ファイアウォールのセットアップ
コントローラーは、ファイアウォールを使用するようにセットアップできます。ファイアウォールは信頼できるホストの原則に基づいており、有効になっているポートまたはホワイトリストに登録されているアドレスを介した着信接続のみを許可します。
デフォルトでは、ファイアウォールは無効になっています。
ファイアウォールは、工場イーサネットポートの着信接続にのみ適用されます。
ファイアウォールのアクティブ化と構成
ホームビューで、[設定] を選択します。
[ネットワーク] を選択し、[ファイアウォール] までスクロールします。
ファイアウォールをアクティブにして構成するには、[編集]を選択します。
ファイアウォールを有効にするには、[オフ] を [オン] に設定します。
次の残りの機能を設定します:
ポートフィルタリング(4層ファイアウォール)
IPフィルタリング(3層ファイアウォール)
MACフィルタリング(2層ファイアウォール)
一般的なファイアウォール機能をアクティブにすると、ポートフィルタリング(4層ファイアウォール)と事前定義されたそのすべてのサービスがデフォルトで有効になります。
ファイアウォール層のいずれかが接続を受け入れると、接続が許可されます。ファイアウォール層が有効になっていない場合、すべての着信接続が許可されます。
さらにファイアウォールを構成するには、TCP ポートまたは UDP ポートを手動で追加するか、IP/MAC アドレスをホワイトリストに登録することで、指定の事前定義されたサービスを介した接続を有効/無効にします。
ポートフィルタリング(4層ファイアウォール)
ポートフィルタリング(4 層ファイアウォール) が有効になっている場合、以下の定義済みサービスがそれぞれのオン/オフスイッチとともに表示されます。
Web用のポートを開く(TCP 80、TCP 8080)
SSHおよびSFTPのポートを開く(TCP 22)
ワイヤレスツール用のポートを開く(UDP 6677、TCP 6678)
アクセサリ用ポートを開く(TCP 25000)
事前定義されたサービス | 説明 |
|---|---|
Web用のポートを開く(TCP 80、TCP 8080) | Webサービスに必要なポートで、コントローラが工場ネットワーク経由でアクセスできるようにします。 Web用のポートを開く(TCP 80、TCP 8080)をオフに設定すると、Web HMIとの接続が失われる可能性があるという警告がトリガーされます。 |
SSHおよびSFTPのポートを開く(TCP 22) | 工場イーサネットポートのSSHおよびSFTP機能に必要なポート。 |
アクセサリ用ポートを開く(TCP 25000) | アクセサリが工場ネットワークを介してコントローラと通信するために必要なポート。 |
TCP ポートと UDP ポートの追加
追加の TCP ポートと UDP ポートは、それぞれの入力ボックス([追加の TCP ポートを開く] と [追加の UDP ポートを開く])に追加できます。ダッシュ(-)を使用したポート範囲とコンマ区切りのポートの両方が使用できます。例: 1,2,3,4-10と入力すると、1から10までのすべてのポートが開きます。
無効なポートエントリは、即座にポップアップ警告をトリガーします。
[適用]ボタンを押すと、ポートが自動的に並べ替えられます。
Open Protocol と NTP
Open Protocol を使用する場合、開くポートは、[追加の TCP ポートを開く] 入力ボックスに手動で追加する必要があります。例:4545,4546,4547([仮想ステーション] > [仮想ステーション1] > [プロトコル]> [オープンプロトコル] > [サーバーポート]で構成、ポートによって異なります)。NTP サーバーを使用する場合は、ポート123を [追加の UDP ポートを開く] 入力ボックスに手動で追加する必要があります。
カンマ区切りを使用して、複数のポートを追加できます。ポート範囲はダッシュを使用して追加できます。
IPフィルタリング(3層ファイアウォール)
IPフィルタリング(3層ファイアウォール)を使用すると、[IPホワイトリスト]入力ボックスにIPアドレスを入力して、信頼できるホストまたはネットワークを指定できます。入力ボックスにアクセスするには、スイッチをオンに設定します。受け入れられるエントリは、IPテーブルの形式のIPアドレスまたはネットワークアドレスのリスト、つまり、ホストIPアドレスまたはネットワークIPアドレスです。ネットワークマスクは、マスクの長さ(たとえば、/ 24)またはネットワークIPアドレス(たとえば、/ 255.255.255.0)として入力できます。ホワイトリストに登録されたIPアドレスからのパケットはすぐに許可されます。他のパケットは、他のファイアウォール層(ポートフィルタリングとMACフィルタリング)によってスクリーニングされます。
セキュリティ上の理由により、ホスト名またはネットワーク名の入力は受け入れられません。
NATing (ネットワークアドレス変換)などのプロセスにより、送信元IPアドレスが変更される場合があることに注意してください。送信元IPアドレスに基づいてホストをホワイトリストに登録する必要がある場合は、ローカルネットワーク管理者に相談してお問い合わせください。
MACフィルタリング(2層ファイアウォール)
MACフィルタリング(2層ファイアウォール)を使用すると、[MACホワイトリスト]入力ボックスにMACアドレスを入力して、信頼できるホストまたはネットワークを指定できます。入力ボックスにアクセスするには、スイッチをオンに設定します。受け入れられるエントリは、MACアドレスのコンマ区切りのリストです。ホワイトリストに登録されたMACアドレスからのパケットはすぐに許可されます。他のパケットは、他のファイアウォール層(ポートフィルタリングとIPフィルタリング)によってスクリーニングされます。
無効なエントリは、即座にポップアップ警告をトリガーします。
ルーティングによって送信元MACアドレスが変更される場合があることに注意してください。送信元MACアドレスに基づいてホストをホワイトリストに登録する必要がある場合は、ローカルネットワーク管理者に相談してお問い合わせください。
パケットカウンター
各ファイアウォール層のパケットカウンター値を表示するには、「 パケットカウンター」を選択します。パケットカウンターの値を更新またはリセットするには、対応するスイッチとリリースを選択します。
ファイアウォールのステータス
一般的なファイアウォール機能とそのファイアウォール層のステータスは、[設定] > [ネットワーク]のすぐ後に来るファイアウォールのメインビューに表示されます。
ステータス | 説明 |
|---|---|
OK | ファイアウォールが有効になり、ファイアウォール構成が適用されます。 |
無効 | ファイアウォールは無効になり、ファイアウォール構成は適用されません。 |
構成エラー | ファイアウォールは有効になりますが、内部エラーのためファイアウォール構成が適用されません。 安全上の理由から、フェールオープンポリシーが適用されます。つまり、すべての接続が許可されます。 |
一般的なファイアウォールステータスがOKの場合、それぞれのファイアウォール層のステータス(有効/無効)も表示されます。
