Sobre el cortafuegos

Se puede configurar el POWER FOCUS 6000 para utilizar un cortafuegos. El cortafuegos se basa en el principio del host de confianza, y solo permite conexiones entrantes a través de puertos activados, o direcciones incluidas en una lista blanca.

El cortafuegos está desactivado de forma predeterminada.

El cortafuegos se aplica solo a las conexiones entrantes en el puerto ethernet de fábrica.

Activar y configurar el cortafuegos

Para activar y configurar el cortafuegos, seleccione Editar.

En el contenedor superior, active la característica del cortafuegos general cambiándola a Activado.
En los contenedores restantes, configure cualquiera de las siguientes capas de cortafuegos:

  • Filtrado de puerto (cortafuegos de 4 capas) Abrir un servicio en el controlador: puede especificar los servicios a los que se puede acceder a través del cortafuegos.

  • Filtrado de IP (cortafuegos de 3 capas) Especificar un host de confianza por IP: puede especificar una IP que se considere de confianza en la red y puede acceder a todos los servicios.

  • Filtrado de MAC (cortafuegos de 2 capas) Especificar un host de confianza por MAC.

Al activar la característica de cortafuegos general, Filtrado de puerto (cortafuegos de 4 capas) y todos sus servicios predefinidos se activan de forma predeterminada.

Se permite una conexión cuando cualquiera de las capas del cortafuegos la acepta. Cuando no hay activada ninguna capa del cortafuegos, se permiten todas las conexiones entrantes.

La configuración adicional del cortafuegos se realiza activando/desactivando conexiones a través de los servicios predefinidos especificados, añadiendo manualmente puertos TCP o UDP y/o añadiendo a la lista blanca direcciones IP/MAC

Filtrado de puerto (cortafuegos de 4 capas)

Cuando Filtrado de puerto (cortafuegos de 4 capas) define normas de cortafuegos y puertos TCP y UDP.

Filtrado de puerto (cortafuegos de 4 capas) se puede Activar o Desactivar.
Cuando Filtrado de puerto (cortafuegos de 4 capas) está Activado, el cortafuegos realiza filtrado de paquetes en base al puerto de destino, y los paquetes enviados a un puerto abierto se aceptan inmediatamente. Los paquetes que no coinciden también son procesados por el resto de tipos de cortafuegos (filtrado de IP y de MAC) antes de ser rechazados finalmente.
Cuando Filtrado de puerto (cortafuegos de 4 capas) está Desactivado, el filtrado de puerto está desactivado y el resto de ajustes están ocultos.

Los servicios predefinidos tienen sus propios interruptores de activación:

  • Puertos abiertos para servicios web (TCP 80, TCP 8080)

  • Puertos abiertos para SSH y SFTP (TCP 22)

  • Puertos abiertos para herramientas inalámbricas (TCP 6677, TCP 6678)

  • Puertos abiertos para accesorios (TCP 25000)

  • Puertos TCP adicionales

  • Puertos UDP adicionales

Servicio predefinido

Descripción

Puertos abiertos para web (TCP 80, TCP 8080)

Puertos requeridos para servicios web de forma que el controlador esté accesible en toda la red de fábrica.

Al configurar Puertos abiertos para web (TCP 80, TCP 8080) como Desactivado, se activa una advertencia indicando que se podría perder la conexión con la HMI web.

Puertos abiertos para SSH y SFTP (TCP 22)

Puerto requerido para la función SSH y SFTP en el puerto ethernet de fábrica.

Puertos abiertos para herramientas inalámbricas (TCP 6677, TCP 6678)

Puertos requeridos para que las herramientas inalámbricas se conecten al controlador en toda la red de fábrica.

Puertos abiertos para accesorios (TCP 25000)

Puertos requeridos para que los accesorios se comuniquen con el controlador en toda la red de fábrica. Esto es aplicable al Socket Selector 6.

Puertos TCP adicionales abiertos

Se aceptan puertos separados por comas e intervalos de puertos que utilicen un guión (-). Ejemplo: al introducir 1,2,3,4-10, se abren todos los puertos entre 1 y 10.

Las entradas de puerto no válidas activan una advertencia emergente inmediatamente.

Los puertos se ordenan automáticamente tras pulsar el botón Aplicar.

Puertos UDP adicionales abiertos

Al utilizar Open Protocol, los puertos que se desea abrir se deben añadir manualmente en la casilla Abrir puertos TCP adicionales. Por ejemplo: 4545,4546,4547 (dependiendo de los puertos configurados en Estación virtual > Estación virtual 1 > Protocolos > Open Protocol > Puerto de servidor).

Al utilizar un puerto Servidor NTP, 123 se debe añadir manualmente en la casilla Abrir puertos UDP adicionales.

Se pueden añadir múltiples puertos separándolos mediante una coma. Los intervalos de puertos se pueden añadir utilizando un guión.

Filtrado de IP (cortafuegos de 3 capas)

Filtrado de IP (cortafuegos de 3 capas) permite identificar hosts o redes de confianza introduciendo sus direcciones IP en la casilla Lista blanca de IP. Para acceder a la casilla, coloque el interruptor en Activado. Las entradas aceptadas son listas de direcciones IP o direcciones de red en forma de tablas de IP, es decir, direcciones IP de host o direcciones IP de red. La máscara de red se puede introducir como longitud de máscara (por ejemplo, /24) o como dirección IP de red (por ejemplo, /255.255.255.0). Los paquetes que proceden de direcciones IP incluidas en la lista blanca se aceptan inmediatamente. El resto de paquetes se filtra a través del resto de capas de cortafuegos (filtrado de puerto y filtrado de MAC).

Ejemplo de dirección IP incluida en lista blanca

Debido a cuestiones de seguridad, no se permite introducir nombres de host o nombres de red.

Tenga en cuenta que procesos como NATing (Network Address Translation) puede cambiar direcciones IP de fuente. Consulte con su administrador de red local cuando se requiera incluir en la lista blanca un host basado en una dirección IP de fuente.

Filtrado de MAC (cortafuegos de 2 capas)

Filtrado de MAC (cortafuegos de 2 capas) permite identificar hosts o redes de confianza introduciendo sus direcciones MAC en la casilla Lista blanca de MAC. Para acceder a la casilla, coloque el interruptor en Activado. Las entradas aceptadas son listas de direcciones MAC separadas por comas. Los paquetes que proceden de direcciones MAC incluidas en la lista blanca se aceptan inmediatamente. El resto de paquetes se filtra a través del resto de capas de cortafuegos (filtrado de puerto y filtrado de MAC).

Ejemplo de dirección MAC incluida en lista blanca

Las entradas no válidas activan una advertencia emergente inmediatamente.

Tenga en cuenta que el enrutamiento puede cambiar las direcciones MAC de fuente. Consulte con su administrador de red local cuando se requiera incluir en la lista blanca un host basado en una dirección MAC de fuente.

Contadores de paquetes

Para consultar las estadísticas de cortafuegos de cada capa de cortafuegos, seleccione Ajustes > Red > Cortafuegos - Contadores de paquetes.

La sección Actualizar incluye los botones siguientes:

  • Volver a cargar: se utiliza para volver a cargar los contadores de paquetes.

  • Restablecer: se utiliza para restablecer los contadores de paquetes a cero.

Ambos botones se implementan con un interruptor que se restablece automáticamente a la posición original tras realizar la acción.

La sección Contadores de paquetes aceptados muestra los contadores de cada tipo de cortafuegos y de los paquetes rechazados.

  • Filtrado de puerto: muestra el contador de paquetes de los paquetes aceptados por el tipo de cortafuegos Filtrado de puerto.

  • Filtrado de IP: muestra el contador de paquetes de los paquetes aceptados por el tipo de cortafuegos Filtrado de IP.

  • Filtrado de MAC: muestra el contador de paquetes de los paquetes aceptados por el tipo de cortafuegos Filtrado de MAC.

  • Rechazados: muestra el contador de paquetes de los paquetes que han sido rechazados.

Los paquetes aceptados, y por lo tanto contados, por las normas de filtrado de Puerto, IP y MAC solo incluyen los paquetes iniciales que establecen una conexión.

Se cuentan y muestran todos los paquetes rechazados.

Estado del cortafuegos

El estado de la característica cortafuegos general y de sus capas de cortafuegos aparece en la vista principal Cortafuegos directamente en Ajustes > Red.

Estado

Descripción

OK

El cortafuegos está activado y se aplica la configuración del cortafuegos.

Desactivado

El cortafuegos está desactivado y no se aplica la configuración del cortafuegos.

Error de configuración

El cortafuegos está activado, pero la configuración del cortafuegos no se aplica a causa de un error interno.

Por razones de seguridad, se aplica la política de fallo abierto, lo que significa que se permiten todas las conexiones.

Cuando el estado del cortafuegos general es OK, el estado (Activado / Desactivado) para las respectivas capas de cortafuegos también se muestra.