Firewall

Použití

Řídicí systém nabízí možnost zřídit Firewall pro primární síťové rozhraní a v případě potřeby i pro Sandbox. Příchozí síťový provoz můžete blokovat v závislosti na odesílateli a službě.

Popis funkce

Otevřete okno Nastavení firewallu s položkou menu Firewall. Položka menu se nachází ve skupině Network/Remote Access (Síť/Dálkový přístup) aplikace Nastaveni.

Po aktivaci Firewallu zobrazí řídicí systém symbol vpravo dole na hlavním panelu. Řídicí systém zobrazuje následující symboly v závislosti na stupni zabezpečení:

Symbol

Význam

firewall-low

Firewall ještě nechrání, i když byl aktivovaný.

Příklad: V konfiguraci síťového rozhraní byla použita dynamická IP-adresa, ale DHCP-server ji ještě nepřidělil.

Karta DHCP server

firewall-medium

Firewall je aktivní se střední úrovní bezpečnosti.

firewall-high

Firewall je aktivní s vysokou úrovní bezpečnosti.

Všechny služby jsou zablokované, mimo SSH

Nastavení firewallu

firewall

Okno Nastavení firewallu obsahuje následující nastavení:

Nastavení

Význam

Aktivní

Aktivování nebo deaktivování Firewallu

Připojení

Zvolte rozhraní

  • eth0: X26 řídicího systému
  • eth1: X116 řídicího systému
  • brsb0: Sandbox (opce)

Pokud má řídicí systém dvě rozhraní Ethernet, je DHCP-server pro síť stroje ve výchozím nastavení aktivní pro druhé rozhraní. S tímto nastavením nemůžete aktivovat Firewall pro eth1, protože se Firewall a DHCP-server vzájemně vylučují.

Záznam dlaších potlačených paketů

Firewall aktivovat s vysokou úrovní bezpečnosti

Všechny služby jsou zablokované, mimo SSH

Potlačit ICMP odrazové odpovědi

Je-li toto zaškrtávací políčko aktivní, tak řízení již neodpovídá na požadavek PING.

Servis

Zkratka služeb, které se budou Firewallem konfigurovat. I když služby nejsou spuštěny, můžete nastavení změnit.

  • DNC
  • DNC-server pro externí aplikace pomocí protokolu RPC, které byly vyvinuty s aplikací RemoTools SDK (port 19003) DNC

     
    Manual

    Další informace najdete v příručce Remo Tools SDK.

  • LDAPS
  • Server s uživatelskými údaji a konfigurací správy uživatelů

  • LSV2
  • Funkčnost pro TNCRemo, TeleService a další HEIDENHAIN-PC-tools (port 19000)

  • OPC UA
  • Služba, která je k dispozici pro OPC UA NC Server (port 4840)

  • SMB
  • Pouze příchozí připojení SMB, tj. sdílení systému Windows na řídicím systému. Odchozí připojení SMB nejsou ovlivněna, tj. sdílený systém Windows připojený k řídicímu systému.

  • SSH
  • Protokol SecureShell (port 22) pro bezpečné zpracování LSV2 s aktivní správou uživatelů, od systému HEROS 504

  • VNC
  • Přístup k obsahu obrazovky. Pokud tuto službu zablokujete, nebudou mít ani programy Teleservice od společnosti HEIDENHAIN přístup k řídicímu systému. Pokud tuto službu zablokujete, zobrazí se v okně VNC nastavení varování.

    Položka menu VNC

Metoda

Konfigurování dosažitelnosti

  • Zakázat vše: Pro každého nedosažitelné
  • Dovolit vše: Dosažitelné pro všechny
  • Dovolit něco: Dosažitelné pouze pro někoho
  • Ve sloupci Počítač je třeba definovat počítač, se kterým je povolen přístup. Pokud počítač nezadáte, aktivuje řídicí systém funkci Zakázat vše.

Deník

  • Řídicí systém zobrazuje následující hlášení při přenosu síťových paketů:
  • Červená: Síťový paket byl zablokovaný
  • Modrá: Síťový paket byl přijatý

Počítač

IP-adresa nebo Hostname (Název v síti) počítačů, kterým je povolen přístup. Při více počítačích je oddělujte čárkou

Řídicí systém překládá Hostname při spuštění řídicího systému na IP-adresu. Pokud se IP-adresa změní, musíte řídicí systém restartovat nebo změnit nastavení. Pokud řídicí systém nemůže přeložit Hostname na IP-adresu, vydá chybové hlášení.

Pouze při metodě Dovolit něco

Pokročilé opce

Pouze pro specialisty na sítě

Zadat standardní hodnoty

Resetovat nastavení na standardní hodnoty, doporučené od fy HEIDENHAIN

Upozornění

  • Dejte si zkontrolovat a případně upravit standardní nastavení od vašeho specialisty na počítačové sítě
  • Pokud je správa uživatelů aktivní, můžete vytvářet zabezpečená síťová připojení pouze prostřednictvím SSH. Řídicí systém automaticky blokuje připojení LSV2 přes sériová rozhraní (COM1 a COM2) i síťová spojení bez identifikace uživatele.
  • Firewall nechrání druhé síťové rozhraní eth1. K tomuto rozhraní připojujte pouze důvěryhodný hardware a nepoužívejte rozhraní pro připojení k internetu!