西門子工業(yè)自動(dòng)化中國一級(jí)經(jīng)銷商

提供西門子G120、G120C V20 變頻器； S120 V90 伺服控制系統(tǒng)；6EP電源；電線；電纜；

網(wǎng)絡(luò)交換機(jī)；工控機(jī)等工業(yè)自動(dòng)化的設(shè)計(jì)、技術(shù)開發(fā)、項(xiàng)目選型安裝調(diào)試等相關(guān)服務(wù)。西門子中國有限公司授權(quán)合作伙伴——湖南西控自動(dòng)化設(shè)備有限公司，作為西門子中國有限公司授權(quán)合作伙伴，湖南西控自動(dòng)化設(shè)備有限公司代理經(jīng)銷西門子產(chǎn)品供應(yīng)全國，西門子工控設(shè)備包括S7-200SMART、S7-200CN、S7-300、S7-400、S7-1200、S7-1500、S7-ET200SP等各類工業(yè)自動(dòng)化產(chǎn)品。公司國際化工業(yè)自動(dòng)化科技產(chǎn)品供應(yīng)商，是專業(yè)從事工業(yè)自動(dòng)化控制系統(tǒng)、機(jī)電一體化裝備和信息化軟件系統(tǒng)

集成和硬件維護(hù)服務(wù)的綜合性企業(yè)。

西門子中國授權(quán)代理商——湖南西控自動(dòng)化設(shè)備有限公司，本公司坐落于湖南省中國（湖南）自由貿(mào)易試驗(yàn)區(qū)長沙片區(qū)開元東路 1306 號(hào)開

陽智能制造產(chǎn)業(yè)園一期 4 棟 30市內(nèi)外連接，交通十分便利。

建立現(xiàn)代化倉

儲(chǔ)基地、積累充足的產(chǎn)品儲(chǔ)備、引入萬余款各式工業(yè)自動(dòng)化科技產(chǎn)品，我們以持續(xù)的卓越與服務(wù)，取得了年銷

售額10億元的佳績，憑高滿意的服務(wù)贏得了社會(huì)各界的好評及青睞。與西門子品牌合作，只為能給中國的客戶提供值得信賴的服務(wù)體系，我們

的業(yè)務(wù)范圍涉及工業(yè)自動(dòng)化科技產(chǎn)品的設(shè)計(jì)開發(fā)、技術(shù)服務(wù)、安裝調(diào)試、銷售及配套服務(wù)領(lǐng)域。

僅激活使用設(shè)備所需的協(xié)議。 ? 通過訪問控制列表 (ACL) 中的規(guī)則限制對設(shè)備管理的訪問。 ? VLAN 結(jié)構(gòu)化選項(xiàng)可針對DoS 攻擊和未經(jīng)授權(quán)的訪問提供保護(hù)。請檢查該功能在您的環(huán) 境下是否實(shí)用或有效。 ?通過中央記錄服務(wù)器對更改和訪問進(jìn)行記錄。在受保護(hù)的網(wǎng)絡(luò)區(qū)域內(nèi)運(yùn)行記錄服務(wù)器，并 定期檢查記錄信息。 驗(yàn)證 說明 可訪問性風(fēng)險(xiǎn) -數(shù)據(jù)損失風(fēng)險(xiǎn) 請勿丟失設(shè)備的密碼。只能通過將設(shè)備復(fù)位為出廠設(shè)置（這會(huì)完全刪除所有組態(tài)數(shù)據(jù)）來恢 復(fù)對設(shè)備的訪問。 ?使用設(shè)備之前，請更換所有用戶帳戶、訪問模式和應(yīng)用程序（如適用）的默認(rèn)密碼。 ? 定義密碼分配規(guī)則。 ?使用密碼強(qiáng)度高的密碼。避免使用密碼強(qiáng)度弱的密碼（如，password1、、abcdefgh）或重復(fù)字符（如，abcabc）。 此建議也適用于對設(shè)備組態(tài)的對稱密碼/密鑰。 ?確保密碼受保護(hù)且只透露給授權(quán)的人員。 ? 請勿對多個(gè)用戶名和系統(tǒng)使用相同的密碼。 ?將密碼存儲(chǔ)在安全位置（非在線），以便在丟失時(shí)使用。 ? 定期更改密碼以**安全性。 ?如果已知或者疑似有未經(jīng)授權(quán)的人員知道了密碼，則必須更改密碼通過 RADIUS執(zhí)行用戶驗(yàn)證時(shí)，請確保所有通信均在安全環(huán)境中進(jìn)行或均受到安全通道的 保護(hù)。 ? 注意在端點(diǎn)之間不提供自身驗(yàn)證的鏈路層協(xié)議，例如 ARP或 IPv4。攻擊者可利用這些協(xié) 議中的漏洞來攻擊連接到您的第 2 層網(wǎng)絡(luò)的主機(jī)、交換機(jī)和路由器，例如，通過操縱子 網(wǎng)中系統(tǒng)的 ARP緩存或使其中毒并隨后攔截?cái)?shù)據(jù)**。對于非安全第 2 層協(xié)議，必須采取適當(dāng)?shù)陌踩胧?，以防對網(wǎng)絡(luò)進(jìn)行未經(jīng)授權(quán)的訪問。對本地網(wǎng)絡(luò)的物理訪問可以是安 全的，也可以使用更高層的協(xié)議。 證書和密鑰 ?設(shè)備中有一個(gè)密鑰長度為 2048 位的預(yù)設(shè) SSL/TLS (RSA) 證書。將此證書替換為用戶生成的含密鑰高質(zhì)量證書。使用由可靠外部或內(nèi)部認(rèn)證機(jī)構(gòu)簽署的證書?？赏ㄟ^ WBM （“System > Load andSave”）安裝證書。 ? 使用密鑰長度為 4096 位的證書。 ? 使用認(rèn)證機(jī)構(gòu)，包括密鑰撤銷與管理，來簽署證書。 ?確保用戶自定義的私人密鑰都受到保護(hù)，未授權(quán)人員無法訪問。 ? 如果存在可疑的安全違規(guī)，請立即更改所有證書和密鑰。 ? 使用“PKCS#12”格式的具有密碼保護(hù)的證書。 ? 基于服務(wù)器和客戶端側(cè)的指紋驗(yàn)證證書，避免“中間人”攻擊。為此，請使用第二條安 全傳輸路徑。 ?將設(shè)備送至 Siemens 進(jìn)行維修之前，請使用臨時(shí)的一次性證書和密鑰替換當(dāng)前證書和密鑰，這些證書和密鑰在設(shè)備返廠時(shí)會(huì)被銷毀。 務(wù) ?應(yīng)避免使用或禁用非安全協(xié)議或服務(wù)，例如，HTTP、Telnet 和 TFTP。由于歷史原因，這些協(xié)議可用，但并不適用于安全應(yīng)用。請慎重對設(shè)備使用非安全協(xié)議。 ? 檢查是否有必要使用以下協(xié)議和服務(wù)： – 未驗(yàn)證和未加密的端口 –MRP、HRP – IGMP 監(jiān)聽 – LLDP – DCP – Syslog – RADIUS – DHCP 選項(xiàng) 66/67 –TFTP – GMRP 和 GVRP ? 以下協(xié)議具有安全備選方法： – HTTP → HTTPS – Telnet → SSH –SNMPv1/v2c → SNMPv3 檢查是否有必要使用 SNMPv1/v2c。SNMPv1/v2c的分類為非安全協(xié)議。使用阻止寫訪 問的選項(xiàng)。設(shè)備會(huì)為您提供適合的設(shè)置選項(xiàng)。 如果 SNMP已啟用，請更改團(tuán)體名稱。如果不需要不受限制的訪問，請通過 SNMP 限 制訪問。 使用 SNMPv3 的驗(yàn)證和加密機(jī)制。 – TFTP→ SFTP – NTP → NTPsecure ? 在物理保護(hù)措施未阻止設(shè)備訪問時(shí)使用安全協(xié)議。 ?如果需要非安全協(xié)議和服務(wù)，請僅在受保護(hù)的網(wǎng)絡(luò)區(qū)域內(nèi)運(yùn)行該設(shè)備。 ? 將可用于外部的服務(wù)和協(xié)議限制到*少。 ? 如果使用 RADIUS來管理對設(shè)備的訪問，需激活安全協(xié)議和服務(wù)。 接口安全性 ? 禁用不使用的接口。 ? 使用 IEEE 802.1X 進(jìn)行接口認(rèn)證。 ?使用“鎖定端口”(Locked Ports) 功能阻斷未知節(jié)點(diǎn)的接口。使用接口的配置選項(xiàng)，例如“邊緣類型”(Edge Type)。 ?組態(tài)接收端口，以便丟棄所有無標(biāo)記幀（“**帶標(biāo)記的幀”(Tagged frames Only)）。 3.2 可用服務(wù)以下是所有可用服務(wù)及其端口的列表，通過這些服務(wù)和端口可對設(shè)備進(jìn)行訪問。 該表包括以下列： ? 服務(wù) 設(shè)備支持的服務(wù) ? 默認(rèn)端口狀態(tài)此為交付狀態(tài)（出廠設(shè)置）下的端口狀態(tài)。 ? 可組態(tài)端口/服務(wù) 指示是否可通過 WBM/CLI 組態(tài)端口號(hào)或服務(wù)。 ? 身份驗(yàn)證指定是否對通信伙伴進(jìn)行驗(yàn)證。 如果可選，可根據(jù)需要組態(tài)驗(yàn)證。 ? 加密 指定傳輸是否加密。 如果可選，可根據(jù)需要組態(tài)加密。以下是所有可用協(xié)議和服務(wù)以及用于訪問設(shè)備的相應(yīng)端口的列表。 協(xié)議 協(xié)議/ 端口號(hào) 默認(rèn)端口狀 端口號(hào)可通過 WBM組態(tài)。 2) 服務(wù)默認(rèn)禁用。 3) 僅只讀訪問。 4) 協(xié)議符合默認(rèn)安全。 5) 此端口默認(rèn)關(guān)閉，并在組態(tài)了 RADIUS服務(wù)器時(shí)顯示。端口號(hào)可通過 WBM 組態(tài)。 6) 有關(guān)使用的加密方法的更多信息，請參見 WBM 附錄中的“使用的加密方法”。以下是所有可用第 2 層服務(wù)的列表，通過這些服務(wù)可對設(shè)備進(jìn)行訪問該表包括以下列： ? 第 2 層服務(wù) 設(shè)備支持的第 2 層服務(wù)。 ?默認(rèn)狀態(tài) 服務(wù)的默認(rèn)狀態(tài)（打開或關(guān)閉）。 ? 服務(wù)可組態(tài) 指示是否可通過 WBM/CLI 組態(tài)服務(wù)。 第 2 層服務(wù) 默認(rèn)值 狀態(tài)服務(wù)可組態(tài) DCP 設(shè)置模式Pv6 IP 組態(tài) ? DHCP 服務(wù)器 ? 手冊 ? 無狀態(tài)地址自動(dòng)配置 (SLAAC)：采用NDP（鄰居發(fā)現(xiàn) 協(xié)議）的無狀態(tài)自動(dòng)組態(tài) – 為各個(gè)在鏈路中無需路由器的接口創(chuàng)建鏈路本地 地址。 –檢查在鏈路中無需路由器的鏈路地址的唯一性。 – 指定是否通過無狀態(tài)機(jī)制、有狀態(tài)機(jī)制或兩種機(jī) 制獲得全局地址。（在鏈路中需要路由器。）? 手冊 ? DHCPv6（有狀態(tài)） 可用 IP 地址 32 位：4.29 * 109 個(gè)地 址 128 位：3.4 * 1038個(gè)地址 地址格式 十進(jìn)制： 端口為： :20 十六進(jìn)制：2a00:ad80::0123端口為：[2a00:ad80::0123]:20 回送 127.0.0.1 ::1 接口的 IP 地址 5 個(gè) IP 地址 多個(gè) IP地址 ? LLA：每個(gè)接口的鏈路本地地址（自動(dòng)形成） fe80::/128 ? ULA：每個(gè)接口的多個(gè)唯一本地單播地址 ?GUA：每個(gè)接口的多個(gè)全局單播地址 標(biāo)頭 ? 校驗(yàn)和 ? 可變長度 ? 報(bào)頭分片 ? 無安全性 ? 在較高層檢查 ? 固定大小 ?擴(kuò)展報(bào)頭分片 分片 主機(jī)和路由器 僅通信的端點(diǎn) 服務(wù)質(zhì)量 服務(wù)類型 (ToS) 的優(yōu)先 級(jí) 在報(bào)頭字段“TrafficClass”中指定優(yōu)先級(jí)。組播、單播、任播 DHCP 客戶端/服務(wù)器的標(biāo)識(shí) 客戶端 ID： ? MAC 地址 ? DHCP 客戶端ID ? 系統(tǒng)名稱 ? PROFINET 站名稱 ? IAID 和 DUID DUID + IAID 恰好為主機(jī)的一個(gè)接口 DUID= DHCP 唯一標(biāo)識(shí)符 服務(wù)器和客戶端的唯一標(biāo)識(shí)符 IAID = 身份關(guān)聯(lián)標(biāo)識(shí)符 每個(gè)接口至少有一個(gè)由客戶端生成，且在 DHCP客戶端 重新啟動(dòng)時(shí)保持不變 獲取 DUID 的三種方法 ? DUID-LLT ? DUID-EN ? DUID-LL DHCP 通過UDP 廣播 通過 UDP 單播 RFC 3315、RFC 3363 有狀態(tài)的 DHCPv6 有狀態(tài)組態(tài)，在其中傳送 IPv6地址和組態(tài)設(shè)置。 客戶端和服務(wù)器之間交換以下四種 DHVPv6 消息： 1. SOLICIT: 由 DHCPv6 客戶端發(fā)送，用于定位DHCPv6 服務(wù)器。 2. ADVERTISE 可用的 DHCPv6 服務(wù)器對此做出應(yīng)答。 3. REQUEST DHCPv6客戶端從 DHCPv6 服務(wù)器請求 IPv6 地址和 組態(tài)設(shè)置。 4. REPLY DHCPv6 服務(wù)器發(fā)送 IPv6地址和組態(tài)設(shè)置。 如果客戶端和服務(wù)器支持“Rapid commit”功能，本步驟 將縮短為兩種 DHCPv6 消息 SOLICIT 和REPLY。 無狀態(tài) DHCPv6 在無狀態(tài) DHCPv6 中，僅傳送組態(tài)設(shè)置。 前綴代理 DHCPv6 服務(wù)器將 IPv6前綴的分配委托給 DHCPv6 客戶 端。DHCPv6 客戶端也稱為 PD 路由器。 硬件地址中 IP 地址的解析ARP（地址解析協(xié)議）