设置防火墙
可以设置控制器使用防火墙。防火墙基于受信任的主机原则,并且仅允许通过已启用的端口或白名单中的地址进行传入连接。
默认情况下,防火墙是禁用的。
防火墙仅适用于工厂以太网端口上的传入连接。
激活和配置防火墙
在主菜单中,选择设置。
选择网络然后向下滚动到防火墙。
如要激活和配置防火墙,请选择编辑。
从关闭调为开启,激活防火墙。
设置其余功能:
端口过滤(第 4 层防火墙)
IP 过滤(第 3 层防火墙)
MAC 过滤(第 2 层防火墙)
激活常规防火墙功能时,默认情况下会启用端口过滤(第 4 层防火墙)及其所有预定义服务。
任何防火墙层接受连接时,都允许连接。如果未启用防火墙层,则允许所有传入连接通过。
防火墙的进一步配置可通过以下方式完成:启用/禁用通过指定的预定义服务的连接、手动添加 TCP 或 UDP 端口和/或将 IP/MAC 地址列入白名单。
端口过滤(第 4 层防火墙)
当启用端口筛选(第 4 层防火墙)时,将显示下列预定义服务及其各自的开启/关闭开关:
Web 的开放端口(TCP 80、TCP 8080)
SSH 和 SFTP (TCP 22) 的开放端口
无线工具的开放端口(UDP 6677、TCP 6678)
配件的开放端口(TCP 25000)
预定义服务 | 说明 |
|---|---|
Web 的开放端口(TCP 80、TCP 8080) | Web 服务所需的端口,以便可以通过工厂网络访问控制器。 将 Web 的开放端口(TCP 80、TCP 8080)设置为关闭会触发警告,告知与 Web HMI 的连接可能会丢失。 |
SSH 和 SFTP (TCP 22) 的开放端口 | 工厂以太网端口上的 SSH 和 SFTP 功能所需的端口。 |
配件的开放端口(TCP 25000) | 附件通过工厂网络与控制器通信所需的端口。 |
添加其他 TCP 和 UDP 端口
任何额外的 TCP 和 UDP 端口都可以添加到它们各自的输入框中,即打开额外的 TCP 端口和打开额外的 UDP 端口。接受逗号分隔的端口和使用连字符 (-) 的端口范围。示例:当输入 1、2、3、4--10 时,将打开 1 到 10 之间的所有端口。
无效的端口输入会立即触发弹出警告。
按下应用按钮后,端口将自动排序。
开放协议和 NTP
当使用开放协议时,必须在打开其他 TCP 端口输入框中手动添加要打开的端口。例如:4545,4546,4547(取决于在虚拟站点 > 虚拟站点 1 > 协议 > 开放协议 > 服务器端口中配置的端口)。使用 NTP 服务器时,必须在打开其他 UDP 端口输入框中手动添加端口 123。
可以使用逗号分隔来添加多个端口。可以使用破折号添加端口范围。
IP 过滤(第 3 层防火墙)
IP 过滤(第 3 层防火墙)允许通过在 IP 白名单输入框中输入 IP 地址来指定受信任的主机或网络。要访问输入框,请将开关设置为开启。接受的条目是以 IP 表的形式列出的 IP 地址或网络地址,即主机 IP 地址或网络 IP 地址。网络掩码可以输入为掩码长度(例如 /24)或网络 IP 地址(例如 /255.255.255.0)。立即允许来自白名单 IP 地址的数据包。其他数据包由其他防火墙层(端口过滤和 MAC 过滤)筛选。
由于安全问题,不接受输入主机名或网络名。
请注意,诸如 NATing(网络地址转换)之类的过程可能会更改源 IP 地址。当需要根据源 IP 地址将主机列入白名单时,请咨询本地网络管理员。
MAC 过滤(第 2 层防火墙)
MAC 过滤(第 2 层防火墙)允许通过在 MAC 白名单输入框中输入 MAC 地址来指定受信任的主机或网络。要访问输入框,请将开关设置为开启。接受的输入是以逗号分隔的 MAC 地址列表。立即允许来自白名单 MAC 地址的数据包。其他数据包由其他防火墙层(端口过滤和 IP 过滤)筛选。
无效的输入会立即触发弹出警告。
请注意,路由可能会更改源 MAC 地址。当需要根据源 MAC 地址将主机列入白名单时,请咨询本地网络管理员。
数据包计数器
若要查看每层防火墙的数据包计数器值,请选择数据包计数器。若要刷新或重置数据包计数器值,请选择相应的开关并释放。
防火墙状态
常规防火墙功能及其防火墙层的状态直接在防火墙主视图中的设置 > 网络下显示。
状态 | 说明 |
|---|---|
正常 | 防火墙被启用,且防火墙配置被应用。 |
已禁用 | 防火墙被禁用,并且防火墙配置未被应用。 |
配置错误 | 防火墙被启用,但由于内部错误,防火墙配置未被应用。 出于安全原因,故障打开策略被应用,这意味着允许所有连接通过。 |
当常规防火墙状态为 OK 时,还将显示相应防火墙层的状态(启用/禁用)。
