ファイアウォール
用途
送信者とサービスに応じて受信ネットワークトラフィックを許可または拒否するためのファイアウォールが使用できます。
関連項目
- ネットワーク接続が確立されている
- SELinux セキュリティソフトウェア
- さまざまなプロトコルの転送時間の比較
機能説明
この機能には、次のように移動します:
設定 ネットワーク/リモートアクセス ファイアウォール
- ゾーンの概要
「hefwconfig」ウィンドウを開くと、常に「OT Net」ゾーンが表示されます。パンくずナビゲーションで「ゾーン」を選択すると、ゾーンの概要が開きます。
概要には、デフォルトで 5 つのゾーンが含まれます。概要には、どのインターフェースとソースがどのゾーンに追加されているかが表示されます。
各ゾーンには固有のデフォルト設定があります。
ゾーンの設定を編集できます。
ネットワーク担当者は、次の調整などを行うことができます:
- ゾーンの追加と削除
- ゾーンの名称変更
- ゾーンの説明の編集
- ゾーンの標準ターゲットの編集
ファイアウォールがネットワーク担当者によって調整されている場合、機械のファイアウォールがデフォルト設定と異なる場合があります。
アイコンとボタン
「hefwconfig」ウィンドウには以下のアイコンとボタンがあります:
アイコンまたはボタン | 意味 |
---|---|
最大化 選択したゾーンを開く | |
縮小 開いたゾーンを閉じて概要に戻る | |
追加 | |
クリア | |
編集 包括的なルールを編集する | |
OK | 変更を保存してウィンドウを閉じる |
適用 | 変更を保存する |
設定の インポート | 設定をインポートし、既存の設定を上書きする |
設定の エクスポート | すべてのゾーンの設定をエクスポートする |
ハイデンハイン デフォールト | 設定をデフォルト値にリセットする |
拡張した | 「ファイアウォールの設定」ウィンドウを開きます ネットワーク担当者専用 |
キャンセル | 保存されていない変更を破棄してウィンドウを閉じる |
標準ターゲット
各ゾーンには標準ターゲットがあります。標準ターゲットによって、ファイアウォールが受信ネットワーク接続を処理する方法が決まります。ファイアウォールには、次の標準ターゲットがあります:
標準ターゲット | 意味 |
---|---|
ACCEPT | すべての受信ネットワーク接続を承諾する ファイアウォールを無効にするのと同じです |
DROP | 受信ネットワーク接続を破棄する 例外を追加または削除できます。 |
REJECT | 受信ネットワーク接続を拒否する 例外を追加または削除できます。 |
ゾーン
次の表は、デフォルト設定を含む使用可能なゾーンを示しています。
ゾーン | 意味 |
---|---|
Block | 標準ターゲット:REJECT このゾーンはすべての受信接続を拒否します。 |
Drop | 標準ターゲット:DROP このゾーンはすべての受信接続を破棄します。 |
Machine Net | 標準ターゲット:REJECT、例外あり このゾーンは、コントローラと追加の操作ステーション ITC 間の接続に必要なすべてのサービスを受け入れます (VNC または DNS など)。 このゾーンにはインターフェース eth1 が割り当てられています。 |
OT Net | このゾーンはデフォルトゾーンです。 標準ターゲット:REJECT、例外あり このゾーンは SSH サービスを受け入れます。 このゾーンにはインターフェース eth0 が割り当てられています。 |
Trusted | 標準ターゲット:ACCEPT このゾーンはすべての受信接続を受け入れます。 |
プログラミングスペースでは、インターフェース eth1 がデフォルトで追加ゾーン「Programmingstation Network」に割り当てられています。
ゾーンの設定
- DNS サービスの説明テキストを含むゾーン「OT Net」
ゾーンを開くと、次の設定が表示されます:
設定 | 意味 |
---|---|
デフォルトゾーン | このエリアには、ゾーンがデフォルトゾーンであるかどうかが表示されます。ゾーンがデフォルトゾーンでない場合は、チェックボックスを使用してゾーンをデフォルトゾーンとして有効にすることができます。 割り当てられていないすべてのインターフェースとソースが自動的にデフォルトゾーンに割り当てられます。 |
ソース割り当て | このエリアには、ゾーンに割り当てられたインターフェースとソースが表示されます。インターフェースとソースを追加または削除できます。 |
許可されたサービス | 「許可されたサービス」タブには、対応するポートを持つ利用可能なすべてのサービスが表示されます。チェックボックスを使用してサービスを許可または拒否できます。このチェックボックスがオンになっている場合、このサービスは許可されています。サービスを選択すると、それに合わせた説明テキストが表示されます。 Tip ハイデンハインでは、ゾーン「OT Net」でのみ例外を追加または削除することを推奨しています。 |
許可されたポート | 「許可されたポート」タブでは、TCP または UDP プロトコルを許可できます。 「追加」ボタンを選択すると、ウィンドウが表示されます。TCP または UDP を選択し、ポートまたはポート範囲を定義します。 |
リッチルール | 「リッチルール」タブでは、ソース、サービス、ポートの例外をより詳細に定義できます。 包括的なルールを作成する場合、次の選択肢があります:
|
注意事項
- ユーザー管理が有効な場合は、SSH または OPC UA (#56-61 / #3-02-1*) による安全なネットワーク接続のみ作成できます。安全でない既存のネットワーク接続を安全な接続として再作成する必要があります。
- 「適用」ボタンを使用してすべての変更を保存する必要があります。保存されていない変更は破棄されます。
- ゾーンをダブルタップまたはダブルクリックしてゾーンを開くこともできます。
- インターフェースまたはソースを異なるゾーンに割り当てることができます。インターフェースまたはソースがゾーンに割り当てられると、このゾーンがアクティブになります。
- インターフェースとソースをゾーンの概要で追加または削除することもできます。
- ゾーンからインターフェースまたはソースを削除すると、常にそのインターフェースまたはソースがデフォルトゾーンに割り当てられます。デフォルトゾーンからインターフェースまたはソースを削除することはできません。