关于防火墙

可以设置 POWER FOCUS 6000 使用防火墙。防火墙基于受信任的主机原则,并且仅允许通过已启用的端口或白名单中的地址进行传入连接。

默认情况下,防火墙是禁用的。

防火墙仅适用于工厂以太网端口上的传入连接。

激活和配置防火墙

如要激活和配置防火墙,请选择编辑

在顶部容器中,将常规防火墙功能设置为开启,以将其激活。
在其余容器中,配置以下任何防火墙层:

  • 端口过滤(第 4 层防火墙)。在控制器上打开服务 - 您可以指定可以通过防火墙访问的服务。

  • IP 过滤(第 3 层防火墙)。通过 IP 指定受信任的主机 - 您可以指定一个在网络上被视为受信任并且可以访问所有服务的 IP。

  • MAC 过滤(第 2 层防火墙)。通过 MAC 指定受信任的主机。

激活常规防火墙功能时,默认情况下会启用端口过滤(第 4 层防火墙)及其所有预定义服务。

任何防火墙层接受连接时,都允许连接。如果未启用防火墙层,则允许所有传入连接通过。

防火墙的进一步配置可通过以下方式完成:启用/禁用通过指定的预定义服务的连接、手动添加 TCP 或 UDP 端口和/或将 IP/MAC 地址列入白名单。

端口过滤(第 4 层防火墙)

端口过滤(第 4 层防火墙)设置防火墙规则以及 TCP 和 UDP 端口时。

端口过滤(第 4 层防火墙)可以打开关闭
端口过滤(第 4 层防火墙)设置为开启时,防火墙正在根据目标端口执行数据包过滤,并且将立即接受发送到开放端口的数据包。在最终被拒绝之前,其他防火墙类型(IP 过滤和 MAC 过滤)也将处理不匹配的数据包。
端口过滤(第 4 层防火墙)设置为关闭时,端口过滤被禁用,并且所有其他设置都将被隐藏。

预定义的服务具有其自己的启用开关:

  • Web 服务的开放端口(TCP 80、TCP 8080)

  • SSH 和 SFTP (TCP 22) 的开放端口

  • 无线工具的开放端口(UDP 6677、TCP 6678)

  • 配件的开放端口(TCP 25000)

  • 其他 TCP 端口

  • 其他 UDP 端口

预定义服务

说明

Web 的开放端口(TCP 80、TCP 8080)

Web 服务所需的端口,以便可以通过工厂网络访问控制器。

Web 的开放端口(TCP 80、TCP 8080)设置为关闭会触发警告,告知与 Web HMI 的连接可能会丢失。

SSH 和 SFTP (TCP 22) 的开放端口

工厂以太网端口上的 SSH 和 SFTP 功能所需的端口。

无线工具的开放端口(UDP 6677、TCP 6678)

无线工具通过工厂网络连接到控制器所需的端口。

配件的开放端口(TCP 25000)

附件通过工厂网络与控制器通信所需的端口。这适用于套筒选择器 6。

打开其他 TCP 端口

接受逗号分隔的端口和使用连字符 (-) 的端口范围。示例:当输入 1、2、3、4-10 时,将打开 1 到 10 之间的所有端口。

无效的端口输入会立即触发弹出警告。

按下应用按钮后,端口将自动排序。

打开其他 UDP 端口

当使用打开协议时,必须在打开其他 TCP 端口输入框中手动添加要打开的端口。例如:4545,4546,4547(取决于在虚拟站点 > 虚拟站点 1 > 协议 > 开放协议 > 服务器端口中配置的端口)。

使用 NTP 服务器时,必须在打开其他 UDP 端口输入框中手动添加端口 123。

可以使用逗号分隔来添加多个端口。可以使用破折号添加端口范围。

IP 过滤(第 3 层防火墙)

IP 过滤(第 3 层防火墙)允许通过在 IP 白名单输入框中输入 IP 地址来指定受信任的主机或网络。要访问输入框,请将开关设置为开启。接受的条目是以 IP 表的形式列出的 IP 地址或网络地址,即主机 IP 地址或网络 IP 地址。网络掩码可以输入为掩码长度(例如 /24)或网络 IP 地址(例如 /255.255.255.0)。立即允许来自白名单 IP 地址的数据包。其他数据包由其他防火墙层(端口过滤和 MAC 过滤)筛选。

IP 地址白名单示例

由于安全问题,不接受输入主机名或网络名。

请注意,诸如 NATing(网络地址转换)之类的过程可能会更改源 IP 地址。当需要根据源 IP 地址将主机列入白名单时,请咨询本地网络管理员。

MAC 过滤(第 2 层防火墙)

MAC 过滤(第 2 层防火墙)允许通过在 MAC 白名单输入框中输入 MAC 地址来指定受信任的主机或网络。要访问输入框,请将开关设置为开启。接受的输入是以逗号分隔的 MAC 地址列表。立即允许来自白名单 MAC 地址的数据包。其他数据包由其他防火墙层(端口过滤和 IP 过滤)筛选。

MAC 地址白名单示例

无效的输入会立即触发弹出警告。

请注意,路由可能会更改源 MAC 地址。当需要根据源 MAC 地址将主机列入白名单时,请咨询本地网络管理员。

数据包计数器

要显示每个防火墙层的防火墙统计信息,请选择设置 > 网络 > 防火墙 - 数据包计数器

更新部分包括以下按钮:

  • 刷新 – 用于刷新显示的数据包计数器。

  • 重置 – 用于将数据包计数器重置为零。

这两个按钮都通过一个开关来执行,该开关在执行操作后会自动将其自身重置为原始位置。

接受的数据包计数器部分显示每种防火墙类型和拒绝的数据包的计数器。

  • 端口过滤 – 显示端口过滤防火墙类型接受的数据包的数据包计数器。

  • IP 过滤 – 显示 IP 过滤防火墙类型接受的数据包的数据包计数器。

  • MAC 过滤 – 显示 MAC 过滤防火墙类型接受的数据包的数据包计数器。

  • 已拒绝 – 显示被拒绝的数据包的数据包计数器。

被端口、IP 和 MAC 过滤规则接受并因此计数的数据包仅包括建立连接的初始数据包。

被拒绝的数据包全部计数并显示。

防火墙状态

常规防火墙功能及其防火墙层的状态直接在防火墙主视图中的设置 > 网络下显示。

状态

说明

确定

防火墙被启用,且防火墙配置被应用。

已禁用

防火墙被禁用,并且防火墙配置未被应用。

配置错误

防火墙被启用,但由于内部错误,防火墙配置未被应用。

出于安全原因,故障打开策略被应用,这意味着允许所有连接通过。

当常规防火墙状态为 OK 时,还将显示相应防火墙层的状态(启用/禁用)。