Configurar el cortafuegos

El controlador se puede configurar para utilizar un cortafuegos. El cortafuegos se basa en el principio del host de confianza, y solo permite conexiones entrantes a través de puertos autorizados o direcciones recogidas en una lista blanca.

El cortafuegos está desactivado de forma predeterminada.

El cortafuegos se aplica solo a las conexiones entrantes en el puerto Factory Ethernet.

Activar y configurar el cortafuegos

  1. En la ventana Inicio, seleccione Ajustes.

  2. Seleccione Red en el panel izquierdo.

  3. En el panel de la derecha, navegue hasta Cortafuegos.

  4. Seleccione Editar y configure el Cortafuegos como Activado. El filtrado de puerto (cortafuegos de 4 capas) y todos sus filtro predefinidos se activan de forma predeterminada.

  5. Configure los ajustes para las diferentes capas de cortafuegos configurando servicios como activado/desactivado o introduzca manualmente las direcciones.

    • Filtrado de puerto (cortafuegos de 4 capas): Para abrir y especificar servicios a los que se puede acceder a través del cortafuegos.

    • Filtrado de IP (cortafuegos de 3 capas): Para especificar un host de confianza por IP en la red que pueda acceder a todos los servicios.

    • Filtrado de MAC (cortafuegos de 2 capas): Para especificar un host de confianza por MAC.

    Cuando no hay activada ninguna capa del cortafuegos, se permiten todas las conexiones entrantes.

Filtrado de puerto (cortafuegos de 4 capas)

Cuando Filtrado de puerto (cortafuegos de 4 capas) se configura como Activado, el cortafuegos filtra los paquetes según el puerto de destino. Los paquetes que se envían a un puerto abierto se aceptan inmediatamente. Los paquetes que no coinciden también son procesados por el resto de tipos de cortafuegos (filtrado de IP y de MAC) antes de ser aceptados o rechazados.

Cuando Filtrado de puerto (cortafuegos de 4 capas) está Desactivado, el filtrado de puerto está desactivado y el resto de opciones están ocultas.

Los servicios predefinidos tienen sus propios interruptores de activación:

  • Puertos abiertos para web (TCP 80, TCP 8080)

  • Puertos abiertos para SSH y SFTP (TCP 22)

  • Puertos abiertos para herramientas inalámbricas (TCP 6677, TCP 6678)

  • Puertos abiertos para accesorios (TCP 25000)

  • Puertos TCP adicionales

  • Puertos UDP adicionales

Servicio predefinido

Descripción

Abre puertos para IxB Connect (predeterminado 62000, configurable)

Puerto requerido para conectar herramientas IxB Connect a través de la red de la fábrica con el controlador. IxB Connect requiere un «puerto base» configurado + 1 puerto/herramienta conectada. 3 herramientas => 62000 - 62003.

Puertos abiertos para web (TCP 80, TCP 8080)

Puertos requeridos para servicios web de forma que el controlador esté accesible en toda la red de fábrica.

Al configurar Puertos abiertos para web (TCP 80, TCP 8080) como Desactivado, se activa una advertencia indicando que se podría perder la conexión con la HMI web.

Puertos abiertos para SSH y SFTP (TCP 22)

Puerto requerido para la función SSH y SFTP en el puerto Factory Ethernet.

Puertos abiertos para herramientas inalámbricas (TCP 6677, TCP 6678)

Puertos requeridos para que las herramientas inalámbricas se conecten al controlador en toda la red de fábrica.

Puertos abiertos para accesorios (TCP 25000)

Puertos requeridos para que los accesorios se comuniquen con el controlador en toda la red de fábrica. Esto es aplicable al Socket Selector 6.

Puertos TCP adicionales abiertos

Se aceptan puertos separados por comas e intervalos de puertos que utilicen un guión (-). Ejemplo: al introducir 1,2,3,4-10, se abren todos los puertos entre 1 y 10.

Las entradas de puerto no válidas activan una advertencia emergente inmediatamente.

Los puertos se ordenan automáticamente seleccionando el botón Aplicar.

Puertos UDP adicionales abiertos

Para utilizar Open Protocol, introduzca manualmente los números de puerto en la casilla Abrir puertosTCP adicionales. Por ejemplo: 4545,4546,4547 (depende de los puertos configurados en Estación virtual > Estación virtual 1 > Protocolos > Open Protocol > Puerto de servidor).

Para utilizar NTP server, introduzca manualmente el puerto 123 en la casilla Abrir puertosTCP adicionales.

Se añaden múltiples puertos separándolos mediante una coma. Los intervalos de puertos se añaden utilizando un guión.

Filtrado de IP (cortafuegos de 3 capas)

Para especificar hosts o redes de confianza en Filtrado de IP (cortafuegos de 3 capas), introduzca sus direcciones IP en la casilla Lista blanca IP. Para acceder a la casilla, cambie el selector a Activado. Las entradas aceptadas son listas de direcciones IP o direcciones de red como tablas de IP, es decir, direcciones IP de host o direcciones IP de red. La máscara de red se puede introducir como longitud de máscara (por ejemplo, /24) o como dirección IP de red (por ejemplo, /255.255.255.0). Los paquetes que proceden de direcciones IP incluidas en la lista blanca se aceptan inmediatamente. El resto de paquetes se filtra a través del resto de capas de cortafuegos (filtrado de puerto y filtrado de MAC).

Ejemplo de dirección IP incluida en lista blanca

Debido a cuestiones de seguridad, no se permite introducir nombres de host o nombres de red.

Tenga en cuenta que procesos como NATing (Network Address Translation) puede cambiar direcciones IP de fuente. Consulte con su administrador de red local cuando se requiera incluir en la lista blanca un host basado en una dirección IP de fuente.

Filtrado de MAC (cortafuegos de 2 capas)

Filtrado de MAC (cortafuegos de 2 capas) permite identificar hosts o redes de confianza introduciendo sus direcciones MAC en la casilla Lista blanca de MAC. Para acceder a la casilla, cambie el selector a Activado. Las entradas aceptadas son listas de direcciones MAC separadas por comas. Los paquetes que proceden de direcciones MAC incluidas en la lista blanca se aceptan inmediatamente. El resto de paquetes se filtra a través del resto de capas de cortafuegos (filtrado de puerto y filtrado de IP).

Ejemplo de dirección MAC incluida en lista blanca

Las entradas no válidas activan una advertencia emergente inmediatamente.

Tenga en cuenta que el enrutamiento puede cambiar las direcciones MAC de fuente. Consulte con su administrador de red local cuando se requiera incluir en la lista blanca un host basado en una dirección MAC de fuente.

Contadores de paquetes

Para consultar las estadísticas de cortafuegos de cada capa de cortafuegos, seleccione Ajustes > Red > Cortafuegos > Contadores de paquetes.

La sección Actualizar incluye los botones siguientes:

  • Volver a cargar: se utiliza para volver a cargar los contadores de paquetes.

  • Restablecer: se utiliza para restablecer los contadores de paquetes a cero.

Ambos botones tienen un interruptor que se restablece automáticamente a la posición original tras realizar la acción.

La sección Contadores de paquetes aceptados muestra los contadores de cada tipo de cortafuegos y de los paquetes rechazados.

  • Filtrado de puerto: muestra el contador de paquetes de los paquetes aceptados por el tipo de cortafuegos Filtrado de puerto.

  • Filtrado de IP: muestra el contador de paquetes de los paquetes aceptados por el tipo de cortafuegos Filtrado de IP.

  • Filtrado de MAC: muestra el contador de paquetes de los paquetes aceptados por el tipo de cortafuegos Filtrado de MAC.

  • Rechazados: muestra el contador de paquetes de los paquetes que han sido rechazados.

Los paquetes aceptados, y por lo tanto contados, por las normas de filtrado de Puerto, IP y MAC solo incluyen los paquetes iniciales que establecen una conexión.

Se cuentan y muestran todos los paquetes rechazados.

Estado del cortafuegos

El estado de la característica cortafuegos general y de sus capas de cortafuegos aparece en la vista principal Cortafuegos directamente en Ajustes > Red.

Estado

Descripción

OK

El cortafuegos está activado y se aplica la configuración del cortafuegos.

Desactivado

El cortafuegos está desactivado y no se aplica la configuración del cortafuegos.

Error de configuración

El cortafuegos está activado, pero la configuración del cortafuegos no se aplica a causa de un error interno.

Por razones de seguridad, se aplica la política de fallo abierto, lo que significa que se permiten todas las conexiones.

Cuando el estado del cortafuegos general es OK, el estado (Activado / Desactivado) para las respectivas capas de cortafuegos también se muestra.