Konfigurera brandväggen
Styrenheten kan ställas in på att använda en brandvägg. Brandväggen bygger på principen om betrodda värddatorer, och tillåter bara inkommande anslutningar via portar eller adresser som är godkända.
Brandväggen är inaktiverad som standard.
Brandväggen kontrollerar endast inkommande anslutningar på fabrikens Ethernet-port.
Aktivera och konfigurera brandväggen
Gå till startsidan och välj Inställningar.
Välj Nätverk på den vänstra panelen.
Gå till högra panelen och skrolla ned till Brandvägg.
Välj Redigera och sätt Brandvägg i läge På. Portfiltrering (brandvägg lager 4) och alla dess fördefinierade tjänster är aktiverade som standard.
Konfigurera inställningarna för olika brandväggslager genom inställning av tjänsterna till På/Av eller genom manuell inmatning av adresser.
Portfiltrering (brandvägg lager 4): För att öppna och specificera de tjänster som ska kunna nås genom brandväggen.
IP-filtrering (brandvägg lager 3): Ange en betrodd värd med IP på nätverket – en värd som har tillgång till alla tjänster.
MAC-filtrering (brandvägg lager 2): Att ange en betrodd värd med MAC.
Om inget brandväggslager har aktiverats kommer alla inkommande anslutningar att släppas igenom.
Portfiltrering (brandvägg lager 4)
När Portfiltrering (brandvägg lager 4) är PÅ utför brandväggen paketfiltrering baserat på destinationsport. Paket som skickas till öppen port accepteras omedelbart. Datapaket som inte matchar bearbetas också av övriga brandväggstyper, IP-filtrering och MAC-filtrering, innan de accepteras eller nekas.
När Portfiltrering (brandvägg lager 4) är AV är portfiltreringen inaktiverad och alla andra inställningar är dolda.
Fördefinierade tjänster har egna aktiveringsomkopplare:
Öppna portar för webb (TCP 80, TCP 8080)
Öppna portar för SSH och SFTP (TCP 22)
Öppna portar för trådlösa verktyg (UDP 6677, TCP 6678)
Öppna portar för tillbehör (TCP 25000)
Ytterligare TCP-portar
Ytterligare UDP-portar
Fördefinierad tjänst | Beskrivning |
---|---|
Öppna portar för IxB Connect (standard 62000, konfigurerbara) | Port krävs för anslutning av IxB Connect-verktyg över fabriksnätverket till styrenheten. IxB Connect kräver en konfigurerad "basport" + 1 port/anslutet verktyg. Observera att varje nytt verktyg som ansluts får en ökad offset. Exempel: Om två verktyg är anslutna används portarna 62001 för verktyg 1 och 62002 för verktyg 2. En offset för ett verktyg finns kvar i systemet, även efter en uppgradering. Denna offset tas bort först efter en fabriksåterställning. Om ett verktyg är frånkopplat får dess motsvarande port inte användas. Exempel: Om verktyget 2 på port 62002 kopplas bort måste det nya verktyget som kopplas in använda 62003. De tillåtna portarna måste vara 62000 (basport) och 62001 och 62003 för verktyg 1 respektive verktyg 3. |
Öppna portar för webb (TCP 80, TCP 8080) | Portar krävs för webbtjänster så att styrenheten är åtkomlig över fabriksnätverket. Om alternativet Öppna portar för webb (TCP 80, TCP 8080) är Av utlöses en varning om att anslutningen till webbgränssnittet kan förloras. |
Öppna portar för SSH och SFTP (TCP 22) | Port krävs för SSH och SFTP-funktioner på fabriksinställd Ethernet-port. |
Öppna portar för trådlösa verktyg (UDP 6677, TCP 6678) | Portar krävs för att trådlösa verktyg ska kunna ansluta till styrenheten över fabriksnätverket. |
Öppna portar för tillbehör (TCP 25000) | Portar krävs för att ansluten utrustning ska kommunicera med styrenheten över fabriksnätverket. Detta gäller för hylsväljare 6. |
Öppna ytterligare TCP-portar | Kommaseparerade portar och portintervall med bindestreck (-) accepteras. Exempel: när du anger 1,2,3,4-10 kommer alla portar mellan 1 och 10 att öppnas. Ogiltiga portinställningar utlöser en omedelbar popup-varning. Portarna sorteras automatiskt när du klickar på Verkställ -knappen. |
Öppna ytterligare UDP-portar |
Om du ska använda Öppet protokoll ska du lägga till portnumren manuellt i fältet Öppna ytterligare TCP-portar. Till exempel: 4545,4546,4547 (beroende på de portar som har konfigurerats i Virtuell station > Virtuell station 1 > Protokoll > Öppet protokoll > Serverport).
Om du ska använda NTP-server måste du lägga till port 123 manuellt i fältet Öppna ytterligare UDP-portar.
Du kan lägga till flera portar med kommaseparering. Portintervall kan läggas till med ett bindestreck.
IP-filtrering (brandvägg lager 3)
Du kan specificera betrodda värddatorer eller nätverk under IP-filtrering (brandvägg lager 3) genom att ange deras IP-adresser i listrutan Godkända IP. För att komma åt inmatningsfältet sätter du omkopplaren i läge På. Listor över IP-adresser eller nätverksadresser i form av IP-tabeller accepteras, dvs. IP-adresser för värddatorer eller nätverk. Nätverksmasken kan anges som masklängd (till exempel /24) eller som nätverkets IP-adress (till exempel /255.255.255.0). Paket som kommer från en godkänd IP-adress tillåts omedelbart. Andra datapaket kontrolleras av brandväggens övriga lager (Portfiltrering och MAC-filtrering).
Av säkerhetsskäl går det inte att skriva in värdnamn eller nätverksnamn.
Observera att processer som NATing (Network Address Translation) kan ändra källans IP-adresser. Du måste kontakta lokal nätverksadministratör innan en värddators IP-adress vitlistas.
MAC-filtrering (brandvägg lager 2)
MAC-filtrering (brandvägg lager 2) släpper igenom betrodda värddatorer eller nätverk när deras MAC-adresser anges i listrutan Godkända MAC. För att komma åt inmatningsfältet sätter du omkopplaren i läge På. Kommaseparerade listor över MAC-adresser accepteras. Paket som kommer från en godkänd MAC-adress tillåts omedelbart. Andra datapaket kontrolleras av brandväggens övriga lager (Portfiltrering och IP-filtrering).
Ogiltiga poster utlöser en omedelbar popup-varning.
Observera att en router kan ändra källans MAC-adresser. Du måste kontakta lokal nätverksadministratör innan en värddators MAC-adress vitlistas.
Paketräknare
Du kan visa brandväggsstatistik för varje brandväggslager genom att välja Inställningar > Nätverk > Brandvägg > Paketräknare.
Under Uppdatera finns följande knappar:
Uppdatera: uppdaterar de paketräknare som visas.
Återställ: återställer paketräknarna till noll.
Båda knapparna har en omkopplare som automatiskt återställs till ursprungsläget efter genomförd åtgärd.
Under Accepterade paketräknare visas räknarna för var och en av brandväggstyperna samt nekade datapaket.
Portfiltrering: visar paketräknaren för paket som accepteras av brandväggstypen Portfiltrering.
IP-filtrering: visar paketräknaren för paket som accepteras av brandväggstypen IP-filtrering.
MAC-filtrering: visar paketräknaren för paket som accepteras av brandväggstypen MAC-filtrering.
Nekade: visar paketräknaren för paket som nekades.
De paket som accepteras och räknas av reglerna för port, IP- och MAC-filtrering innefattar endast de initialpaket som upprättar en anslutning.
Alla nekade paket räknas och visas.
Brandväggsstatus
Status för den allmänna brandväggsfunktionen och brandväggens lager visas i huvudvyn Brandvägg direkt under Inställningar > Nätverk.
Status | Beskrivning |
---|---|
OK | Brandväggen har aktiverats och brandväggens konfiguration har verkställts. |
Inaktiverad | Brandväggen har inaktiverats och brandväggens konfiguration verkställs inte. |
Konfigurationsfel | Brandväggen har aktiverats men brandväggens konfiguration har inte verkställts på grund av ett internt fel. Av säkerhetsskäl används en policy för öppning vid fel, vilket betyder att alla anslutningar släpps igenom. |
När allmän brandväggsstatus är OK visas även status (Aktiverad / Inaktiverad) för respektive brandväggslager.