Configuration et exploitation
5.8 Fonctions de sécurité des données
Paramétrage du pare-feu - Marche à suivre
Procédez comme suit lorsque la fonction de sécurité des données est activée :
1. Dans les paramètres de sécurité généraux (voir navigation de projet), sélectionnez
l'entrée "Pare-feu" > "Services" > "Définir des services pour les règles IP".
2. Sélectionnez l'onglet "ICMP".
3. Ajoutez respectivement une entrée de type "Echo Reply" et "Echo Request".
4. Sélectionnez ensuite le CP sur la station S7-1200.
5. Activez le mode pare-feu avancé dans les paramètres de sécurité locaux du CP, dans le
groupe de paramètres "Sécurité (Security) > Pare-feu".
6. Ouvrez le groupe de paramètres "Règles IP".
7. Dans le tableau, ajoutez une nouvelle règle IP pour les services qui viennent d'être créés,
comme suit :
– Action : Allow ; "Externe -> vers station" avec le service global créé "Echo Request"
– Action : Allow ; "De station -> vers externe" avec le service global créé "Echo Reply"
8. Pour la règle IP d'Echo Request, entrez sous "Adresse IP source" l'adresse IP de la
PG/du PC. Vous ne permettez ainsi qu'aux télégrammes PING issus de votre PG/PC de
passer le pare-feu.
5.8.2.3
Vitesse de transmission < 1 Mbit/s sans effet
En mode pare-feu avancé (paramètre "Bande passante"), il n'est pas possible de limiter la
vitesse de transmission à une valeur < 1 Mbit/s.
Le choix est limité à la plage de valeurs suivante : 1 ... 100 Mbit/s
5.8.2.4
Syntaxe correcte de l'adresse IP source (mode de pare-feu avancé)
Si vous spécifiez, dans les paramètres de pare-feu avancés du CP 1243-1, une plage
d'adresses pour l'adresse IP source, veillez à utiliser la syntaxe correcte :
● séparez les deux adresses IP uniquement par un trait d'union.
Correct : 192.168.10.0-192.168.10.255
● N'entrez pas d'autres caractères entre les deux adresses IP.
Faux : 192.168.10.0 - 192.168.10.255
Si la plage n'est pas correctement entrée, la règle de pare-feu n'est pas appliquée.
5.8.2.5
Paramètres de pare-feu pour liaisons S7 via tunnel VPN
Règles IP de pare-feu en mode de pare-feu avancé
Si vous configurez des liaisons S7 par tunnel VPN entre le CP 1243-1 et un partenaire de
communication, adaptez les paramètres locaux de pare-feu du CP 1243-1 :
Sélectionnez pour les liaisons S7, pour les deux sens de communication du tunnel VPN,
l'action "Allow*" en mode de pare-feu avancé "Security > Pare-feu > Règles IP).
46
Instructions de service, , C79000-G8977-C365-01
CP 1243-1