O bráne firewall

POWER FOCUS 6000 je možné nastaviť tak, aby sa používal ako brána firewall. Brána firewall je založená na princípe dôveryhodného hostiteľa a umožňuje iba prichádzajúce pripojenia cez porty, ktoré sú aktivované alebo adresy, ktoré sú na zaradené na biely zoznam.

Predvolene je brána firewall deaktivovaná.

Brána firewall sa vzťahuje len na prichádzajúce pripojenia na továrenskom ethernetovom porte.

Aktivácia a konfigurácia brány firewall

Na aktiváciu a konfiguráciu brány firewall vyberte Upraviť.

V hornom kontajneri aktivujte všeobecnú funkciu brány firewall tým, že ju nastavíte na Zap.
V zostávajúcich kontajneroch nakonfigurujte ktorúkoľvek z nasledujúcich vrstiev brány firewall:

  • Filtrovanie portu (vrstva 4 brány firewall). Otvorenie služby na ovládači – môžete stanoviť, ktoré služby sú dosiahnuteľné cez bránu firewall.

  • Filtrovanie IP (vrstva 3 brány firewall). Stanovenie dôveryhodného hostiteľa pomocou IP – môžete stanoviť IP, ktorá sa považuje za dôveryhodnú na sieti a môže získať prístup ku všetkým službám.

  • Filtrovanie MAC (vrstva 2 brány firewall). Stanovenie dôveryhodného hostiteľa pomocou MAC.

Keď je aktivovaná všeobecná funkcia brány firewall, Filtrovanie portu (vrstva 4 brány firewall) a všetky jej vopred definované služby sú aktivované predvolené.

Pripojenie je povolené, keď to prijme ktorákoľvek z vrstiev brány firewall. Keď nie je aktivovaná žiadna vrstva brány firewall, prechod majú povolené všetky prichádzajúce pripojenia.

Ďalšia konfigurácia brány firewall sa vykonáva aktiváciou/deaktiváciou pripojení cez vopred definované služby stanovené manuálnym pridaním portov TCP alebo UDP a/alebo zaradením adries IP/MAC na biely zoznam.

Filtrovanie portu (vrstva 4 brány firewall)

Keď Filtrovanie portu (vrstva 4 brány firewall) nastavuje pravidlá brány firewall, a porty TCP a UDP.

Filtrovanie portu (vrstva 4 brány firewall) je možné zapnúť alebo vypnúť.
Keď je Filtrovanie portu (vrstva 4 brány firewall)zapnuté, brána firewall vykonáva filtrovanie paketov na základe cieľového portu a pakety odoslané do otvoreného portu sú okamžite prijaté. Nezhodujúce sa pakety sa tiež spracujú inými typmi brány firewall (filtrovanie IP a filtrovanie MAC) predtým, ako sa nakoniec odmietnu.
Keď je Filtrovanie portu (vrstva 4 brány firewall)vypnuté, filtrovanie portu je deaktivované a všetky ostatné nastavenia sú skryté.

Vopred definované služby majú vlastné aktivačné spínače:

  • Otvorené porty pre webové služby (TCP 80, TCP 8080)

  • Otvorené porty pre SSH a SFTP (TCP 22)

  • Otvorené porty pre bezdrôtové nástroje (UDP 6677, TCP 6678)

  • Otvorené porty pre príslušenstvo (TCP 25000)

  • Dodatočné porty TCP

  • Dodatočné porty UDP

Vopred definovaná služba

Popis

Otvorené porty pre web (TCP 80, TCP 8080)

Porty potrebné pre webové služby, aby bol ovládač prístupný cez továrenskú sieť.

Nastavenie Otvorené porty pre web (TCP 80, TCP 8080) na Vyp spustí varovanie, že sa môže stratiť pripojenie s webovým HMI.

Otvorené porty pre SSH a SFTP (TCP 22)

Port potrebný pre funkciu SSH a SFTP na továrenskom ethernetovom porte.

Otvorené porty pre bezdrôtové nástroje (UDP 6677, TCP 6678)

Porty potrebné pre bezdrôtové nástroje na pripojenie k ovládaču cez továrenskú sieť.

Otvorené porty pre príslušenstvo (TCP 25000)

Porty potrebné pre príslušenstvo na komunikáciu s ovládačom cez továrenskú sieť. Toto sa vzťahuje na volič nástrčky 6.

Otvoriť dodatočné porty TCP

Príjmu sa porty oddelené čiarkou aj rozsahy portov pomocou pomlčky (-). Príklad: po zadaní 1,2,3,4-10 sa otvoria všetky porty 1 až 10.

Neplatné zadania portu spustia okamžité kontextové varovanie.

Porty sa automaticky zoradia po stlačení tlačidla Použiť.

Otvoriť dodatočné porty UDP

Pri použití Otvorený protokol sa porty, ktoré sa majú otvoriť, musia manuálne pridať do vstupného poľa Otvoriť dodatočné porty TCP. Napríklad: 4545,4546,4547 (v závislosti od portov nakonfigurovaných v sekcii Virtuálna stanica > Virtuálna stanica 1 > Protokoly > Otvorený protokol > Port servera).

Pri použití Server NTP sa port 123 musí manuálne pridať do vstupného poľa Otvoriť dodatočné porty UDP.

Oddelením čiarkou je možné pridať viaceré porty. Rozsahy portov je možné pridať pomocou pomlčky.

Filtrovanie IP (vrstva 3 brány firewall)

Filtrovanie IP (vrstva 3 brány firewall) umožňuje stanoviť dôveryhodných hostiteľov zadaním ich adries IP do vstupného poľa Biely zoznam IP. Na získanie prístupu k vstupnému poľu nastavte spínač na Zap. Prijaté zadania sú zoznamy adries IP alebo sieťové adresy vo forme tabuliek IP, t.j. adresy IP hostiteľa alebo sieťové adresy IP. Maska siete sa môže zadať ako dĺžka masky (napríklad /24) alebo ako sieťová adresa IP (napríklad /255.255.255.0). Pakety pochádzajúce z adries IP zaradených na biely zoznam sú okamžite povolené. Ďalšie pakety kontrolujú ostatné vrstvy brány firewall (Filtrovanie portu a Filtrovanie MAC).

Príklad adresy IP zaradenej na biely zoznam

Z dôvodu problémov so zabezpečením sa neprijme zadanie názvov hostiteľov alebo názvov sietí.

Upozorňujeme, že procesy ako NATing (Network Address Translation – Preklad sieťových adries) môžu zmeniť zdrojové adresy IP. Ak je potrebné na biely zoznam zaradiť hostiteľa na základe zdrojovej adresy IP, poraďte sa s vaším miestnym správcom siete.

Filtrovanie MAC (vrstva 2 brány firewall)

Filtrovanie MAC (vrstva 2 brány firewall) umožňuje stanoviť dôveryhodných hostiteľov zadaním ich adries MAC do vstupného poľa Biely zoznam MAC. Na získanie prístupu k vstupnému poľu nastavte spínač na Zap. Prijaté zadania sú zoznamy adries MAC oddelené čiarkou. Pakety pochádzajúce z adries MAC zaradených na biely zoznam sú okamžite povolené. Ďalšie pakety kontrolujú ostatné vrstvy brány firewall (Filtrovanie portu a Filtrovanie IP).

Príklad adresy MAC zaradenej na biely zoznam

Neplatné zadania spustia okamžité kontextové varovanie.

Upozorňujeme, že smerovanie môže zmeniť zdrojové adresy MAC. Ak je potrebné na biely zoznam zaradiť hostiteľa na základe zdrojovej adresy MAC, poraďte sa s vaším miestnym správcom siete.

Počítadlá paketov

Na zobrazenie štatistiky brány firewall pre každú vrstvu brány firewall vyberte Nastavenia > Sieť > Brána firewall – Počítadlá paketov.

Sekcia Aktualizovať obsahuje nasledujúce tlačidlá:

  • Obnoviť – používa sa na obnovenie zobrazených počítadiel paketov.

  • Vynulovať – používa sa na vynulovanie počítadiel paketov.

Obidve tlačidlá sa vybavené spínačom, ktorý sa po vykonaní akcie automaticky vráti do pôvodnej polohy.

Sekcia Prijaté počítadlá paketov zobrazuje počítadlá pre každý z typov brány firewall a pre odmietnuté pakety.

  • Filtrovanie portu – zobrazuje počítadlo paketov pre pakety prijaté typom brány firewall Filtrovanie portu.

  • Filtrovanie IP – zobrazuje počítadlo paketov pre pakety prijaté typom brány firewall Filtrovanie IP.

  • Filtrovanie MAC – zobrazuje počítadlo paketov pre pakety prijaté typom brány firewall Filtrovanie MAC.

  • Odmietnuté – zobrazuje počítadlo paketov pre pakety, ktoré boli odmietnuté.

Prijaté a teda spočítané pakety, podľa pravidiel filtrovania portu, IP a MAC obsahujú iba počiatočné pakety, ktoré nadväzujú spojenie.

Všetky odmietnuté pakety sa spočítajú a zobrazia.

Stav brány firewall

Stav všeobecnej funkcie brány firewall a jej vrstiev brány firewall je zobrazený v hlavnom zobrazení Brána firewall priamo v sekcii Nastavenia > Sieť.

Stav

Popis

OK

Brána firewall je aktivovaná a konfigurácia brány firewall je použitá.

Deaktivovaná

Brána firewall je deaktivovaná a konfigurácia brány firewall nie je použitá.

Chyba konfigurácie

Brána firewall je aktivovaná, ale konfigurácia brány firewall nie je použitá v dôsledku vnútornej chyby.

Z bezpečnostných dôvodov sa aplikuje politika Fail-Open. To znamená, že je povolený prechod všetkých pripojení.

Keď je všeobecný stav brány firewall OK, zobrazený je aj stav (Aktivované/Deaktivované) pre príslušné vrstvy brány firewall.