Security 模块

移植带有以太网 CP 并且已激活安全功能的项目

在包含工业以太网 CP 和已激活安全功能的 STEP 7 V5.5 项目中，移植到 STEP 7 Professional 期间将禁用安全设置。

必要时，在移植后请遵循这些步骤：

激活安全功能。

组态所需的安全设置。

激活安全功能时移植 IP 访问保护列表

激活安全功能后，活动 IP 访问保护列表将转换为防火墙规则。这些规则可以在高级防火墙模式中看到，可以在那里进行调整。高级防火墙模式会自动激活。

S7 CP 的安全在线诊断

只有通过 CP 直接建立在线连接时，才可以使用具有安全功能的 CP 的安全在线诊断功能。如果使用 STEP 7 通过 CPU 建立到站的在线连接，则借助安全 CP 中“安全 > 状态”(Security > Status) 安全诊断页面上的“在线连接”(Connect online) 按钮，您可建立与 CP 的直接连接来进行安全在线诊断。作为替代方案，您还可终止与 CPU 的在线连接并于在线诊断“在线访问”(Online access) 条目下的“站地址”(Station address) 输入框中输入 CP 的 IP 地址。

IKE 模式

在阶段 1 中协商密钥时，应**使用 IKE“主”模式。与“激进”模式相比，该模式通常提供可靠的过程。使用“激进”设置的一个原因是，它适合在 * 组含有不同预共享密钥的情况下使用。

IKE“激进”模式不应与证书一起使用。在 IKE“激进”模式下，只能使用预共享密钥。

在使用不同 IKE 模式的 * 组中不能使用安全模块。

通过 * 隧道将组态数据下载至 S7-300/400

通过 CP x43-1 Advanced 的千兆位接口向 S7-300/S7-400 站下载组态数据时，所用的下载路径存储在项目中。如果随后通过在 SCALANCE 模块与 CP x43-1 Advanced 之间建立的 * 隧道下载项目，则下载操作会因下载路径发生变化而失败。

要通过 * 隧道进行下载，请按以下步骤操作：

使用“转到在线”(Go online) 按钮，将工程师站连接到 CP x43‑1 Advanced 的千兆位接口。

断开与 CP x43‑1 Advanced 的在线连接。

通过 CP x43‑1 Advanced 的千兆位接口将项目下载至站。

与支持 * 的 1200/1500 CP 建立 * 隧道

只有 * 连接伙伴也是支持 * 的 1200/1500 CP 时，才可通过“预共享密钥”验证方法为支持 * 的 1200/1500 CP 建立 * 隧道连接。对于所有其它的 * 连接伙伴，只能通过“证书”验证方法为支持 * 的 1200/1500 CP 建立 * 隧道。

来自旧项目的安全组态

要在 STEP 7 V14 中使用旧版 STEP 7 的安全组态，需要拥有管理员权限的用户登录 STEP 7 V13 SP1 中的该安全组态并保存该项目。在 STEP 7 V14 中打开项目之后，用户必须使用管理员权限重新登录该安全组态。此后，即可在 STEP 7 V14 中使用该安全组态。

在两个 STEP 7 实例间复制安全模块

不支持在不同的 STEP 7 实例中复制安全模块。

CP 1543-1 V2.0 和 CP 1543SP-1 的设备证书

对于 CP 1543-1 V2.0 和 CP 1543SP-1，只有那些通过本地证书管理器分配给模块作为设备证书的设备证书才会加载到模块中。该分配可在“证书管理器”(Certificate manager) 条目中通过“设备证书”(Device certificates) 表格编辑器，在模块的本地安全设置中完成。全局证书管理器的证书也可用于证书分配。

CP 1200/1500 无后备 * 配置文件

CP 1200/1500 不支持后备 * 配置文件。因此无法在 CP 1200/1500 上加载组态的后备 * 配置文件。