Configurazione del firewall
È possibile configurare il controller in modo da utilizzare un firewall. Il firewall si basa sul principio dell'host affidabile e consente solo le connessioni in entrata attraverso le porte abilitate o gli indirizzi nella lista bianca.
Per impostazione predefinita, il firewall è disabilitato.
Il firewall viene applicato solo alle connessioni in entrata sulla porta Ethernet della fabbrica.
Attivazione e configurazione del firewall
Nella vista iniziale, selezionare Impostazioni.
Selezionare Rete nel pannello di sinistra.
Nel pannello di destra, scorrere fino a Firewall.
Selezionare Modifica e impostare il Firewall su On. Filtro porte (firewall di livello 4) e tutti i relativi filtri predefiniti sono abilitati per impostazione predefinita.
Configurare le impostazioni dei diversi livelli del firewall impostando i servizi su On/Off o inserendo manualmente gli indirizzi.
Filtro porte (firewall di livello 4): aprire e specificare i servizi raggiungibili attraverso il firewall.
Filtro IP (firewall di livello 3): specificare un host affidabile tramite IP sulla rete che può accedere a tutti i servizi.
Filtro MAC (firewall di livello 2): specificare un host affidabile in base al MAC.
In assenza di un livello di firewall abilitato, tutte le connessioni in entrata sono consentite.
Filtro porte (firewall di livello 4)
Quando Filtro porte (firewall di livello 4) è impostato su ON, il firewall filtra i pacchetti in base alla porta di destinazione. I pacchetti inviati a una porta aperta vengono accettati immediatamente. I pacchetti non corrispondenti vengono elaborati anche dagli altri tipi di firewall, (Filtro IP e Filtro MAC) prima di essere accettati o rifiutati.
Se Filtro porte (firewall di livello 4) è disattivato, il filtro delle porte è disabilitato e tutte le altre opzioni sono nascoste.
I servizi predefiniti presentano interruttori di abilitazione:
Porte aperte per il Web (TCP 80, TCP 8080)
Porte aperte per SSH e SFTP (TCP 22)
Porte aperte degli strumenti wireless (UDP 6677, TCP 6678)
Porte aperte per gli accessori (TCP 25000)
Porte TCP aggiuntive
Porte UDP aggiuntive
Servizio predefinito | Descrizione |
---|---|
Porte aperte per IxB Connect (impostazione predefinita 62000, configurabile) | Porta necessaria per il collegamento degli utensili IxB Connect della rete dello stabilimento al controller. IxB Connect richiede una "porta base" configurata e 1 porta/utensile connesso. Si noti che ogni nuovo strumento collegato riceve un offset maggiore. Esempio: se sono collegati due strumenti, le porte utilizzate sono 62001 per lo strumento 1 e 62002 per lo strumento 2. Un offset per uno strumento rimane persistente nel sistema, anche dopo un aggiornamento. Questo offset viene rimosso solo dopo un ripristino delle impostazioni predefinite. Se è stato scollegato uno strumento, la porta corrispondente non può essere utilizzata. Ad esempio, se lo strumento 2 alla porta 62002 viene scollegato, il nuovo strumento collegato deve utilizzare la porta 62003. Le porte consentite devono essere 62000 (porta base) e, rispettivamente, 62001 e 62003 per lo strumento 1 e per lo strumento 3. |
Porte aperte per il Web (TCP 80, TCP 8080) | Porte richieste per i servizi Web in modo che il controller sia accessibile tramite la rete della fabbrica. Impostando Porte aperte per il Web (TCP 80, TCP 8080) su Off, viene attivato un avviso indicante che la connessione con l'HMI Web potrebbe essere interrotta. |
Porte aperte per SSH e SFTP (TCP 22) | Porta richiesta per la funzionalità SSH e SFTP sulla porta Ethernet della fabbrica. |
Porte aperte degli strumenti wireless (UDP 6677, TCP 6678) | Porte necessarie per la connessione degli strumenti wireless al controller tramite la rete della fabbrica. |
Porte aperte per gli accessori (TCP 25000) | Porte necessarie agli accessori per comunicare con il controller sulla rete della fabbrica. Ciò vale per Socket Selector 6. |
Apri altre porte TCP | Vengono accettate le porte separate da virgole e gli intervalli di porte definiti con un trattino (-). Esempio: inserendo 1,2,3,4-10, tutte le porte comprese tra 1 e 10 vengono aperte. Le voci delle porte non valide attivano un avviso a comparsa immediato. Le porte vengono ordinate automaticamente dopo la selezione del pulsante Applica. |
Apri altre porte UDP |
Per utilizzare Open Protocol, aggiungere manualmente i numeri di porta nella casella di immissione Apri porte TCP aggiuntive. Ad esempio: 4545,4546,4547 (a seconda delle porte configurate in Stazione virtuale > Stazione virtuale 1> Protocolli > Open Protocol > Porta del server).
Per utilizzare un server NTP, aggiungere manualmente la porta 123 nella casella di immissione Apri porte UDP aggiuntive.
Le porte multiple vengono aggiunte utilizzando la separazione con virgola. Gli intervalli di porte vengono aggiunti utilizzando un trattino.
Filtro IP (firewall di livello 3)
Per specificare gli host o le reti attendibili nel Filtro IP (firewall di livello 3), inserire i relativi indirizzi IP nella casella Lista bianca IP. Per accedere alla casella di immissione, impostare l'interruttore su On. Le voci accettate sono elenchi di indirizzi IP o indirizzi di rete come tabelle IP, ovvero indirizzi IP di host o di rete. È possibile inserire la maschera di rete come lunghezza della maschera (es. /24) o indirizzo IP di rete (es. /255.255.255.0). I pacchetti provenienti da un indirizzo IP nella lista bianca presente nella lista bianca vengono immediatamente consentiti. Gli altri pacchetti vengono controllati dagli altri livelli del firewall (Filtro porte e Filtro MAC).
A causa di problemi di sicurezza, l'immissione di nomi di host o rete non è accettata.
Nota: processi come il NAT (Network Address Translation) possono modificare gli indirizzi IP di origine. Rivolgersi all'amministratore della rete locale se occorre la lista bianca di un host in base all'indirizzo IP di origine.
Filtro MAC (firewall di livello 2)
Filtraggio MAC (firewall di livello 2) permette di specificare gli host o le reti attendibili inserendone gli indirizzi MAC nella casella Lista bianca MAC. Per accedere alla casella di immissione, impostare l'interruttore su On. Le voci accettate sono elenchi di indirizzi MAC separati da virgole. I pacchetti provenienti da un indirizzo MAC nella lista bianca presente nella lista bianca vengono immediatamente consentiti. Gli altri pacchetti vengono controllati dagli altri livelli del firewall (Filtro porte e Filtro IP).
Le voci non valide attivano un avviso a comparsa immediato.
Nota: il routing può modificare gli indirizzi MAC di origine. Rivolgersi all'amministratore della rete locale se occorre la lista bianca di un host in base all'indirizzo MAC di origine.
Contatori dei pacchetti
Per visualizzare le statistiche del firewall per ciascun livello dello stesso, selezionare Impostazioni > Rete > Firewall > Contatori pacchetti.
La sezione Aggiorna include i seguenti pulsanti:
Aggiorna: consente di aggiornare i contatori dei pacchetti visualizzati.
Reimposta: consente di azzerare i contatori dei pacchetti.
Entrambi i pulsanti sono dotati di un interruttore che si ripristina automaticamente nella posizione originale al termine dell'azione.
La sezione Contatori pacchetti accettati visualizza i contatori per ciascun tipo firewall e dei pacchetti rifiutati.
Filtraggio porte: visualizza il contatore dei pacchetti accettati dal tipo di firewall Filtraggio delle porte.
Filtro IP: visualizza il contatore dei pacchetti accettati dal tipo di firewall Filtro IP.
Filtro MAC: visualizza il contatore dei pacchetti accettati dal tipo di firewall Filtro MAC.
Rifiutato: visualizza il contatore dei pacchetti rifiutati.
I pacchetti accettati, e quindi conteggiati, dalle regole di filtro porta, IP e MAC includono solo i pacchetti iniziali che stabiliscono una connessione.
I pacchetti rifiutati vengono conteggiati e visualizzati.
Stato del firewall
Lo stato della funzione del firewall generale e dei relativi livelli viene indicato nella vista principale Firewall in Impostazioni > Rete.
Stato | Descrizione |
---|---|
OK | Il firewall è abilitato e viene applicata la configurazione del firewall. |
Disabilitato | Il firewall è disabilitato e la configurazione relativa non viene applicata. |
Errore di configurazione | Il firewall è abilitato, ma la relativa configurazione non viene applicata a causa di un errore interno. Per motivi di sicurezza, viene applicata la politica di apertura in caso di errore, che consente tutte le connessioni. |
Quando lo stato generale del firewall è OK, viene visualizzato anche lo stato (Abilitato/Disabilitato) per i rispettivi livelli del firewall.