為了保證工業網絡的安全，西門子SCALANCE X提供了多種方式來保證工業信息的安全性，確保工業控制系統的穩定和安全運行。下面主要介紹保護SCALANCE X工業網絡安全需要采取的基本安全措施。

01

 更改登錄用戶名和密碼

對于SCALANCE X來說，需要輸入用戶名和密碼才能更該設置。這些設備有出廠的默認密碼。SCALANCE X產品的用戶名和默認密碼是admin。黑客知道用戶名和默認密碼，會嘗試用該密碼訪問您的工業以太網交換機從而惡意更改網絡設置。要防止任何未經授權的更改，可以修改設定設備的密碼。如圖1所示，可以通過這個界面配置管理員和用戶的密碼。

圖1

02

訪問協議控制

用戶登錄SCALANCE X有多種協議支持方式，例如FTP,TELNET,SSH和HTTP等協議。如圖2所示，可以禁止一些未被使用的協議來滿足工業安全要求。在SCALANCE X中可以通過Agent標簽下的選項禁止或者激活相應協議的訪問。

圖2

03

禁用SCALANCE X硬件的SELECT/SET按鈕

在SCALANCE X的硬件正面的SELECT/SET按鈕可以執行“恢復工廠設置”、“使能環網冗余管理者”等功能。在項目正式運行期間很少更改網絡架構，因此可以考慮通過如圖 3所示，禁用該按鈕，避免誤操作而導致的工業網絡故障。

圖 3

04

禁用未被使用的以太網接口

對于在項目中暫時未使用的以太網口可以通過如圖4所示界面，禁用該口，這樣相當于從物理上禁用，從而避免誤連接而導致的網絡系統故障。

圖 4

05

HTTPS協議

HTTPS安全基礎是SSL協議，提供了身份驗證與加密通訊方法，現在它被廣泛用于互聯網上安全敏感的通訊 。SSL極難竊聽，對中間人攻擊提供一定的合理保護。認證用戶和服務器，確保數據發送到正確的客戶機和服務器；加密數據以防止數據中途被竊取；維護數據的完整性，確保數據在傳輸過程中不被改變。如圖5所示為SCALANCE X啟用HTTPS協議，在登錄系統時如圖6所示，必須要使用https://192.168.0.15/，這樣就可以通過安全通道訪問交換機。

圖5                                            圖 6

06

使用ACL協議

ACL全稱Access Control List（訪問控制列表）。訪問控制列表是交換機、路由器及防火墻中的常用技術，用來根據事先設定的訪問控制規則，過濾某些特定MAC地址、IP地址、協議類型、服務類型的數據包，合法的允許通過，不合法的阻截并丟棄。SCALANCE X 300/400的訪問控制列表使用了特定的MAC地址過濾技術，給網絡管理提供系統訪問的基本安全手段。例如，ACL允許某一主機訪問您的系統資源，而禁止另一主機訪問同樣的資源。單播過濾技術使用在訪問控制列表中。如果訪問控制列表使能，來自于“不知道”MAC地址的數據包就立刻被過濾掉。所以要讓“知道”MAC地址的數據，就必須建立一個單播入口規則。圖 7

網絡組態由2臺交換機SCALANCE X414-3E，分別稱為Switch A和Switch B（如圖7所示）。通過各自的Port 5.1相連。Switch C為SCALANCE X204-2與Switch A的Port 9.4相連。PG/PC1、PG/PC2分別與Switch B的10.4、11.4相連。其中PG/PC1的MAC地址為08-00-06-90-BA-AD；PG/PC2的MAC地址為00-13-72-7C-98-6B。相應的IP地址參考ACL組態圖。Switch B不做組態，通過Switch A組態設置ACL，查看PG/PC1和PG/PC2對Switch C (資源) 的訪問。

交換機A的組態：通過IE瀏覽器打開Switch A的Web頁面，輸入用戶名和密碼，均為“admin”。在點擊目錄樹Switch-Unicast Filter(ACL)，可以看見右側當前的單播過濾表，其中可以看到通過5.1端口，交換機學習到PG/PC1和PG/PC2的MAC地址（如圖8所示）。圖 8

通過Ping指令，PG/PC1和PG/PC2可以Ping通Switch C。點擊下面New Entry按鈕，復制拷貝PG/PC1的靜態MAC地址并設置Port5.1為M。M表示允許單播數據通過該端口（如圖9所示）。點擊Set Values按鈕結束。圖 9

設置完畢后，再次點擊進入，可見端口9.1和10.1的端口屬性為#（如圖10所示）。表明該端口無效，因為這兩個端口被設置了VLAN，而不在VLAN1上。

圖 10

再次點擊目錄樹Switch-Unicast Filter(ACL)，右側當前的單播過濾表中PG/PC1的MAC地址已被設置為靜態（static）（如圖11所示）。

圖 11

點擊目錄樹Switch-Unicast Filter(ACL) -Ports，使能端口5.1，然后點擊Set Values按鈕結束設置（如圖12所示）。圖 12

這時點擊目錄樹Switch-Unicast Filter(ACL)，只有PG/PC1在5.1端口上（如圖13所示）。圖 13

通過對Switch A的訪問控制列表設置，只有PG/PC1可以訪問Switch C。這樣從網絡管理和安全角度，來自于非PG/PC1的MAC的單播幀都將被丟棄。

07

IEEE802.1X基于用戶的認證

所謂認證（Authentication）,是指驗證某個實體所聲明的身份的真實性。認證服務器在通常情況下為RADIUS（Remote Authentication Dial In User Service）服務器，用戶帳戶信息存儲在該服務器中。802.1X允許對用戶而非機器進行身份驗證，同時可以確保用戶連接至合法、經過授權而非竊取個人數據的冒牌網絡。識別用戶（而非機器）的身份可以讓網絡架構更有效率。認證端（SCALANCE X）通常為支持IEEE 802.1X協議的網絡設備，對客戶端進行認證并起到中繼的作用。連接在端口上的用戶設備如果能通過驗證，就可以訪問LAN內的資源；如果不能通過驗證，端口接入將被阻止，相當于物理上斷開連接。

802.1X為認證會話過程定義了三個組件：

申請者（Supplicant）是尋求訪問網絡資源的用戶機器。

網絡訪問由認證者（Authenticator）控制，它扮演著傳統撥號網絡中訪問服務器的角色。認證者只負責鏈路層的認證交換過程，并不維護任何用戶信息。

任何認證請求均會被轉送至認證服務器（RADIUS）進行實際的處理。

整個認證交換過程在邏輯上是通過申請者與認證服務器來完成的，認證者只是扮演中介的角色（如圖14所示）。

圖 14

7.1

在認證者（SCALANCE X300/400）側的設置

如圖15所示，輸入RADIUS Server的IP地址 192.168.1.119,認證的端口號 1812，密碼 admin。圖 15

如圖16所示，指定應用802.1X進行認證的交換機端口。

圖 16

7.2

 在認證服務器（RADIUS Server）側的設置

對于RADIUS Server可以采用微軟的Win2003 server,也可以選用其他的RADIUS Server。本例采用TekRADIUS作為認證服務器。如圖17所示，為其指定認證服務器的IP地址 192.168.1.119, 認證的端口號 1812。圖 17

如圖18所示，在Clients中指定認證者（SCALANCE X300/400）圖 18

如圖19所示，在Users中指定申請者圖 19

7.3

 在申請者側的設置

在申請者側如圖20所示，使能IEEE802.1X認證服務。禁用“Automatically user my Windows logon name and password”。圖 20

這樣，當申請者接入到SCALANCE X的11槽的任意端口時都有如圖21的提示，只有在圖22中輸入正確的信息后，申請者才能通過認證，接入到系統之中。圖 21       

 圖 22