Firewall

Anwendung

Sie können mit der Steuerung eine Firewall für die primäre Netzwerkschnittstelle und ggf. für eine Sandbox einrichten. Sie können eingehenden Netzwerkverkehr abhängig von Absender und Dienst blocken.

Funktionsbeschreibung

Sie öffnen das Fenster Firewall Einstellungen mit dem Menüpunkt Firewall. Der Menüpunkt befindet sich in der Gruppe Netzwerk/Fernzugriff der Anwendung Einstellungen.

Wenn Sie die Firewall aktivieren, zeigt die Steuerung ein Symbol rechts unten in der Task-Leiste. Die Steuerung zeigt je nach Sicherheitsstufe folgende Symbole:

Symbol

Bedeutung

firewall-low

Ein Schutz durch die Firewall ist noch nicht gegeben, obwohl die Firewall aktiviert wurde.

Beispiel: In der Konfiguration der Netzwerkschnittstelle wird eine dynamische IP-Adresse verwendet, aber der DHCP-Server hat noch keine IP-Adresse vergeben.

Reiter DHCP-Server

firewall-medium

Firewall ist mit mittlerer Sicherheitsstufe aktiv.

firewall-high

Firewall ist mit hoher Sicherheitsstufe aktiv.

Alle Dienste außer SSH sind gesperrt.

Einstellungen der Firewall

firewall

Das Fenster Firewall Einstellungen enthält folgende Einstellungen:

Einstellung

Bedeutung

Aktiv

Firewall aktivieren oder deaktivieren

Schnittstelle

Schnittstelle wählen

  • eth0: X26 der Steuerung
  • eth1: X116 der Steuerung
  • brsb0: Sandbox (optional)

Wenn eine Steuerung über zwei Ethernet-Schnittstellen verfügt, ist standardmäßig der DHCP-Server für das Maschinennetz bei der zweiten Schnittstelle aktiv. Mit dieser Einstellung können Sie die Firewall für eth1 nicht aktivieren, da sich Firewall und DHCP-Server gegenseitig ausschließen.

Sonstige gesperrte Pakete melden

Firewall mit hoher Sicherheitsstufe aktivieren

Alle Dienste außer SSH sind gesperrt.

ICMP-Echo-Antwort sperren

Wenn diese Checkbox aktiv ist, antwortet die Steuerung nicht mehr auf eine Ping-Anforderung.

Dienst

Kurzbezeichnung der Dienste, die mit der Firewall konfiguriert werden. Auch wenn die Dienste nicht gestartet sind, können Sie die Einstellungen ändern.

  • DNC
  • DNC-Server für externe Anwendungen über das RPC-Protokoll, die mithilfe des RemoTools SDK entwickelt wurden (Port 19003)

     
    Manual

    Weitere Informationen finden Sie im Handbuch RemoTools SDK.

  • LDAPS
  • Server mit Benutzerdaten und Konfiguration der Benutzerverwaltung

  • LSV2
  • Funktionalität für TNCremo, TeleService und andere HEIDENHAIN-PC-Tools (Port 19000)

  • OPC UA
  • Dienst, den der OPC UA NC Server zur Verfügung stellt (Port 4840).

  • SMB
  • Ausschließlich eingehende SMB-Verbindungen, also eine Windows-Freigabe auf der Steuerung. Ausgehende SMB-Verbindungen werden nicht beeinflusst, also eine an der Steuerung angebundene Windows-Freigabe.

  • SSH
  • SecureShell-Protokoll (Port 22) zur sicheren LSV2-Abwicklung bei aktiver Benutzerverwaltung, ab HEROS 504

  • VNC
  • Zugriff auf den Bildschirminhalt. Wenn Sie diesen Dienst sperren, können auch Teleservice-Programme von HEIDENHAIN nicht auf die Steuerung zugreifen. Wenn Sie diesen Dienst sperren, zeigt die Steuerung im Fenster VNC-Einstellungen eine Warnung.

    Menüpunkt VNC

Methode

Erreichbarkeit konfigurieren

  • Allen verbieten: Für niemanden erreichbar
  • Allen erlauben: Für alle erreichbar
  • Einigen erlauben: Nur für einzelne erreichbar
  • Sie müssen in der Spalte Rechner den Rechner definieren, dem der Zugriff erlaubt ist. Wenn Sie keinen Rechner definieren, aktiviert die Steuerung Allen verbieten.

Protokollieren

  • Die Steuerung zeigt folgende Meldungen bei der Übertragung von Netzwerkpaketen:
  • Rot: Netzwerkpaket geblockt
  • Blau: Netzwerkpaket angenommen

Rechner

IP-Adresse oder Hostname der Rechner, denen der Zugriff erlaubt ist. Bei mehreren Rechnern mit Komma getrennt

Die Steuerung übersetzt den Hostnamen beim Start der Steuerung in eine IP-Adresse. Wenn sich die IP-Adresse ändert, müssen Sie die Steuerung neu starten oder die Einstellung ändern. Wenn die Steuerung den Hostnamen nicht in eine IP-Adresse übersetzen kann, gibt sie eine Fehlermeldung aus.

Nur bei Methode Einigen erlauben

Erweiterte Optionen

Nur für Netzwerkspezialisten

Setze Standardwerte

Einstellungen auf die von HEIDENHAIN empfohlenen Standardwerte zurücksetzen

Hinweise

  • Lassen Sie die Standardeinstellungen von Ihrem Netzwerkspezialisten prüfen und ggf. ändern.
  • Wenn die Benutzerverwaltung aktiv ist, können Sie nur noch sichere Netzwerkverbindungen über SSH erstellen. Die Steuerung sperrt LSV2-Verbindungen über die seriellen Schnittstellen (COM1 und COM2) sowie Netzwerkverbindungen ohne Benutzeridentifikation automatisch.
  • Die Firewall schützt die zweite Netzwerkschnittstelle eth1 nicht. Schließen Sie an diesen Anschluss ausschließlich vertrauenswürdige Hardware an und verwenden Sie die Schnittstelle nicht für Internet-Verbindungen!