Firewall

Zastosowanie

Sterowanie udostępnia możliwość konfigurowania zapory firewall dla głównego interfejsu sieciowego sterowania oraz w razie potrzeby sandboxa. Można blokować przychodzący ruch sieciowy w zależności od nadawcy i usługi.

Opis funkcji

Otwierasz okno Ustawienia Firewall używając punktu menu Firewall. Punkt menu znajduje się w grupie Sieć/dostęp zdalny aplikacji Settings.

Po aktywowaniu zapory systemowej, sterowanie wyświetla symbol z prawej strony u dołu na pasku zadań. Sterowanie pokazuje w zależności od stopnia zabezpieczenia następujące symbole:

Symbol

Znaczenie

firewall-low

Zabezpieczenie przez firewall jeszcze nie ma miejsca, chociaż zapora została aktywowana.

Przykład: taka sytuacja ma miejsce, jeśli np. w konfiguracji interfejsu sieciowego wykorzystano dynamiczny adres IP, ale nie został on jeszcze nadany przez serwer DHCP.

Zakładka DHCP-serwer

firewall-medium

Firewall jest aktywna na średnim poziomie zabezpieczenia.

firewall-high

Firewall jest aktywna na wysokim poziomie zabezpieczenia.

Wszystkie serwisy poza SSH są zablokowane.

Ustawienia zapory systemowej

firewall

Okno Ustawienia Firewall zawiera następujące ustawienia:

Ustawienie

Znaczenie

Aktywne

Aktywowanie lub dezaktywowanie zapory Firewall

Interfejs

Wybór interfejsu

  • eth0: X26 sterowania
  • eth1: X116 sterowania
  • brsb0: sandbox (opcjonalnie)

Jeśli sterowanie dysponuje dwoma interfejsami Ethernet, to standardowo serwer DHCP dla sieci maszyny jest aktywny przy drugim interfejsie. Z takim ustawieniem zapora systemowa dla eth1 nie może zostać aktywowana, ponieważ zapora i serwer DHCP wykluczają się wzajemnie

Inne zablkowane pakiety meldować

Aktywacja Firewall na wysokim poziomie zabezpieczenia

Wszystkie serwisy poza SSH są zablokowane.

ICMP-echo-odpowiedź zablokować

Jeśli ta checkbox jest aktywna, to sterowanie nie odpowiada więcej na zlecenia ping.

Serwis

Krótkie oznaczenia serwisów, konfigurowanych przy pomocy zapory Firewall. Nawet jeśli serwisy nie zostaną uruchomione, możesz modyfikować ustawienia.

  • DNC
  • DNC oznacza serwis, udostępniany przez serwer DNC dla zewnętrznych aplikacji przez protokół RPC, wygenerowanych przy pomocy RemoTools SDK (port 19003)

     
    Manual

    Dalsze informacje znajdują się w instrukcji RemoTools SDK.

  • LDAPS
  • Serwer z danymi użytkownika i konfiguracją menedżera użytkowników

  • LSV2
  • Funkcjonalność dla TNCremo, Teleservice i innych HEIDENHAIN-PC-tools (port 19000)

  • OPC UA
  • Serwis, udostępniany przez OPC UA NC Server (port 4840).

  • SMB
  • Tylko wchodzące połączenia SMB, tzn. udostępnienie systemu Windows na sterowaniu. Nie dotyczy to połączeń wychodzących SMB, np. udziału systemu Windows podłączonego do sterowania.

  • SSH
  • Protokół SecureShell (port 22) dla bezpiecznego realizowania LSV2 przy aktywnym menedżerze użytkowników, od HEROS 504

  • VNC
  • Dostęp do treści na ekranie. Jeśli ten serwis zostanie zablokowany, to nawet przy pomocy programów Teleserwisu firmy HEIDENHAIN nie można uzyskać dostępu do treści na ekranie. Jeśli zablokujesz ten serwis, to sterowanie wyświetla ostrzeżenie w oknie VNC-ustawienia.

    Punkt menu VNC

Metoda

Konfigurowanie osiągalności/dostępności

  • Wszystkie zabronić: niedostępny dla nikogo
  • Wszystko zezwolić: dostępny dla wszystkich
  • Zezwolić niektóre: dostępny tylko dla poszczególnych użytkowników
  • Należy zdefiniować ten komputer w kolumnie Komputer, któremu udzielone są prawa dostępu. Jeśli nie definiujesz komputera, to sterowanie aktywuje Wszystkie zabronić.

Protokół

  • Sterowanie pokazuje następujące komunikaty przy przesyłaniu pakietów sieciowych:
  • Czerwony: pakiet sieciowy zablokowany
  • Niebieski: pakiet sieciowy przyjęty

Komputer

Adres IP lub nazwa hosta komputera, któremu udzielone są prawa dostępu. W przypadku kilku komputerów rozdzielić przecinkiem

Sterowanie konwersuje nazwę hosta przy każdym starcie sterowania na adres IP. Jeśli zmienia się adres IP, to należy wykonać restart sterowania bądź zmodyfikować ustawienie. Jeśli sterowanie nie może konwersować nazwy hosta na adres IP, to wydaje komunikat o błędach.

Tylko przy metodzie Zezwolić niektóre

Rozszerzone Opcje

Tylko dla fachowców sieci

Nastawić wart. stand.

Resetowanie ustawień na wartości standardowe zalecane przez HEIDENHAIN.

Wskazówki

  • Proszę zlecić sprawdzenie ustawień standardowych fachowcom w sferze sieci komputerowej i w razie potrzeby zmienić.
  • Jeśli menedżer użytkowników jest aktywny, to możesz utworzyć bezpieczne połączenia sieciowe tylko poprzez SSH. Sterowanie blokuje automatycznie połączenia LSV2 przez szeregowe interfejsy (COM1 i COM2) a także połączenia sieciowe bez identyfikacji użytkownika.
  • Zapora systemowa Firewall nie zabezpiecza drugiego interfejsu sieciowego eth1 . Należy podłączyć do tego złącza wyłącznie wiarygodny sprzęt i nie stosować tego interfejsu dla połączenia z internetem!