Informazioni sul firewall
È possibile configurare POWER FOCUS 6000 in modo da utilizzare un firewall. Il firewall si basa sul principio dell'host affidabile e consente solo le connessioni in entrata tramite le porte abilitate o gli indirizzi presenti nella lista bianca.
Per impostazione predefinita, il firewall è disabilitato.
Il firewall viene applicato solo alle connessioni in entrata sulla porta Ethernet della fabbrica.
Attivazione e configurazione del firewall
Per attivare e configurare il firewall, selezionare Modifica.
Nel contenitore in alto, attivare la funzione firewall generale impostandola su On.
Nei contenitori rimanenti, configurare uno dei seguenti livelli del firewall:
Filtro delle porte (firewall di livello 4). Apertura di un servizio sul controller: è possibile specificare i servizi raggiungibili attraverso il firewall.
Filtro IP (firewall di livello 3). Specificare un host attendibile tramite IP: è possibile specificare un IP considerato attendibile sulla rete, che potrà accedere a tutti i servizi.
Filtro MAC (firewall di livello 2). Specifica di un host attendibile da MAC.
Quando si attiva la funzionalità firewall generale, Filtro porte (firewall di livello 4) e tutti i relativi servizi predefiniti sono abilitati per impostazione predefinita.
Una connessione è consentita quando viene accettata da uno dei livelli del firewall. Quando non è abilitato alcun livello del firewall, tutte le connessioni in entrata sono consentite.
L'ulteriore configurazione del firewall viene eseguita abilitando/disabilitando le connessioni tramite i servizi predefiniti specificati, aggiungendo manualmente le porte TCP o UDP e/o inserendo indirizzi IP/MAC nella lista bianca.
Filtro delle porte (firewall di livello 4)
Quando Filtro porta (firewall di livello 4) imposta le regole del firewall e le porte TCP e UDP.
È possibile commutare il filtro delle porte (firewall di livello 4) su ON o OFF.
Quando Filtro porte (firewall di livello 4) è ON, il firewall esegue il filtraggio dei pacchetti in base alla porta di destinazione e i pacchetti inviati a una porta aperta vengono immediatamente accettati. I pacchetti non corrispondenti vengono elaborati anche dagli altri tipi di firewall (Filtro IP e Filtro MAC) prima di essere eventualmente rifiutati.
Quando Filtro delle porte (firewall di livello 4) è OFF, il filtraggio delle porte è disabilitato e tutte le altre impostazioni sono nascoste.
I servizi predefiniti dispongono di interruttori di abilitazione:
Porte aperte per i servizi Web (TCP 80, TCP 8080)
Porte aperte per SSH e SFTP (TCP 22)
Porte aperte degli strumenti wireless (UDP 6677, TCP 6678)
Porte aperte per gli accessori (TCP 25000)
Porte TCP aggiuntive
Porte UDP aggiuntive
Servizio predefinito | Descrizione |
---|---|
Porte aperte per il Web (TCP 80, TCP 8080) | Porte richieste per i servizi Web in modo che il controller sia accessibile tramite la rete della fabbrica. Impostando Porte aperte per il Web (TCP 80, TCP 8080) su Off, viene attivato un avviso indicante che la connessione con l'HMI Web potrebbe essere interrotta. |
Porte aperte per SSH e SFTP (TCP 22) | Porta richiesta per la funzionalità SSH e SFTP sulla porta Ethernet della fabbrica. |
Porte aperte degli strumenti wireless (UDP 6677, TCP 6678) | Porte necessarie per la connessione degli strumenti wireless al controller tramite la rete della fabbrica. |
Porte aperte per gli accessori (TCP 25000) | Porte necessarie agli accessori per comunicare con il controller sulla rete della fabbrica. Ciò vale per Socket Selector 6. |
Apri altre porte TCP | Vengono accettate le porte separate da virgole e gli intervalli di porte definiti con un trattino (-). Esempio: inserendo 1,2,3,4-10, tutte le porte comprese tra 1 e 10 vengono aperte. Le voci delle porte non valide attivano un avviso a comparsa immediato. Le porte vengono ordinate automaticamente dopo aver premuto il pulsante Applica. |
Apri altre porte UDP |
Quando si utilizza Open Protocol, aggiungere le porte da aprire manualmente nella casella di immissione Apri porte TCP aggiuntive. Ad esempio: 4545,4546,4547 (a seconda delle porte configurate in Stazione virtuale Stazione virtuale 1> Protocolli> Open Protocol> Porta del server).
Quando si utilizza un server NTP, aggiungere la porta 123 manualmente nella casella di immissione Apri porte UDP aggiuntive.
È possibile aggiungere più porte utilizzando la separazione delle virgole. È possibile aggiungere intervalli di porte utilizzando un trattino.
Filtro IP (firewall di livello 3)
Filtraggio IP (firewall di livello 3) permette di specificare gli host o le reti attendibili inserendone gli indirizzi IP nella casella Lista bianca IP. Per accedere alla casella di immissione, impostare l'interruttore su On. Le voci accettate sono elenchi di indirizzi IP o di rete sotto forma di tabelle IP, ovvero indirizzi IP di host o di rete. È possibile inserire la maschera di rete come lunghezza della maschera (es /24) o indirizzo IP di rete (es. /255.255.255.0). I pacchetti provenienti da un indirizzo IP nella lista bianca presente nella lista bianca vengono immediatamente consentiti. Gli altri pacchetti vengono controllati dagli altri livelli del firewall (Filtro porte e Filtro MAC).
A causa di problemi di sicurezza, l'immissione di nomi di host o rete non è accettata.
Nota: processi come il NAT (Network Address Translation) possono modificare gli indirizzi IP di origine. Rivolgersi all'amministratore della rete locale se occorre la lista bianca di un host in base all'indirizzo IP di origine.
Filtro MAC (firewall di livello 2)
Filtraggio MAC (firewall di livello 2) permette di specificare gli host o le reti attendibili inserendone gli indirizzi MAC nella casella Lista bianca MAC. Per accedere alla casella di immissione, impostare l'interruttore su On. Le voci accettate sono elenchi di indirizzi MAC separati da virgole. I pacchetti provenienti da un indirizzo MAC presente nella lista bianca vengono immediatamente consentiti. Gli altri pacchetti vengono controllati dagli altri livelli del firewall (Filtro porte e Filtro IP).
Le voci non valide attivano un avviso a comparsa immediato.
Nota: il routing può modificare gli indirizzi MAC di origine. Rivolgersi all'amministratore della rete locale se occorre la lista bianca di un host in base all'indirizzo MAC di origine.
Contatori dei pacchetti
Per visualizzare le statistiche del firewall per ciascun livello del firewall, selezionare Impostazioni> Rete> Firewall, contatori pacchetti.
La sezione Aggiorna include i seguenti pulsanti:
Aggiorna: consente di aggiornare i contatori dei pacchetti visualizzati.
Reimposta: consente di azzerare i contatori dei pacchetti.
Entrambi i pulsanti sono dotati di un interruttore che si ripristina automaticamente nella posizione originale dopo aver eseguito l'azione.
La sezione Contatori pacchetti accettati visualizza i contatori per ciascun tipo firewall e dei pacchetti rifiutati.
Filtraggio porte: visualizza il contatore dei pacchetti accettati dal tipo di firewall di filtraggio porte.
Filtro IP: visualizza il contatore dei pacchetti accettati dal tipo di firewall Filtro IP.
Filtro MAC: visualizza il contatore dei pacchetti accettati dal tipo di firewall Filtro MAC.
Rifiutato: visualizza il contatore dei pacchetti rifiutati.
I pacchetti accettati, e quindi conteggiati, dalle regole di filtro porta, IP e MAC includono solo i pacchetti iniziali che stabiliscono una connessione.
I pacchetti rifiutati vengono conteggiati e visualizzati.
Stato del firewall
Lo stato della funzione firewall generale e dei relativi livelli viene indicato nella vista principale Firewall direttamente in Impostazioni> Rete.
Stato | Descrizione |
---|---|
OK | Il firewall è abilitato e viene applicata la configurazione del firewall. |
Disabilitato | Il firewall è disabilitato e la configurazione relativa non viene applicata. |
Errore di configurazione | Il firewall è abilitato, ma la relativa configurazione non viene applicata a causa di un errore interno. Per motivi di sicurezza, viene applicata la politica di apertura in caso di errore, che consente tutte le connessioni. |
Quando lo stato generale del firewall è OK, viene visualizzato anche lo stato (Abilitato/Disabilitato) per i rispettivi livelli del firewall.