防火墙概述

含义

安全模块的防火墙功能旨在用于保护网络和工作站免受第三方的影响与干扰。它意味着只允许先前*的通信关系。防火墙将丢弃无效帧，不发送任何响应。

可使用 IP 地址、IP 子网、服务或 MAC 地址来过滤数据流。还可以设置传输速度限制。

可组态以下协议级别的防火墙功能：

具有状态数据包检查功能的 IP 防火墙（* 3 层和* 4 层）

根据 IEEE 802.3，也适用于以太网“非 IP”帧（* 2 层）的防火墙

使用支持 * 的安全模块，防火墙也可用于加密的数据通信（IPsec 隧道）。使用 SCALANCE S602 安全模块时，防火墙将只用于处理未加密的数据流。

防火墙规则

防火墙规则描述要允许或禁止哪个方向的哪些数据包。IP 规则将影响* 3 层或更高层的所有 IP 数据包。MAC 规则仅影响* 3 层以下的帧。

防火墙规则的类型

全局防火墙规则集：全局防火墙规则集可同时分配给多个安全模块。在全局安全功能中组态全局防火墙规则集。

本地防火墙规则：在安全模块的本地安全设置中组态本地防火墙规则。

用户特定的 IP 规则集（仅适用于 SCALANCE S V3 及更高版本）：用户特定的 IP 规则集可分配给单个安全模块或同时分配给多个安全模块。在全局安全设置功能中组态用户特定的 IP 规则集并将其分配给一个或多个用户。

SCALANCE S V4 及更高版本 (RADIUS)：用户特定的 IP 规则集可分配给单个或多个用户，也可分配给单个或多个角色。

服务定义

在服务定义的帮助下，您也可以紧凑的形式清楚地定义防火墙规则。服务定义在全局安全功能中进行组态，并且可用于全局、本地以及用户特定的防火墙规则。

调整 IP 服务的标准规则

对于 SCALANCE S 模块 V3 或更高版本，可调整设置为安全模块接口默认值的面向特定服务的防火墙规则。有关组态这些防火墙规则的信息，请参见 调整 IP 服务的标准规则 部分。

自动生成的 CP 连接防火墙规则

对于使用 CP 组态的连接，STEP 7 会自动创建防火墙规则，允许在*方向（CP 主动/被动）上与 CP 的伙伴进行通信。同时会考虑连接建立方向。要在启用了高级防火墙模式时显示这些防火墙规则，需要单击“更新连接规则”(Update connection rules) 按钮。随后，会在高级防火墙模式下显示防火墙规则。

以下章节将对自动生成的防火墙规则进行介绍。

对于 S7-300 CP/S7-400 CP/PC CP，请参见：“S7-300/S7-400/PC CP 的安全性”部分中的连接相关的自动防火墙规则。

对于 S7-1200-/S7-1500-CP：“S7-1200/S7-1500 CP 的安全性”部分中的连接相关的自动防火墙规则。

启用防火墙

在本地安全设置中，可使用“启用防火墙”(Enable firewall) 复选框控制特定安全模块的防火墙功能。如果启用此复选框，则可对防火墙进行组态，下载后防火墙立即生效。对于作为 * 组成员的安全模块，“启用防火墙”(Enable firewall) 复选框在默认情况下处于激活状态，无法禁用。切换为高级防火墙模式后，无法切换回标准模式。有关标准防火墙模式和高级防火墙模式的详细信息，请参见如下部分：

本地防火墙规则概述。