Konfiguration der Firewall

Die Steuerung kann für die Verwendung einer Firewall konfiguriert werden. Die Firewall basiert auf dem Prinzip von vertrauenswürdigen Hosts und lässt nur eingehende Verbindungen über aktivierte Ports oder zugelassene Adressen zu.

Standardmäßig ist die Firewall deaktiviert.

Die Firewall findet nur bei eingehenden Verbindungen am werkseitigen Ethernet-Anschluss Anwendung.

Aktivierung und Konfiguration der Firewall

  1. Wählen Sie auf der Startseite Einstellungen aus.

  2. Wählen Sie im linken Fenster Netzwerk aus.

  3. Scrollen Sie im rechten Fenster bis zu Firewall herunter.

  4. Wählen Sie Bearbeiten aus und stellen Sie die Firewall auf Ein. Die Port-Filterung (Layer-4-Firewall) und alle ihre vordefinierten Filter sind standardmäßig aktiviert.

  5. Konfigurieren Sie die Einstellungen für die verschiedenen Firewall-Schichten, indem Sie die Dienste auf Ein/Aus setzen oder manuell Adressen eingeben.

    • Port-Filterung (Layer-4-Firewall): Zum Öffnen und Festlegen von durch die Firewall erreichbaren Diensten.

    • IP-Filterung (Layer-3-Firewall): Zum Festlegen eines vertrauenswürdigen Hosts nach IP-Adresse im Netzwerk, der auf alle Dienste zugreifen kann.

    • MAC-Filterung (Layer-2-Firewall): Zum Festlegen eines vertrauenswürdigen Hosts nach MAC-Adresse.

    Wenn keine Firewall-Schicht aktiviert ist, werden alle eingehenden Verbindungen zugelassen.

Port-Filterung (Layer-4-Firewall)

Wenn die Port-Filterung (Layer-4-Firewall) auf EIN gesetzt ist, filtert die Firewall Pakete auf Grundlage des Zielports. An einen offenen Port gesendete Pakete werden sofort akzeptiert. Nicht passende Pakete werden ebenso durch die anderen Firewall-Typen, also IP-Filterung und MAC-Filterung, verarbeitet, bevor sie angenommen oder abgewiesen werden.

Wenn die Port-Filterung (Layer-4-Firewall) auf AUS gesetzt ist, ist die Port-Filterung deaktiviert und alle anderen Optionen werden ausgeblendet.

Vordefinierte Dienste haben ihre eigenen Aktivierungsschalter:

  • Ports für Web öffnen (TCP 80, TCP 8080)

  • Ports für SSH und SFTP öffnen (TCP 22)

  • Ports für Drahtloswerkzeuge öffnen (UDP 6677, TCP 6678)

  • Ports für Zubehör öffnen (TCP 25000)

  • Zusätzliche TCP-Ports

  • Zusätzliche UDP-Ports

Vordefinierte Dienste

Beschreibung

Offene Ports für IxB Connect (standardmäßig 62000, konfigurierbar)

Für die Verbindung von IxB Connect-Werkzeugen mit der Steuerung über das Fabriknetz benötigter Port. IxB Connect erfordert einen konfigurierten „Basis-Port“ + 1 Port pro angeschlossenem Werkzeug. Beachten Sie, dass jedes neu angeschlossene Werkzeug ein erhöhtes Offset erhält. Sind beispielsweise zwei Werkzeuge angeschlossen, sind die verwendeten Ports 62001 für Werkzeug 1 und 62002 für Werkzeug 2. Ein Offset für ein Werkzeug bleibt auf dem System konstant, selbst nach einem Upgrade. Dieses Offset wird erst nach einem Zurücksetzen auf Werkseinstellungen entfernt.

Wenn ein Werkzeug getrennt wird, darf sein entsprechender Port nicht verwendet werden. Wird beispielsweise das Werkzeug 2 bei Port 62002 getrennt, muss das neu angeschlossene Werkzeug 62003 verwenden. Die erlaubten Ports müssen 62000 (Basis-Port) und jeweils 62001 und 62003 für Werkzeug 1 und Werkzeug 3 sein.

Ports für Web öffnen (TCP 80, TCP 8080)

Erforderliche Ports für Webdienste, sodass über das Fabriknetzwerk auf die Steuerung zugegriffen werden kann.

Wenn die Einstellung Ports für Web öffnen (TCP 80, TCP 8080) auf Aus geschaltet wird, dann wird eine Warnmeldung erzeugt, die darauf hinweist, dass die Verbindung mit der Web-HMI verloren gehen kann.

Ports für SSH und SFTP öffnen (TCP 22)

Erforderlicher Port für SSH- und SFTP-Funktionalität am werkseitigen Ethernet-Anschluss.

Ports für Drahtloswerkzeuge öffnen (UDP 6677, TCP 6678)

Erforderliche Ports, damit sich Drahtloswerkzeuge über das Fabriknetzwerk mit der Steuerung verbinden können.

Ports für Zubehör öffnen (TCP 25000)

Erforderliche Ports, damit Zubehör über das Fabriknetzwerk mit der Steuerung kommunizieren kann. Dies gilt für Stecknuss-Selektor 6.

Zusätzliche TCP-Ports öffnen

Es sind durch Komma getrennte Ports und Port-Bereiche mit einem Bindestrich (-) zulässig. Beispiel: Bei der Eingabe von 1,2,3,4-10 werden alle Ports zwischen 1 und 10 geöffnet.

Bei ungültigen Port-Eingaben wird unmittelbar eine Popup-Warnmeldung angezeigt.

Ports werden nach Auswahl der Schaltfläche Übernehmen automatisch sortiert.

Zusätzliche UDP-Ports öffnen

Fügen Sie zur Verwendung von Open Protocol die Portnummern manuell im Eingabefeld Zusätzliche TCP-Ports öffnen hinzu. Zum Beispiel: 4545,4546,4547 (abhängig von den unter Virtuelle Station > Virtuelle Station 1 > Protokolle > Open Protocol > Server-Port konfigurierten Ports).

Fügen Sie zur Verwendung eines NTP-Servers den Port 123 manuell im Eingabefeld Zusätzliche UDP-Ports öffnen hinzu.

Es können mehrere Ports eingetragen werden, indem diese durch ein Komma getrennt werden. Port-Bereiche können mit einem Bindestrich hinzugefügt werden.

IP-Filterung (Firewall Schicht 3)

Um vertrauenswürdige Hosts oder Netzwerke für die IP-Filterung (Layer-3-Firewall) festzulegen, tragen Sie deren IP-Adressen in das Eingabefeld IP-Whitelist ein. Um auf das Eingabefeld zuzugreifen, stellen Sie den Schalter auf Ein. Zulässige Einträge sind Listen von IP- oder Netzwerkadressen als IP-Tabellen, d. h. Host-IP-Adressen oder Netzwerk-IP-Adressen. Die Netzwerkmaske kann als Maskenlänge (z. B. /24) oder als Netzwerk-IP-Adresse (z. B. /255.255.255.0) eingegeben werden. Pakete von einer zugelassenen IP-Adresse werden unmittelbar zugelassen. Andere Pakete werden durch die anderen Firewall-Schichten (Port-Filterung und MAC-Filterung) gefiltert.

Beispiel für IP-Adressen-Zulassungsliste

Aufgrund von Sicherheitsaspekten ist die Eingabe von Hostnamen oder Netzwerknamen unzulässig.

Beachten Sie, dass Prozesse wie NAT (Netzwerkadressenübersetzungs) die Quell-IP-Adressen ändern könnten. Wenden Sie sich an Ihren lokalen Netzwerkadministrator, wenn ein Host basierend auf der Quell-IP-Adresse zugelassen werden soll.

MAC-Filterung (Firewall Schicht 2)

Die MAC-Filterung (Firewall Schicht 2) ermöglicht es, vertrauenswürdige Hosts oder Netzwerke durch Eingabe ihrer MAC-Adressen in das Eingabefeld MAC-Zulassungsliste festzulegen. Um auf das Eingabefeld zuzugreifen, stellen Sie den Schalter auf Ein. Zulässige Einträge sind durch Komma getrennte Listen von MAC-Adressen. Pakete von einer zugelassenen MAC-Adresse werden unmittelbar zugelassen. Andere Pakete werden durch die anderen Firewall-Schichten (Port-Filterung und IP-Filterung) gefiltert.

Beispiel für MAC-Adressen-Zulassungsliste

Bei ungültigen Eingaben wird unmittelbar eine Popup-Warnmeldung angezeigt.

Beachten Sie, dass Routing die Quell-MAC-Adressen ändern könnte. Wenden Sie sich an Ihren lokalen Netzwerkadministrator, wenn ein Host basierend auf der Quell-MAC-Adresse zugelassen werden soll.

Paketzähler

Um die Firewall-Statistiken für jede Firewall-Schicht anzuzeigen, wählen Sie Einstellungen > Netzwerk > Firewall - Paketzähler.

Der Bereich Update enthält folgende Schaltflächen:

  • Aktualisieren: aktualisiert die angezeigten Paketzähler.

  • Zurücksetzen: setzt die Paketzähler auf Null zurück.

Beide Schaltflächen verfügen über einen Schalter, der sich nach dem Ausführen der Aktion automatisch in seine ursprüngliche Stellung zurücksetzt.

Der Bereich Zähler - Akzeptierte Paketezeigt die Zähler für jeden Firewall-Typ und für abgewiesene Pakete.

  • Port-Filterung: zeigt den Paketzähler für Pakete, die durch den Firewall-Typ Port-Filterung akzeptiert wurden.

  • IP-Filterung: zeigt den Paketzähler für Pakete, die durch den Firewall-Typ IP-Filterung akzeptiert wurden.

  • MAC-Filterung: zeigt den Paketzähler für Pakete, die durch den Firewall-Typ MAC-Filterung akzeptiert wurden.

  • Abgewiesen: zeigt den Paketzähler für abgewiesene Pakete.

Die durch die Port-, IP- und MAC-Filterungsregeln akzeptierten und folglich gezählten Pakete beinhalten nur die anfänglichen Pakete, die eine Verbindung herstellen.

Die abgewiesenen Pakete werden alle gezählt und angezeigt.

Firewall-Status

Der Status der allgemeinen Firewall-Funktion und deren Firewall-Schichten wird in der Firewall-Hauptansicht direkt unter Einstellungen > Netzwerk angezeigt.

Status

Beschreibung

IO

Die Firewall ist aktiviert und die Firewall-Konfiguration wird angewendet.

Deaktiviert

Die Firewall ist deaktiviert und die Firewall-Konfiguration wird nicht angewendet.

Konfigurationsfehler

Die Firewall ist aktiviert, aber die Firewall-Konfiguration wird aufgrund eines internen Fehlers nicht angewendet.

Aus Sicherheitsgründen wird die „Bei Fehler offen“-Regel angewandt, d. h. alle Verbindungen werden durch die Firewall durchgelassen.

Wenn der Status der allgemeinen Firewall OK ist, dann wird der Status (Aktiviert / Deaktiviert) für die jeweiligen Firewall-Schichten ebenfalls angezeigt.