Configuration du pare-feu
Le POWER FOCUS 8 peut être configuré pour utiliser un pare-feu. Le pare-feu est basé sur le principe de l'hôte de confiance et n'autorise les connexions entrantes que via des ports qui sont activés ou des adresses qui figurent sur la liste blanche.
Par défaut, le pare-feu est désactivé.
Le pare-feu ne s'applique qu'aux connexions entrantes sur le port Ethernet de l'usine.
Activer et configurer le pare-feu
Sur la page d'accueil, aller sur l’onglet Réglages et sélectionner Réseau sur le panneau gauche.
Dans la fenêtre Pare-feu, sélectionner Modifier puis régler Activé sur Marche pour activer et configurer le pare-feu.
Aller sur les différentes fenêtres disponibles pour configurer différentes couches de pare-feu :
Filtrage du port (pare-feu couche 4). Ouverture d'un service sur le coffret. Vous pouvez spécifier quels services sont accessibles à travers le pare-feu.
Filtrage IP (pare-feu couche 3). Spécifier un hôte de confiance par IP. Vous pouvez spécifier une IP qui est considérée comme de confiance sur le réseau et qui peut accéder à tous les services.
Filtrage MAC (pare-feu couche 2). Spécifier un hôte de confiance par MAC.
Lors de l’activation de la fonction générale du pare-feu, le Filtrage du port (pare-feu couche 4) et tous ses services prédéfinis sont activés par défaut.
Une connexion est autorisée si l'une des couches du pare-feu l'accepte. Lorsqu'aucune couche de pare-feu n'est activée, toutes les connexions entrantes sont autorisées.
La configuration ultérieure du pare-feu se fait en activant/désactivant les connexions par le biais des services prédéfinis spécifiés, en ajoutant des ports TCP ou UDP manuellement et/ou en mettant sur liste blanche les adresses IP/MAC.
Filtrage du port (pare-feu couche 4)
Lorsque le Filtrage du port (pare-feu couche 4) définit les règles du pare-feu, et les ports TCP et UDP.
Le Filtrage du port (pare-feu couche 4) peut être mis sur MARCHE ou ARRÊT.
Lorsque le Filtrage du port (pare-feu couche 4) est sur MARCHE, le pare-feu effectue un filtrage des paquets en fonction du port de destination, et les paquets envoyés vers un port ouvert sont immédiatement acceptés. Les paquets non concordants sont également traités par les autres types de pare-feu (filtrage IP et filtrage MAC) avant d'être éventuellement refusés.
Lorsque le Filtrage du port (pare-feu couche 4) est sur ARRÊT, le filtrage du port est désactivé et tous les autres réglages sont cachés.
Les services prédéfinis ont leurs propres interrupteurs d'activation :
Ports ouverts pour les services web (TCP 80, TCP 8080)
Ports ouverts pour SSH et SFTP (TCP 22)
Ports ouverts pour outils sans fil (TCP 6677, TCP 6678)
Ports ouverts pour accessoires (TCP 25000)
Ports TCP supplémentaires
Ports UDP supplémentaires
Service prédéfini | Description |
---|---|
Ports ouverts pour le web (TCP 80, TCP 8080) | Ports nécessaires pour les services web pour que le coffret soit accessible dans tout le réseau de l'usine. Régler Ports ouverts pour le web (TCP 80, TCP 8080) sur Arrêt déclenche un avertissement sur la possible perte de connexion avec le Web HMI. |
Ports ouverts pour SSH et SFTP (TCP 22) | Ports nécessaires pour la fonctionnalité SSH et SFTP sur le port Ethernet usine. |
Ports ouverts pour outils sans fil (TCP 6677, TCP 6678) | Ports nécessaires aux outils sans fil pour se connecter au coffret sur le réseau de l'usine. |
Ports ouverts pour accessoires (TCP 25000) | Ports nécessaires aux accessoires pour communiquer avec le coffret sur le réseau de l'usine. Ceci s’applique au sélecteur de douilles 6. |
Ouvrir des ports TCP supplémentaires | Les ports acceptés sont séparés par une virgule et les plages de ports utilisant un tiret (-). Exemple : en saisissant 1,2,3,4-10, tous les ports de 1 à 10 sont ouverts. Les entrées de port non valides déclenchent un avertissement contextuel immédiat. Les ports sont automatiquement triés après avoir appuyé sur le bouton Appliquer. |
Ouvrir des ports UDP supplémentaires |
Lors de l’utilisation de Open Protocol, les ports à ouvrir doivent être ajoutés manuellement dans le champ de saisie Ouvrir des ports TCP supplémentaires. Par exemple : 4545,4546,4547 (en fonction des ports configurés dans Poste de travail virtuel > Poste de travail virtuel 1 > Protocoles > Open Protocol > Serveur Port).
Lors de l’utilisation d’un serveur NTP, le port 123 doit être ajoutés manuellement dans le champ de saisie Ouvrir des ports UDP supplémentaires.
Plusieurs ports peuvent être ajoutés en les séparant par une virgule. Les plages de ports peuvent être ajoutées en utilisant un tiret.
Filtrage IP (pare-feu couche 3)
Le Filtrage IP (pare-feu couche 3) permet de spécifier des hôtes de confiance ou des réseaux en saisissant leurs adresses IP dans le champ de saisie Liste blanche des IP. Pour accéder au champ de saisie, placer le commutateur en position Marche. Les entrées acceptées sont des listes d'adresses IP ou d'adresses réseau sous forme de tableaux IP, c'est-à-dire des adresses IP d'hôtes ou des adresses IP de réseaux. Le masque de réseau peut être saisi comme longueur de masque (par exemple, /24) ou comme adresse IP de réseau (par exemple, /255.255.255.0). Les paquets provenant d'une adresse IP figurant sur la liste blanche sont immédiatement autorisés. Les autres paquets sont filtrés par les autres couches du pare-feu (Filtrage du port et Filtrage MAC).
En raison de problèmes de sécurité, la saisie de noms d'hôtes ou de réseaux n'est pas acceptée.
Remarque : des processus comme le NATing (Network Address Translation) peuvent modifier les adresses IP sources. Consulter votre administrateur de réseau local lorsqu'il est nécessaire de mettre sur liste blanche un hôte en fonction de l'adresse IP source.
Filtrage MAC (pare-feu couche 2)
Le Filtrage MAC (pare-feu couche 2) permet de spécifier des hôtes de confiance ou des réseaux en saisissant leurs adresses MAC dans le champ de saisie Liste blanche des MAC. Pour accéder au champ de saisie, placer le commutateur en position Marche. Les saisies acceptées sont des listes d'adresses MAC séparées par des virgules. Les paquets provenant d'une adresse MAC figurant sur la liste blanche sont immédiatement autorisés. Les autres paquets sont filtrés par les autres couches du pare-feu (Filtrage du port et Filtrage IP).
Les entrées non valides déclenchent un avertissement contextuel immédiat.
Remarque : le routage peut modifier les adresses MAC sources. Consulter votre administrateur de réseau local lorsqu'il est nécessaire de mettre sur liste blanche un hôte en fonction de l'adresse MAC source.
Compteurs de paquets
Pour afficher les statistiques du pare-feu pour chaque couche du pare-feu, sélectionner Réglages > Réseau > Pare-feu > Compteurs de paquets.
La section Mettre à jour inclut les boutons suivants :
Rafraîchir : utilisé pour rafraîchir les compteurs de paquets affichés.
Réinitialiser : utilisé pour réinitialiser les compteurs de paquets à zéro.
Les deux boutons sont dotés d'un interrupteur qui se réinitialise automatiquement après avoir effectué l'action.
La section Compteurs de paquets acceptés affiche les compteurs pour chacun des types de pare-feu et pour les paquets refusés.
Filtrage du port : affiche le compteur de paquets pour les paquets acceptés par le pare-feu de type Filtrage du port.
Filtrage IP : affiche le compteur de paquets pour les paquets acceptés par le pare-feu de type Filtrage IP.
Filtrage MAC : affiche le compteur de paquets pour les paquets acceptés par le pare-feu de type Filtrage MAC.
Refusé : affiche le compteur de paquets pour les paquets refusés.
Les paquets acceptés, et donc comptés, par les règles de filtrage du port, IP et MAC ne comprennent que les paquets initiaux qui établissent une connexion.
Les Paquets refusés sont tous comptés et affichés.
État du pare-feu
L'état de la fonction générale du pare-feu et de ses couches est affiché dans la vue principale du Pare-feu directement sous Réglages > Réseau.
État | Description |
---|---|
OK | Le pare-feu est activé et la configuration du pare-feu est appliquée. |
Désactivé | Le pare-feu est désactivé et la configuration du pare-feu n’est pas appliquée. |
Erreur de configuration | Le pare-feu est activé, mais la configuration du pare-feu n'est pas appliquée en raison d'une erreur interne. Pour des raisons de sécurité, la politique d'ouverture en cas de panne est appliquée, ce qui signifie que toutes les connexions sont autorisées. |
Lorsque l'état général du pare-feu est OK, l'état (Activé / Désactivé) pour les couches respectives du pare-feu est également affiché.