5）完全控制主动权。虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。8.2工业防火墙2.VPN的分类VPN可以按照以下几个标准进行类别划分。（1）按照数据传输方式分类隧道模式（TunnelingMode）：通过在原始数据包外包含新的数据包头，将数据加密后传输，通常用于远程访问、连接不同地区的私有网络等场景。透明模式（TransparentMode）：在不修改数据包的情况下，直接对数据包进行加密，通常用于保障公共网络传输的安全性。（2）根据网络类型分类远程访问VPN：用于远程工作人员访问企业内部网络资源。例如，PPTP、L2TP、SSLVPN等。点对点VPN：两个设备之间建立VPN连接，用于连接分布在不同地方的局域网。例如，IPSec适用于点对点场景。8.2工业防火墙2.VPN的分类（3）根据安全协议分类PPTP协议：使用GRE协议封装，加密强度较低，适用不需要太高安全度的场景。L2TP协议：基于PPTP协议，加入L2TP协议使其更安全，适用于需要中等安全度的场景。IPSec协议：加密强度高，安全性好，但设置较为复杂，适用于需要高度安全保障的场景。8.2工业防火墙8.2.4IPSecVPNIPSecVPN是一种通过互联网建立虚拟专用网络（VPN）的技术，也是目前应用最多的一种VPN技术。它使用IPSec协议来提供安全的远程访问解决方案，加密和认证网络数据包，以确保数据在传输过程中的安全性和完整性。

1.IPSec概述IPsec是一种开放标准的框架结构，特定的通信方之间在IP层通过加密和数据摘要等手段，来保证数据包在Internet上传输时的私密性、完整性和真实性。IPsec工作在OSI第3层，即网络层，可以保护和验证所有参与IPsec的设备之间的IP数据包，也可以在第4层到第7层上实施保护。通常，IPsec可以保护网关与网关之间、主机与主机之间或网关与主机之间的路径。IPsec可在所有的第2层协议中运行，例如以太网、ATM或帧中继等。IPsec的特征可归纳如下：（1）IPsec是一种与算法无关的开放式标准框架。（2）IPsec提供数据机密性、数据完整性和来源验证。（3）IPsec在网络层起作用，保护和验证IP数据包。8.2工业防火墙2.IPsec的基本模块IPsec协议框架包含安全协议、加密、数字摘要、身份验证和对称密钥交换五个基本组成模块，这些模块的组合可以为IPsecVPN提供机密性、完整性和身份验证等功能。3.IPSec的封装模式IPsec必须将IP数据包进行封装，才能通过Internet等不安全网络进行传输，封装模式主要有传输模式和隧道模式两种。

4.IPSecVPN的协商过程当需要保护的流量流经VPN网关时，就会触发VPN网关启动IPsecVPN相关的协商过程，启动IKE（InternetKeyExchange，Internet密钥交换）阶段1，对通信双方进行身份认证，并在两端之间建立一条安全的通道；启动IKE阶段2，在上述安全通道上协商IPsec参数，并按协商好的IPsec参数对数据流进行加密、Hash等保护。8.3实训为了进一步熟悉掌握访问控制列表和防火墙的具体应用，本章实训要基于西门子工业网络设备完成如下安全功能配置：一是基于SCALANCEXM408第3层工业交换机实现ACL访问控制列表的功能配置；二是在SCALANCES615工业防火墙上实现安全策略和用户管理功能配置。1.实训目的（1）了解访问控制列表ACL的基本概念和工作原理；

（2）理解工业防火墙的基本概念和工作原理；

（3）掌握在SCALANCEXM408工业交换机上部署访问控制列表的配置方法；（4）掌握SCALANCES615工业防火墙上部署安全策略的配置方法。8.3实训2.实训准备（1）复习本章内容；

（2）熟悉西门子SCALANCEXM-408第3层工业交换机ACL基本配置；

（3）熟悉SCALANCES615工业防火墙的基本配置3.实训设备（1）1台电脑：已安装博途和PRONETA软件（2）2台SIMATICS7-1200PLC（3）2台SCALANCEXB-208第2层工业交换机（4）1台SCALANCEXM-408第3层工业交换机（5）1台SCALANCES615工业防火墙（6）网线若干8.3实训8.3.1第3层工业交换机访问控制列表配置实验任务1基于MAC地址的访问控制列表配置8.3实训首先完成所有设备IP地址配置，在此基础上在第3层交换机XM408上配置基于MAC地址访问控制列表，实现如下访问控制：（1）只有S71200-A能通过P3端口访问上位机，具有其他MAC地址的设备均不能通过P3端口访问上位机；（2）只有S71200-B能通过P5端口访问上位机，具有其他MAC地址的设备均不能通过P5端口访问上位机。8.3实训1.各设备IP地址配置步骤1按照实验拓扑图将XM408的P3端口连接到S71200-A；将P5端口连接到S71200-B；将P8端口与上位机相连。步骤2使用博途软件分别为S71200-A和S71200-B设置IP地址为1和2。步骤3使用PRONETA为XM-408复位并配置IP地址，配置后的结果如图8-14所示8.3实训在图形视图中显示设备间的连接状态；在设备表中逐行显示出交换机和两台PLC的概要信息，其中能清晰看到其MAC地址，这个地址将在后续ACL配置中被应用。步骤4为上位机配置IP地址并查看其MAC地址，结果如图8-15所示。8.3实训2.在三层交换机XM-408上配置MACACL步骤1通过浏览器访问第3层交换机XM408（），登录后进入其配置界面。步骤2在左侧选择“Security”项目下的“MACACL”，进入“MACAccessControlListConfiguration”界面，双击三次“Create”按钮，产生三条默认规则。对这三条规则修改后，点击“SetValues”按钮8.3实训规则1： SourceMAC：源MAC地址8c:f3:19:10:23:9f是S71200-A的MAC地址；Dest.MAC：

目的MAC地址50-7B-9D-E9-CF-12是上位机的MAC地址。规则2： SourceMAC：源MAC地址8c:f3:19:10:26:53是S71200-B的MAC地址；Dest.MAC：目的MAC地址也是上位机的MAC地址。规则3： SourceMAC：源MAC地址00-00-00-00-00-00b代表的是任意MAC地址；Dest.MAC：目的MAC地址也是上位机的MAC地址。“Action”栏下拉列表中的“Forward”表示：

如果报文满足ACL规则就允许报文通过；“Discard”表示：如果报文满足ACL规则就不允许报文通过。8.3实训步骤3选择“IngressRules”，进入对具体端口“入站（ingress）”配置界面。两条规则表示：只有S71200-A能通过P3端口访问上位机，具有其他MAC地址的设备均不能通过P3端口访问上位机。8.3实训步骤4以同样方法，将规则2和规则3添加到P5口中，两条规则表示：只有S71200-B能通过P5端口访问上位机，具有其他MAC地址的设备均不能通过P5端口访问上位机。8.3实训3.基于MAC地址的访问控制列表测试步骤1正常通讯测试。在上位机的“命令提示符”环境中，分别输入指令“ping1”和“ping2”，结果

如图8-19所示。测试结果表明：上位机能够访问到两个S71200PLC，且两个S71200PLC均能通过设置的MACACL规则将数据包返回给上位机，说明相关的MAC地址和允许规则是匹配的。8.3实训步骤2改变P3和P5端口连接设备测试将S71200-A和S71200-B的连接端口互换，即与XM408的P3端口连接的PLC是S71200-B，而与P5端口连接的PLC是S71200-A。测试结果表明：由于P3和P5“入口”规则允许的源MAC地址发生了改变，P3端口禁止从S71200-B发出的数据包通过P3端口传输到上位机，而P5端口也禁止从S71200-A发出的数据包通过P5端口传输到上位机。8.3实训实验任务2基于IP地址的访问控制列表配置首先完成3个交换机和PC的IP地址配置。在此基础上在第3层交换机XM408上配置访问控制列表ACL实现如下访问控制：（1）PC通过XM408的P1端口只能与XB208_1设备通信；（2）PC通过XM408的P2端口只能与XB208_2设备通信8.3实训1.网络基础配置步骤1按照网络结构逻辑拓扑图将SCALANCEXM408的P1、P2端口与两台SCALANCEXB208的端口相连，SCALANCEXM408的P8端口与PC相连。步骤2使用PRONETA为3台交换机复位并配置IP地址步骤3测试PC和XB208-1、XB208-2之间的连通性，确保在配置ACL之前设备间都能正常通信，结果如图8-23所示，通过PC均能访问到两台XB208交换机8.3实训2.基于IP地址的访问控制列表配置步骤1通过浏览器访问第3层交换机XM408（），登录后进入其配置界面。步骤2配置IPACL规则：在左侧选择Security->IPACL，在RulesConfiguration标签下完成ACL规则配置，单击Create依次创建4条规则，并设置规则相应的参数。8.3实训

SourceIP：源IP地址；

SourceSubnetMask：源子网掩码；

Dest.IP：目的IP地址；

Dest.SubnetMask：目的子网掩码；

Action：要执行的操作，Forward表示符合ACL规则，则转发数据；

Discard表示符合ACL规则，则丢弃数据不转发。

规则1：允许源IP地址为00的设备与目的IP地址为0的设备通信。

规则2：允许源IP地址为00的设备与目的IP地址为0的设备通信。

规则3：任何其他IP地址都不能与目的IP地址为0的设备通信。

规则4：任何其他IP地址都不能与目的IP地址为0的设备通信。8.3实训步骤3将IPACL应用在P1端口上步骤4用同样方法在P2入口方向上应用IPACL规则2和规则3步骤5用同样方法在P3入口方向上应用IPACL规则3和规则4步骤6为P4和P5入口方向上也应用IPACL规则3和规则48.3实训3.基于IP地址的访问控制列表测试步骤1将PC插入P1端口：能与0的设备通信（满足规则1）8.3实训3.基于IP地址的访问控制列表测试步骤2将PC插入P1端口：不能与0的设备通信（满足规则4）8.3实训3.基于IP地址的访问控制列表测试步骤3将PC插入P2端口：不能与0的设备通信（满足规则3）8.3实训3.基于IP地址的访问控制列表测试步骤4将PC插入P2端口