配置防火墙

可以设置控制器使用防火墙。防火墙基于受信任的主机原则,并且仅允许通过已启用的端口或白名单中的地址进行传入连接。

默认情况下,防火墙是禁用的。

防火墙仅适用于工厂以太网端口上的传入连接。

激活和配置防火墙

  1. 在主页视图中,选择设置

  2. 在左侧面板中,选择网络

  3. 在右侧面板中,向下滚动到防火墙

  4. 选择编辑然后将防火墙设为开启。默认情况下会启用端口过滤(第 4 层防火墙)及其所有预定义过滤器。

  5. 通过将服务设置为开/关或手动输入地址来配置不同防火墙层的设置。

    • 端口过滤(第 4 层防火墙):通过防火墙打开并指定可访问的服务。

    • IP 过滤(第 3 层防火墙):在网络上按 IP 指定可访问所有服务的受信任主机。

    • MAC 过滤(第 2 层防火墙):通过 MAC 指定受信任的主机。

    如果未启用防火墙层,则允许所有传入连接通过。

端口过滤(第 4 层防火墙)

端口过滤(第 4 层防火墙)被设为开启时,防火墙根据目标端口过滤数据包。发送到开放端口的数据包将立即被接受。在被接受或拒绝之前,不匹配的数据包还会被其他防火墙类型(IP 过滤和 MAC 过滤)处理。

端口过滤(第 4 层防火墙)设置为关闭时,端口过滤被禁用,并且所有其他选项都将被隐藏。

预定义的服务具有其自己的启用开关:

  • Web 的开放端口(TCP 80、TCP 8080)

  • SSH 和 SFTP (TCP 22) 的开放端口

  • 无线工具的开放端口(UDP 6677、TCP 6678)

  • 配件的开放端口(TCP 25000)

  • 其他 TCP 端口

  • 其他 UDP 端口

预定义服务

说明

IxB Connect 的开放端口(默认 62000,可配置)

通过工厂网络将 IxB Connect 工具连接到控制器所需的端口。IxB Connect 需要配置“基本端口”+ 1 个端口/连接的工具。请注意,每连接一个新工具都会增加偏移量。例如,如果连接了两个工具,工具 1 的端口为 62001,工具 2 的端口为 62002。工具的偏移量在系统中将永久保留,即使在升级后也是如此。只有通过出厂重置才能删除此偏移量。

如果断开工具的连接,则无法使用其对应的端口。例如,如果 62002 端口上的工具 2 已断开连接,则新连接的工具必须使用端口 62003。允许的端口必须是 62000(基础端口),并且工具 1 和工具 3 须分别使用 62001 和 62003。

Web 的开放端口(TCP 80、TCP 8080)

Web 服务所需的端口,以便可以通过工厂网络访问控制器。

Web 的开放端口(TCP 80、TCP 8080)设置为关闭会触发警告,告知与 Web HMI 的连接可能会丢失。

SSH 和 SFTP (TCP 22) 的开放端口

工厂以太网端口上的 SSH 和 SFTP 功能所需的端口。

无线工具的开放端口(UDP 6677、TCP 6678)

无线工具通过工厂网络连接到控制器所需的端口。

配件的开放端口(TCP 25000)

附件通过工厂网络与控制器通信所需的端口。这适用于套筒选择器 6。

打开其他 TCP 端口

接受逗号分隔的端口和使用连字符 (-) 的端口范围。示例:当输入 1、2、3、4--10 时,将打开 1 到 10 之间的所有端口。

无效的端口输入会立即触发弹出警告。

选择应用按钮后,端口将自动排序。

打开其他 UDP 端口

要使用开放协议,可在打开其他 TCP 端口输入框中手动添加端口编号。例如:4545,4546,4547(取决于在虚拟站点 > 虚拟站点 1 > 协议 > 开放协议 > 服务器端口中配置的端口)。

要使用 NTP 服务器,可在打开其他 UDP 端口输入框中手动添加端口 123。

可以使用逗号分隔添加多个端口。可以使用破折号添加端口范围。

IP 过滤(第 3 层防火墙)

要在 IP 过滤(第 3 层防火墙)中指定受信任的主机或网络,需在 IP 白名单输入框中输入他们的 IP 地址。要访问输入框,请将开关设置为开启。接受的条目是以 IP 表单的形式列出的 IP 地址或网络地址,即主机 IP 地址或网络 IP 地址。网络掩码可以输入为掩码长度(例如 /24)或网络 IP 地址(例如 /255.255.255.0)。立即允许来自白名单 IP 地址的数据包。其他数据包由其他防火墙层(端口过滤和 MAC 过滤)筛选。

IP 地址白名单示例

由于安全问题,不接受输入主机名或网络名。

请注意,诸如 NATing(网络地址转换)之类的过程可能会更改源 IP 地址。当需要根据源 IP 地址将主机列入白名单时,请咨询本地网络管理员。

MAC 过滤(第 2 层防火墙)

MAC 过滤(第 2 层防火墙)允许通过在 MAC 白名单输入框中输入 MAC 地址来指定受信任的主机或网络。要访问输入框,请将开关设置为开启。接受的输入是以逗号分隔的 MAC 地址列表。立即允许来自白名单 MAC 地址的数据包。其他数据包由其他防火墙层(端口过滤和 IP 过滤)筛选。

MAC 地址白名单示例

无效的输入会立即触发弹出警告。

请注意,路由可能会更改源 MAC 地址。当需要根据源 MAC 地址将主机列入白名单时,请咨询本地网络管理员。

数据包计数器

要显示每个防火墙层的防火墙统计信息,请选择设置 > 网络 > 防火墙 > 数据包计数器

更新部分包括以下按钮:

  • 刷新:用于刷新显示的数据包计数器。

  • 重置:用于将数据包计数器重置为零。

这两个按钮都有一个开关,该开关在操作完成后会自动将其自身重置为原始位置。

接受的数据包计数器部分显示每种防火墙类型和拒绝的数据包的计数器。

  • 端口过滤:显示端口过滤防火墙类型接受的数据包的数据包计数器。

  • IP 过滤:显示 IP 过滤防火墙类型接受的数据包的数据包计数器。

  • MAC 过滤:显示 MAC 过滤防火墙类型接受的数据包的数据包计数器。

  • 已拒绝:显示被拒绝的数据包的数据包计数器。

被端口、IP 和 MAC 过滤规则接受并因此计数的数据包仅包括建立连接的初始数据包。

被拒绝的数据包全部计数并显示。

防火墙状态

常规防火墙功能及其防火墙层的状态直接在防火墙主视图中的设置 > 网络下显示。

状态

说明

正常

防火墙被启用,且防火墙配置被应用。

禁用

防火墙被禁用,并且防火墙配置未被应用。

配置错误

防火墙被启用,但由于内部错误,防火墙配置未被应用。

出于安全原因,故障打开策略被应用,这意味着允许所有连接通过。

当常规防火墙状态为 OK 时,还将显示相应防火墙层的状态(启用/禁用)。