Configuration du pare-feu
Le coffret peut être configuré pour utiliser un pare-feu. Le pare-feu repose sur le principe de l'hôte de confiance et n'autorise que les connexions entrantes via des ports activés ou des adresses figurant sur la liste blanche.
Par défaut, le pare-feu est désactivé.
Le pare-feu ne s'applique qu'aux connexions entrantes sur le port Ethernet de l'usine.
Activer et configurer le pare-feu
Sur l’écran d’accueil, sélectionner Réglages.
Sélectionner Réseau dans le volet de gauche.
Dans le volet de droite, faites défiler vers le bas jusqu'à Pare-feu.
Sélectionner Modifier et régler le Pare-feu sur Marche. Le filtrage des ports (pare-feu couche 4) et tous ses filtres prédéfinis sont activés par défaut.
Configurer les paramètres des différentes couches de pare-feu en activant/désactivant les services ou en saisissant manuellement les adresses.
Filtrage du port (pare-feu couche 4) : Pour ouvrir et spécifier les services accessibles via le pare-feu.
Filtrage IP (pare-feu couche 3) : Pour spécifier un hôte de confiance par IP sur le réseau qui peut accéder à tous les services.
Filtrage MAC (pare-feu couche 2) : Pour spécifier un hôte de confiance par MAC.
Lorsqu'aucune couche de pare-feu n'est activée, toutes les connexions entrantes sont autorisées.
Filtrage du port (pare-feu couche 4)
Lorsque le Filtrage des ports (pare-feu de couche 4) est réglé sur MARCHE, le pare-feu filtre les paquets en fonction du port de destination. Les paquets envoyés à un port ouvert sont acceptés immédiatement. Les paquets non concordants sont également traités par les autres types de pare-feu (filtrage IP et filtrage MAC) avant d'être acceptés ou refusés.
Lorsque le Filtrage du port (pare-feu couche 4) est sur ARRÊT, le filtrage du port est désactivé et toutes les autres options sont cachées.
Les services prédéfinis ont leurs propres interrupteurs d'activation :
Ports ouverts pour le web (TCP 80, TCP 8080)
Ports ouverts pour SSH et SFTP (TCP 22)
Ports ouverts pour outils sans fil (TCP 6677, TCP 6678)
Ports ouverts pour accessoires (TCP 25000)
Ports TCP supplémentaires
Ports UDP supplémentaires
Service prédéfini | Description |
---|---|
Ports ouverts pour IxB Connect (62000 par défaut, paramétrable) | Port requis pour connecter les outils IxB Connect au coffret par l'intermédiaire du réseau de l'usine. IxB Connect nécessite un « port de base » paramétré + 1 port/outil connecté. Remarque : chaque nouvel outil connecté bénéficie d'un décalage plus important. Exemple, si deux outils sont connectés, les ports utilisés sont 62001 pour l'outil 1 et 62002 pour l'outil 2. Un décalage pour un outil demeure persistant sur le système, même après une mise à niveau. Ce décalage n'est supprimé qu'après une remise à zéro usine. Si un outil est déconnecté, le port correspondant n'est pas autorisé à être utilisé. Par exemple, si l'outil 2 du port 62002 est déconnecté, le nouvel outil connecté doit utiliser 62003. Les ports autorisés doivent être 62000 (port de base) et 62001 et 62003 pour l'outil 1 et l'outil 3 respectivement. |
Ports ouverts pour le web (TCP 80, TCP 8080) | Ports nécessaires pour les services web pour que le coffret soit accessible dans tout le réseau de l'usine. Régler Ports ouverts pour le web (TCP 80, TCP 8080) sur Arrêt déclenche un avertissement sur la possible perte de connexion avec le Web HMI. |
Ports ouverts pour SSH et SFTP (TCP 22) | Ports nécessaires pour la fonctionnalité SSH et SFTP sur le port Ethernet usine. |
Ports ouverts pour outils sans fil (TCP 6677, TCP 6678) | Ports nécessaires aux outils sans fil pour se connecter au coffret sur le réseau de l'usine. |
Ports ouverts pour accessoires (TCP 25000) | Ports nécessaires aux accessoires pour communiquer avec le coffret sur le réseau de l'usine. Ceci s’applique au sélecteur de douilles 6. |
Ouvrir des ports TCP supplémentaires | Les ports acceptés sont séparés par une virgule et les plages de ports utilisant un tiret (-). Exemple : en saisissant 1,2,3,4-10, tous les ports de 1 à 10 sont ouverts. Les entrées de port non valides déclenchent un avertissement contextuel immédiat. Les ports sont automatiquement triés après avoir appuyé sur le bouton Appliquer. |
Ouvrir des ports UDP supplémentaires |
Pour utiliser Open Protocol, ajouter manuellement les numéros de port dans la zone de saisie Ouvrir des ports TCP supplémentaires. Par exemple : 4545,4546,4547 (en fonction des ports configurés dans Poste de travail virtuel > Poste de travail virtuel 1 > Protocoles > Open Protocol > Serveur Port).
Pour utiliser Serveur NTPl, ajouter manuellement le port 123 dans la zone de saisie Ouvrir des ports UDP supplémentaires.
Plusieurs ports sont ajoutés en les séparant par une virgule. Les plages de ports sont ajoutées en utilisant un tiret.
Filtrage IP (pare-feu couche 3)
Pour spécifier des hôtes ou des réseaux de confiance dans le Filtrage IP (pare-feu de couche 3), saisissez leurs adresses IP dans la zone de saisie Liste blanche des IP. Pour accéder au champ de saisie, placer le commutateur en position Marche. Les entrées acceptées sont des listes d'adresses IP ou d'adresses réseau comme des tableaux IP, c'est-à-dire des adresses IP d'hôtes ou des adresses IP de réseaux. Le masque de réseau peut être saisi comme longueur de masque (par exemple, /24) ou comme adresse IP de réseau (par exemple, /255.255.255.0). Les paquets provenant d'une adresse IP figurant sur la liste blanche sont immédiatement autorisés. Les autres paquets sont filtrés par les autres couches du pare-feu (Filtrage du port et Filtrage MAC).
En raison de problèmes de sécurité, la saisie de noms d'hôtes ou de réseaux n'est pas acceptée.
Remarque : des processus comme le NATing (Network Address Translation) peuvent modifier les adresses IP sources. Consulter votre administrateur de réseau local lorsqu'il est nécessaire de mettre sur liste blanche un hôte en fonction de l'adresse IP source.
Filtrage MAC (pare-feu couche 2)
Le Filtrage MAC (pare-feu couche 2) permet de spécifier des hôtes de confiance ou des réseaux en saisissant leurs adresses MAC dans le champ de saisie Liste blanche des MAC. Pour accéder au champ de saisie, placer le commutateur en position Marche. Les saisies acceptées sont des listes d'adresses MAC séparées par des virgules. Les paquets provenant d'une adresse MAC figurant sur la liste blanche sont immédiatement autorisés. Les autres paquets sont filtrés par les autres couches du pare-feu (Filtrage du port et Filtrage IP).
Les entrées non valides déclenchent un avertissement contextuel immédiat.
Remarque : le routage peut modifier les adresses MAC sources. Consulter votre administrateur de réseau local lorsqu'il est nécessaire de mettre sur liste blanche un hôte en fonction de l'adresse MAC source.
Compteurs de paquets
Pour afficher les statistiques du pare-feu pour chaque couche du pare-feu, sélectionner Réglages > Réseau > Pare-feu > Compteurs de paquets.
La section Mettre à jour inclut les boutons suivants :
Rafraîchir : utilisé pour rafraîchir les compteurs de paquets affichés.
Réinitialiser : utilisé pour réinitialiser les compteurs de paquets à zéro.
Les deux boutons ont un interrupteur qui se réinitialise automatiquement à la position originale une fois l'action terminée.
La section Compteurs de paquets acceptés affiche les compteurs pour chacun des types de pare-feu et pour les paquets refusés.
Filtrage du port : affiche le compteur de paquets pour les paquets acceptés par le pare-feu de type Filtrage du port.
Filtrage IP : affiche le compteur de paquets pour les paquets acceptés par le pare-feu de type Filtrage IP.
Filtrage MAC : affiche le compteur de paquets pour les paquets acceptés par le pare-feu de type Filtrage MAC.
Refusé : affiche le compteur de paquets pour les paquets refusés.
Les paquets acceptés, et donc comptés, par les règles de filtrage du port, IP et MAC ne comprennent que les paquets initiaux qui établissent une connexion.
Les Paquets refusés sont tous comptés et affichés.
État du pare-feu
L'état de la fonction générale du pare-feu et de ses couches est affiché dans la vue principale du Pare-feu directement sous Réglages > Réseau.
État | Description |
---|---|
OK | Le pare-feu est activé et la configuration du pare-feu est appliquée. |
Désactivé | Le pare-feu est désactivé et la configuration du pare-feu n’est pas appliquée. |
Erreur de configuration | Le pare-feu est activé, mais la configuration du pare-feu n'est pas appliquée en raison d'une erreur interne. Pour des raisons de sécurité, la politique d'ouverture en cas de panne est appliquée, ce qui signifie que toutes les connexions sont autorisées. |
Lorsque l'état général du pare-feu est OK, l'état (Activé / Désactivé) pour les couches respectives du pare-feu est également affiché.