Konfigurácia brány firewall

Ovládač je možné nastaviť tak, aby sa používal ako brána firewall. Brána firewall je založená na princípe dôveryhodného hostiteľa a umožňuje iba prichádzajúce pripojenia cez povolené porty alebo adresy, ktoré sú na zaradené na zoznam.

Predvolene je brána firewall deaktivovaná.

Brána firewall sa vzťahuje len na prichádzajúce pripojenia na továrenskom porte Ethernet.

Aktivácia a konfigurácia brány firewall

  1. V zobrazení Domov , vyberte Nastavenia.

  2. V ľavom paneli vyberte Sieť.

  3. V pravom paneli sa presuňte nadol na Firewall.

  4. Vyberte Upraviť a nastavte Firewall na ZAP. Filtrovanie portu (vrstva 4 brány firewall) a všetky jej vopred definované služby sú predvolene povolené.

  5. Nakonfigurujte nastavenia pre rôzne vrstvy brány firewall nastavením služieb na ZAP/VYP alebo manuálne zadajte adresy.

    • Filtrovanie portu (vrstva 4 brány firewall): na otvorenie a stanovenie dostupných služieb cez bránu firewall.

    • Filtrovanie IP (vrstva 3 brány firewall): na stanovenie dôveryhodného hostiteľa pomocou IP v sieti, ktorá má prístup ku všetkým službám.

    • Filtrovanie MAC (vrstva 2 brány firewall): na stanovenie dôveryhodného hostiteľa pomocou MAC.

    Keď nie je povolená žiadna vrstva brány firewall, prepustia sa všetky prichádzajúce pripojenia.

Filtrovanie portu (vrstva 4 brány firewall)

Keď je Filtrovanie portu (vrstva 4 brány firewall) nastavené na ZAP, filter brány firewall odošle pakety na základe cieľového portu. Pakety odoslané do otvoreného portu sa okamžite prijmú Nezhodujúce sa pakety sa tiež spracujú inými typmi brány firewall (filtrovanie IP a filtrovanie MAC) predtým, ako sa príjmu alebo odmietnu.

Keď je Filtrovanie portu (vrstva 4 brány firewall) nastavené na VYP, filtrovanie portu je zakázané a všetky ostatné možnosti sú skryté.

Vopred definované služby majú vlastné aktivačné spínače:

  • Otvorené porty pre web (TCP 80, TCP 8080)

  • Otvorené porty pre SSH a SFTP (TCP 22)

  • Otvorené porty pre bezdrôtové nástroje (UDP 6677, TCP 6678)

  • Otvorené porty pre príslušenstvo (TCP 25000)

  • Dodatočné porty TCP

  • Dodatočné porty UDP

Vopred definovaná služba

Popis

Otvorené porty pre IxB Connect (predvolený 62000, konfigurovateľný)

Port požadovaný na pripojenie nástrojov IxB Connect cez továrenskú sieť k ovládaču. IxB Connect požaduje nakonfigurovaný „základný port“ + 1 port/pripojený nástroj. Každý nový pripojený nástroj dostane zvýšený ofset. Napríklad, ak ak sú pripojené dva nástroje, pre nástroj je použitý port 62001 a pre nástroj 2 port 62002. Ofset nástroja zostáva v systéme trvalý aj po aktualizácii. Ofset sa odstráni len po obnovenie výrobných nastavení.

Ak je nástroj je odpojený, príslušný port nie je povolený na použitie. Napríklad, ak je odpojený nástroj 2 z porte 62002, nový pripojený nástroj musí použiť 62003. Povolené porty musia byť 62000 (základný port) a 62001 a 62003 pre nástroj 1 a nástroj 3.

Otvorené porty pre web (TCP 80, TCP 8080)

Porty potrebné pre webové služby, aby bol ovládač prístupný cez továrenskú sieť.

Nastavenie Otvorené porty pre web (TCP 80, TCP 8080) na Vyp spustí varovanie, že sa môže stratiť pripojenie s webovým HMI.

Otvorené porty pre SSH a SFTP (TCP 22)

Port potrebný pre funkciu SSH a SFTP na továrenskom porte Ethernet.

Otvorené porty pre bezdrôtové nástroje (UDP 6677, TCP 6678)

Porty potrebné pre bezdrôtové nástroje na pripojenie k ovládaču cez továrenskú sieť.

Otvorené porty pre príslušenstvo (TCP 25000)

Porty potrebné pre príslušenstvo na komunikáciu s ovládačom cez továrenskú sieť. Toto sa vzťahuje na volič nástrčky 6.

Otvoriť dodatočné porty TCP

Príjmu sa porty oddelené čiarkou aj rozsahy portov pomocou pomlčky (-). Príklad: po zadaní 1,2,3,4-10 sa otvoria všetky porty 1 až 10.

Neplatné zadania portu spustia okamžité kontextové varovanie.

Porty sa automaticky zoradia po výbere tlačidla Použiť.

Otvoriť dodatočné porty UDP

Na použitie Otvorený protokol, manuálne pridajte čísla portov do vstupného poľa Otvoriť dodatočné porty TCP. Napríklad: 4545,4546,4547 (závisí od portov nakonfigurovaných v sekcii Virtuálna stanica > Virtuálna stanica 1 > Protokoly > Otvorený protokol > Port servera).

Na použitie Server NTP manuálne pridajte port 123 do vstupného poľa Otvoriť dodatočné porty UDP.

Viaceré porty sa pridajú pomocou oddelenia čiarkou. Rozsahy portov sa pridajú pomocou pomlčky.

Filtrovanie IP (vrstva 3 brány firewall)

Na stanovenie dôveryhodného hostiteľa alebo sietí v Filtrovanie IP (vrstva 3 brány firewall) zadajte adresy IP do vstupného poľa Zoznam povolených adries IP. Na získanie prístupu k vstupnému poľu nastavte prepínač na ZAP. Prijaté zadania sú zoznamy adries IP alebo sieťové adresy ako tabuľky IP, t.j. adresy IP hostiteľa alebo sieťové adresy IP. Maska siete sa môže zadať ako dĺžka masky (napríklad /24) alebo ako sieťová adresa IP (napríklad /255.255.255.0). Pakety pochádzajúce z adries IP zaradených na zoznam povolených adries IP sú okamžite povolené. Ďalšie pakety kontrolujú ostatné vrstvy brány firewall (Filtrovanie portu a Filtrovanie MAC).

Príklad adresy IP zaradenej na zoznam povolených adries IP

Z dôvodu problémov so zabezpečením sa neprijme zadanie názvov hostiteľov alebo názvov sietí.

Upozorňujeme, že procesy ako NATing (Network Address Translation – Preklad sieťových adries) môžu zmeniť zdrojové adresy IP. Ak je potrebné na zoznam zaradiť hostiteľa na základe zdrojovej adresy IP, poraďte sa s vaším miestnym správcom siete.

Filtrovanie MAC (vrstva 2 brány firewall)

Filtrovanie MAC (vrstva 2 brány firewall) umožňuje stanoviť dôveryhodných hostiteľov zadaním ich adries MAC do vstupného poľa Zoznam povolených adries MAC. Na získanie prístupu k vstupnému poľu nastavte prepínač na ZAP. Prijaté zadania sú zoznamy adries MAC oddelené čiarkou. Pakety pochádzajúce z adries MAC zaradených na zoznam povolených adries IP sú okamžite povolené. Ďalšie pakety kontrolujú ostatné vrstvy brány firewall (Filtrovanie portu a Filtrovanie IP).

Príklad adresy MAC zaradenej na zoznam povolených adries IP

Neplatné zadania spustia okamžité kontextové varovanie.

Upozorňujeme, že smerovanie môže zmeniť zdrojové adresy MAC. Ak je potrebné na zoznam zaradiť hostiteľa na základe zdrojovej adresy MAC, poraďte sa s vaším miestnym správcom siete.

Počítadlá paketov

Na zobrazenie štatistiky brány firewall pre každú vrstvu brány firewall vyberte Nastavenia > Sieť > Brána firewall > Počítadlá paketov.

Sekcia Aktualizovať obsahuje nasledujúce tlačidlá:

  • Obnoviť: používa sa na obnovenie zobrazených počítadiel paketov.

  • Vynulovať: používa sa na vynulovanie počítadiel paketov.

Obidve tlačidlá majú prepínač, ktorý sa po ukončení akcie automaticky vráti do pôvodnej polohy.

Sekcia Prijaté počítadlá paketov zobrazuje počítadlá pre každý z typov brány firewall a pre odmietnuté pakety.

  • Filtrovanie portu: zobrazuje počítadlo paketov pre pakety prijaté typom brány firewall Filtrovanie portu.

  • Filtrovanie IP: zobrazuje počítadlo paketov pre pakety prijaté typom brány firewall Filtrovanie IP.

  • Filtrovanie MAC: zobrazuje počítadlo paketov pre pakety prijaté typom brány firewall Filtrovanie MAC.

  • Odmietnuté: zobrazuje počítadlo paketov pre pakety, ktoré boli odmietnuté.

Prijaté a teda spočítané pakety, podľa pravidiel filtrovania portu, IP a MAC obsahujú iba počiatočné pakety, ktoré nadväzujú spojenie.

Všetky odmietnuté pakety sa spočítajú a zobrazia.

Stav brány firewall

Stav všeobecnej funkcie brány firewall a jej vrstiev brány firewall je zobrazený v hlavnom zobrazení Brána firewall priamo v sekcii Nastavenia > Sieť.

Stav

Popis

OK

Brána firewall je aktivovaná a konfigurácia brány firewall je použitá.

Deaktivovaná

Brána firewall je deaktivovaná a konfigurácia brány firewall nie je použitá.

Chyba konfigurácie

Brána firewall je aktivovaná, ale konfigurácia brány firewall nie je použitá v dôsledku vnútornej chyby.

Z bezpečnostných dôvodov sa aplikuje politika Fail-Open. To znamená, že je povolený prechod všetkých pripojení.

Keď je všeobecný stav brány firewall OK, zobrazený je aj stav (Aktivované/Deaktivované) pre príslušné vrstvy brány firewall.