Configurar el cortafuegos
El controlador se puede configurar para utilizar un cortafuegos. El cortafuegos se basa en el principio del host de confianza, y solo permite conexiones entrantes a través de puertos autorizados o direcciones recogidas en una lista blanca.
El cortafuegos está desactivado de forma predeterminada.
El cortafuegos se aplica solo a las conexiones entrantes en el puerto Factory Ethernet.
Activar y configurar el cortafuegos
En la ventana Inicio, seleccione Ajustes.
Seleccione Red en el panel izquierdo.
En el panel de la derecha, navegue hasta Cortafuegos.
Seleccione Editar y configure el Cortafuegos como Activado. El filtrado de puerto (cortafuegos de 4 capas) y todos sus filtro predefinidos se activan de forma predeterminada.
Configure los ajustes para las diferentes capas de cortafuegos configurando servicios como activado/desactivado o introduzca manualmente las direcciones.
Filtrado de puerto (cortafuegos de 4 capas): Para abrir y especificar servicios a los que se puede acceder a través del cortafuegos.
Filtrado de IP (cortafuegos de 3 capas): Para especificar un host de confianza por IP en la red que pueda acceder a todos los servicios.
Filtrado de MAC (cortafuegos de 2 capas): Para especificar un host de confianza por MAC.
Cuando no hay activada ninguna capa del cortafuegos, se permiten todas las conexiones entrantes.
Filtrado de puerto (cortafuegos de 4 capas)
Cuando Filtrado de puerto (cortafuegos de 4 capas) se configura como Activado, el cortafuegos filtra los paquetes según el puerto de destino. Los paquetes que se envían a un puerto abierto se aceptan inmediatamente. Los paquetes que no coinciden también son procesados por el resto de tipos de cortafuegos (filtrado de IP y de MAC) antes de ser aceptados o rechazados.
Cuando Filtrado de puerto (cortafuegos de 4 capas) está Desactivado, el filtrado de puerto está desactivado y el resto de opciones están ocultas.
Los servicios predefinidos tienen sus propios interruptores de activación:
Puertos abiertos para web (TCP 80, TCP 8080)
Puertos abiertos para SSH y SFTP (TCP 22)
Puertos abiertos para herramientas inalámbricas (TCP 6677, TCP 6678)
Puertos abiertos para accesorios (TCP 25000)
Puertos TCP adicionales
Puertos UDP adicionales
Servicio predefinido | Descripción |
---|---|
Abre puertos para IxB Connect (predeterminado 62000, configurable) | Puerto requerido para conectar herramientas IxB Connect a través de la red de la fábrica con el controlador. IxB Connect requiere un «puerto base» configurado + 1 puerto/herramienta conectada. Tenga en cuenta que cada herramienta nueva conectada obtiene una compensación mayor. Por ejemplo, si dos herramientas están conectadas, los puertos usados son 62001 para la herramienta 1 62002 para la herramienta 2. Una compensación para una herramienta permanece en el sistema, incluso después de una actualización. Esta compensación se elimina solo después de restablecer los valores de fábrica. Si una herramienta está desconectada, no se puede utilizar su puerto correspondiente. Por ejemplo, si la herramienta 2 del puerto 62002 está desconectada, la nueva herramienta conectada debe utilizar el 62003. Los puertos permitidos deben ser 62000 (puerto básico) y 62001 y 62003 para las herramientas 1 y 3, respectivamente. |
Puertos abiertos para web (TCP 80, TCP 8080) | Puertos requeridos para servicios web de forma que el controlador esté accesible en toda la red de fábrica. Al configurar Puertos abiertos para web (TCP 80, TCP 8080) como Desactivado, se activa una advertencia indicando que se podría perder la conexión con la HMI web. |
Puertos abiertos para SSH y SFTP (TCP 22) | Puerto requerido para la función SSH y SFTP en el puerto Factory Ethernet. |
Puertos abiertos para herramientas inalámbricas (TCP 6677, TCP 6678) | Puertos requeridos para que las herramientas inalámbricas se conecten al controlador en toda la red de fábrica. |
Puertos abiertos para accesorios (TCP 25000) | Puertos requeridos para que los accesorios se comuniquen con el controlador en toda la red de fábrica. Esto es aplicable al Socket Selector 6. |
Puertos TCP adicionales abiertos | Se aceptan puertos separados por comas e intervalos de puertos que utilicen un guión (-). Ejemplo: al introducir 1,2,3,4-10, se abren todos los puertos entre 1 y 10. Las entradas de puerto no válidas activan una advertencia emergente inmediatamente. Los puertos se ordenan automáticamente seleccionando el botón Aplicar. |
Puertos UDP adicionales abiertos |
Para utilizar Open Protocol, introduzca manualmente los números de puerto en la casilla Abrir puertosTCP adicionales. Por ejemplo: 4545,4546,4547 (depende de los puertos configurados en Estación virtual > Estación virtual 1 > Protocolos > Open Protocol > Puerto de servidor).
Para utilizar NTP server, introduzca manualmente el puerto 123 en la casilla Abrir puertosTCP adicionales.
Se añaden múltiples puertos separándolos mediante una coma. Los intervalos de puertos se añaden utilizando un guión.
Filtrado de IP (cortafuegos de 3 capas)
Para especificar hosts o redes de confianza en Filtrado de IP (cortafuegos de 3 capas), introduzca sus direcciones IP en la casilla Lista blanca IP. Para acceder a la casilla, cambie el selector a Activado. Las entradas aceptadas son listas de direcciones IP o direcciones de red como tablas de IP, es decir, direcciones IP de host o direcciones IP de red. La máscara de red se puede introducir como longitud de máscara (por ejemplo, /24) o como dirección IP de red (por ejemplo, /255.255.255.0). Los paquetes que proceden de direcciones IP incluidas en la lista blanca se aceptan inmediatamente. El resto de paquetes se filtra a través del resto de capas de cortafuegos (filtrado de puerto y filtrado de MAC).
Debido a cuestiones de seguridad, no se permite introducir nombres de host o nombres de red.
Tenga en cuenta que procesos como NATing (Network Address Translation) puede cambiar direcciones IP de fuente. Consulte con su administrador de red local cuando se requiera incluir en la lista blanca un host basado en una dirección IP de fuente.
Filtrado de MAC (cortafuegos de 2 capas)
Filtrado de MAC (cortafuegos de 2 capas) permite identificar hosts o redes de confianza introduciendo sus direcciones MAC en la casilla Lista blanca de MAC. Para acceder a la casilla, cambie el selector a Activado. Las entradas aceptadas son listas de direcciones MAC separadas por comas. Los paquetes que proceden de direcciones MAC incluidas en la lista blanca se aceptan inmediatamente. El resto de paquetes se filtra a través del resto de capas de cortafuegos (filtrado de puerto y filtrado de IP).
Las entradas no válidas activan una advertencia emergente inmediatamente.
Tenga en cuenta que el enrutamiento puede cambiar las direcciones MAC de fuente. Consulte con su administrador de red local cuando se requiera incluir en la lista blanca un host basado en una dirección MAC de fuente.
Contadores de paquetes
Para consultar las estadísticas de cortafuegos de cada capa de cortafuegos, seleccione Ajustes > Red > Cortafuegos > Contadores de paquetes.
La sección Actualizar incluye los botones siguientes:
Volver a cargar: se utiliza para volver a cargar los contadores de paquetes.
Restablecer: se utiliza para restablecer los contadores de paquetes a cero.
Ambos botones tienen un interruptor que se restablece automáticamente a la posición original tras realizar la acción.
La sección Contadores de paquetes aceptados muestra los contadores de cada tipo de cortafuegos y de los paquetes rechazados.
Filtrado de puerto: muestra el contador de paquetes de los paquetes aceptados por el tipo de cortafuegos Filtrado de puerto.
Filtrado de IP: muestra el contador de paquetes de los paquetes aceptados por el tipo de cortafuegos Filtrado de IP.
Filtrado de MAC: muestra el contador de paquetes de los paquetes aceptados por el tipo de cortafuegos Filtrado de MAC.
Rechazados: muestra el contador de paquetes de los paquetes que han sido rechazados.
Los paquetes aceptados, y por lo tanto contados, por las normas de filtrado de Puerto, IP y MAC solo incluyen los paquetes iniciales que establecen una conexión.
Se cuentan y muestran todos los paquetes rechazados.
Estado del cortafuegos
El estado de la característica cortafuegos general y de sus capas de cortafuegos aparece en la vista principal Cortafuegos directamente en Ajustes > Red.
Estado | Descripción |
---|---|
OK | El cortafuegos está activado y se aplica la configuración del cortafuegos. |
Desactivado | El cortafuegos está desactivado y no se aplica la configuración del cortafuegos. |
Error de configuración | El cortafuegos está activado, pero la configuración del cortafuegos no se aplica a causa de un error interno. Por razones de seguridad, se aplica la política de fallo abierto, lo que significa que se permiten todas las conexiones. |
Cuando el estado del cortafuegos general es OK, el estado (Activado / Desactivado) para las respectivas capas de cortafuegos también se muestra.