ファイアウォール

用途

送信者とサービスに応じて受信ネットワークトラフィックを許可または拒否するためのファイアウォールが使用できます。

機能説明

この機能には、次のように移動します:

設定 ネットワーク/リモートアクセス ファイアウォール

ゾーンの概要

hefwconfig」ウィンドウを開くと、常に「OT Net」ゾーンが表示されます。パンくずナビゲーションで「ゾーン」を選択すると、ゾーンの概要が開きます。

概要には、デフォルトで 5 つのゾーンが含まれます。概要には、どのインターフェースとソースがどのゾーンに追加されているかが表示されます。

各ゾーンには固有のデフォルト設定があります。

ゾーン

ゾーンの設定を編集できます。

ゾーンの設定

 
Tip

ネットワーク担当者は、次の調整などを行うことができます:

  • ゾーンの追加と削除
  • ゾーンの名称変更
  • ゾーンの説明の編集
  • ゾーンの標準ターゲットの編集

ファイアウォールがネットワーク担当者によって調整されている場合、機械のファイアウォールがデフォルト設定と異なる場合があります。

アイコンとボタン

hefwconfig」ウィンドウには以下のアイコンとボタンがあります:

アイコンまたはボタン

意味

最大化

選択したゾーンを開く

縮小

開いたゾーンを閉じて概要に戻る

追加

クリア

編集

包括的なルールを編集する

OK

変更を保存してウィンドウを閉じる

適用

変更を保存する

設定の インポート

設定をインポートし、既存の設定を上書きする

設定の エクスポート

すべてのゾーンの設定をエクスポートする

ハイデンハイン デフォールト

設定をデフォルト値にリセットする

拡張した

ファイアウォールの設定」ウィンドウを開きます

ネットワーク担当者専用

キャンセル

保存されていない変更を破棄してウィンドウを閉じる

標準ターゲット

各ゾーンには標準ターゲットがあります。標準ターゲットによって、ファイアウォールが受信ネットワーク接続を処理する方法が決まります。ファイアウォールには、次の標準ターゲットがあります:

標準ターゲット

意味

ACCEPT

すべての受信ネットワーク接続を承諾する

ファイアウォールを無効にするのと同じです

DROP

受信ネットワーク接続を破棄する

例外を追加または削除できます。

REJECT

受信ネットワーク接続を拒否する

例外を追加または削除できます。

ゾーンの設定

ゾーン

次の表は、デフォルト設定を含む使用可能なゾーンを示しています。

ゾーン

意味

Block

標準ターゲット:REJECT

このゾーンはすべての受信接続を拒否します。

Drop

標準ターゲット:DROP

このゾーンはすべての受信接続を破棄します。

Machine Net

標準ターゲット:REJECT、例外あり

このゾーンは、コントローラと追加の操作ステーション ITC 間の接続に必要なすべてのサービスを受け入れます (VNC または DNS など)。

このゾーンにはインターフェース eth1 が割り当てられています。

OT Net

このゾーンはデフォルトゾーンです。

標準ターゲット:REJECT、例外あり

このゾーンは SSH サービスを受け入れます。

このゾーンにはインターフェース eth0 が割り当てられています。

Trusted

標準ターゲット:ACCEPT

このゾーンはすべての受信接続を受け入れます。

 
Tip

プログラミングスペースでは、インターフェース eth1 がデフォルトで追加ゾーン「Programmingstation Network」に割り当てられています。

ゾーンの設定

DNS サービスの説明テキストを含むゾーン「OT Net

ゾーンを開くと、次の設定が表示されます:

設定

意味

デフォルトゾーン

このエリアには、ゾーンがデフォルトゾーンであるかどうかが表示されます。ゾーンがデフォルトゾーンでない場合は、チェックボックスを使用してゾーンをデフォルトゾーンとして有効にすることができます。

割り当てられていないすべてのインターフェースとソースが自動的にデフォルトゾーンに割り当てられます。

ソース割り当て

このエリアには、ゾーンに割り当てられたインターフェースとソースが表示されます。インターフェースとソースを追加または削除できます。

許可されたサービス

許可されたサービス」タブには、対応するポートを持つ利用可能なすべてのサービスが表示されます。チェックボックスを使用してサービスを許可または拒否できます。このチェックボックスがオンになっている場合、このサービスは許可されています。サービスを選択すると、それに合わせた説明テキストが表示されます。

 
Tip

ハイデンハインでは、ゾーン「OT Net」でのみ例外を追加または削除することを推奨しています。

許可されたポート

許可されたポート」タブでは、TCP または UDP プロトコルを許可できます。

追加」ボタンを選択すると、ウィンドウが表示されます。TCP または UDP を選択し、ポートまたはポート範囲を定義します。

リッチルール

リッチルール」タブでは、ソース、サービス、ポートの例外をより詳細に定義できます。

包括的なルールを作成する場合、次の選択肢があります:

  • Action
    • Accept
    • 選択された要素を承諾する

    • Reject
    • 選択された要素を拒否する

    • Drop
    • 選択された要素を破棄する

  • ソース
  • IP または MAC アドレス

  • ソースを指定せずに、ServiceTCP または UDP 要素を使用してルールを作成することもできます。

  • 要素
    • All
    • ソースを指定する必要があります。

    • 選択されたアクションはすべてのサービスとポートに作用します。

    • Service
    • 使用可能なすべてのサービスを含む選択メニューが表示されます。

    • TCP
    • ポートまたはポート範囲の入力フィールドが用意されています。

    • UDP
    • ポートまたはポート範囲の入力フィールドが用意されています。

注意事項

  • ユーザー管理が有効な場合は、SSH または OPC UA (#56-61 / #3-02-1*) による安全なネットワーク接続のみ作成できます。安全でない既存のネットワーク接続を安全な接続として再作成する必要があります。
  • 適用」ボタンを使用してすべての変更を保存する必要があります。保存されていない変更は破棄されます。
  • ゾーンをダブルタップまたはダブルクリックしてゾーンを開くこともできます。
  • インターフェースまたはソースを異なるゾーンに割り当てることができます。インターフェースまたはソースがゾーンに割り当てられると、このゾーンがアクティブになります。
  • インターフェースとソースをゾーンの概要で追加または削除することもできます。
  • ゾーンからインターフェースまたはソースを削除すると、常にそのインターフェースまたはソースがデフォルトゾーンに割り当てられます。デフォルトゾーンからインターフェースまたはソースを削除することはできません。