In questa sezione viene descritto come vengono scritti i file di script (file di script predefiniti o file di script dinamici) in modo che possano essere eseguiti durante l'avvio del controller o durante l'attivazione di un comando specifico.
I comandi seguenti sono disponibili per la gestione del firewall Ethernet del M262 Logic/Motion Controller:
|
Comando |
Descrizione |
|---|---|
|
|
Blocca i frame dalle interfacce Ethernet. Se non è autorizzato alcun indirizzo IP o porta specifico, non è possibile comunicare sulle interfacce Ethernet.
NOTA: Per impostazione predefinita, quando il firewall è attivato, vengono rifiutati i frame.
|
|
|
Le regole del firewall non sono applicate. I frame non sono bloccati. |
|
|
I frame vengono accettati dal controller sull’interfaccia Ethx. |
|
|
I frame vengono rifiutati dal controller sull’interfaccia Ethx.
NOTA: Per impostazione predefinita, questa riga, se non è presente, corrisponde al comando
Firewall Eth1 Default Reject.
|
|
(1) Dove Ethx =
|
|
I comandi seguenti sono disponibili per configurare le regole del firewall per indirizzi e porte specifiche:
|
Comando |
Intervallo |
Descrizione |
|---|---|---|
|
|
• = 0 - 255 |
I frame provenienti dall'indirizzo IP specificato sono consentiti su tutti i numeri di porte e i tipi di porte. |
|
|
• = 0 - 255 |
I frame provenienti dall'indirizzo IP specificato sono rifiutati su tutti i numeri di porte e i tipi di porte. |
|
|
• = 0 - 255 |
I frame provenienti dagli indirizzi IP nell'intervallo specificato sono consentiti per tutti i numeri di porte e i tipi di porte.
NOTA: Le regole di una gamma di indirizzi IP specifici verranno convertite nel formato CIDR nel controller quando saranno stabilite.
Esempio: "Il firewall Eth2 consente l'uso di IP da 192.168.100.66 a 192.168.100.99 sulla porta TCP 44818" è separato in 7:
L'utilizzo di un'intera gamma IP sottorete impedisce la saturazione delle regole del firewall. |
|
|
• = 0 - 255 |
I frame provenienti dagli indirizzi IP nell'intervallo specificato sono rifiutati per tutti i numeri di porte e i tipi di porte. |
|
|
I frame con il numero della porta di destinazione specificato sono consentiti. |
|
|
|
I frame con il numero della porta di destinazione specificato sono rifiutati.
NOTA: Quando l'inoltro IP è attivato, le regole con rifiuto di porte filtrano solo frame con il controller corrente come destinazione. Non sono applicate per i frame instradati dal controller corrente.
|
|
|
|
I frame con un numero della porta di destinazione nell'intervallo specificato sono consentiti. |
|
|
|
I frame con un numero della porta di destinazione nell'intervallo specificato sono rifiutati. |
|
|
|
• = 0 - 255 |
I frame provenienti dall'indirizzo IP specificato e con il numero della porta di destinazione specificato sono consentiti. |
|
|
• = 0 - 255 |
I frame provenienti dall'indirizzo IP specificato e con il numero della porta di destinazione specificato sono rifiutati. |
|
|
• = 0 - 255 |
I frame provenienti dall'indirizzo IP specificato e con un numero della porta di destinazione nell'intervallo specificato sono consentiti. |
|
|
• = 0 - 255 |
I frame provenienti dall'indirizzo IP specificato e con un numero della porta di destinazione nell'intervallo specificato sono rifiutati. |
|
|
• = 0 - 255 |
I frame provenienti da un indirizzo IP nell'intervallo specificato e con il numero di porta di destinazione specificato sono consentiti. |
|
|
• = 0 - 255 |
I frame provenienti da un indirizzo IP nell'intervallo specificato e con il numero di porta di destinazione specificato sono rifiutati. |
|
|
• = 0 - 255 |
I frame provenienti da un indirizzo IP nell'intervallo specificato e con il numero di porta di destinazione nell'intervallo specificato sono consentiti. |
|
|
• = 0 - 255 |
I frame provenienti da un indirizzo IP nell'intervallo specificato e con il numero di porta di destinazione nell'intervallo specificato sono rifiutati. |
|
|
• = 0 - F |
I frame provenienti dall'indirizzo MAC ••:••:••:••:•• specificato sono consentiti.
NOTA: Quando vengono applicate le regole che consentono l’indirizzo MAC, solo gli indirizzi MAC elencati possono comunicare con il controller, anche se altre regole lo consentono.
|
|
|
• = 0 - F |
I frame provenienti dall'indirizzo MAC ••:••:••:••:•• specificato sono rifiutati. |
|
|
Y = 0...65535 |
I frame stabiliti dal controller con i protocolli TCP/UDP per il numero di porta di destinazione specificato sono consentiti. |
|
(1) Dove Ethx =
|
||
; Enable FireWall. All frames are rejected;
FireWall Enable;
; Allow frames on Eth1
FireWall Eth1 Default Allow;
; Block all Modbus Requests on all IP address
Firewall Eth1 Reject tcp port 502;
; Reject frames on Eth2
FireWall Eth2 Default Reject;
; Allow FTP active connection for IP address 85.16.0.17
FireWall Eth2 Allow IP 85.16.0.17 on tcp ports 20 to 21;
Ad esempio:
"FireWall Eth2 Allow IPs 192.168.100.66 to 192.168.100.99 on tcp port 44818;", è separato in 7:
192.168.100.66/31
192.168.100.68/30
192.168.100.72/29
192.168.100.80/28
192.168.100.96/27
192.168.100.128/26
192.168.100.192/29
Per impedire un errore del firewall, utilizzare l'intera configurazione della sotto rete.
Di seguito viene riportato un esempio di Firewall in modalità white list. Nell'esempio, tutte le comunicazioni sono bloccate per impostazione predefinita e vengono consentiti solo i servizi necessari.
|
Comandi |
Commenti |
|
|
; abilita il firewall. |
|
Configurazione Eth1 |
|
|
|
; rifiuta tutti i frame sull'interfaccia ETH1. ; in questo esempio, ETH1 è collegato alla rete di dispositivi Industrial Ethernet, quindi è possibile considerarlo affidabile. |
|
|
; consente il server Modbus TCP sull'interfaccia ETH1. ; non è presente alcuna autenticazione sul Modbus, quindi deve essere consentito solo su reti affidabili. |
|
|
; consente risposte a comunicazioni stabilite dal controller alla porta TCP 502. ; ciò è necessario quando viene utilizzata la libreria PlcCommunication per comunicare utilizzando il protocollo Modbus TCP. |
|
|
; consente allo scanner ETHIP scambi impliciti di risposte alla porta UDP 2222 (ETHIP) sull'interfaccia ETH1. |
|
|
; consente risposte a comunicazioni stabilite dal controller alla porta TCP 44818 (ETHIP) sull’interfaccia ETH1. ; gli ultimi 2 comandi consentono allo scanner EtheNetIP di comunicare con i dispositivi Ethernet industriali. |
|
Configurazione Eth2 |
|
|
|
; rifiuta tutti i frame sull'interfaccia ETH2. Questa interfaccia è collegata alla rete utilizzata principalmente per la messa in servizio.. |
|
|
; consente il server OPC UA sull'interfaccia ETH2. |
|
|
; consente il Server Web (https) sull'interfaccia ETH2. |
|
|
; consente il WebVisualisation (https) sull'interfaccia ETH2. |
|
|
; consente FTP in modalità attiva sull'interfaccia ETH2. |
|
|
: consente l'IP per il PC di messa in servizio per individuare e configurare l'indirizzo IP del controller. ; ciò dovrebbe essere consentito solo su una rete affidabile perché l’IP può essere modificato anche quando i Diritti utente sono configurati. |
|
|
; consente l'IP del PC di messa in servizio e un HMI per comunicare con il controller utilizzando il protocollo Machine Expert. |
|
|
; consente Fast TCP sull'interfaccia ETH2. Consente di collegare il controller utilizzando TCP. |
|
|
; consente la comunicazione implicita con la porta UDP 2222 (ETHIP) sull'interfaccia ETH2. |
|
|
; consente la comunicazione esplicita con la porta TCP 44818 (ETHIP) sull'interfaccia ETH2. Gli ultimi 2 comandi consentono di utilizzare il controller come adattatore EtherNetIP. |
|
|
; consente l'indirizzo MAC dell'HMI. |
|
|
; consente l'indirizzo MAC del PC di messa in servizio. Solo gli indirizzi MAC consentiti possono comunicare con il controller. |
|
Configurazione Eth3 TMSES4 |
|
|
|
; rifiuta i frame su TMSES4. Questa interfaccia è collegata alla rete dell’impianto e può accedere al Web. Dovrebbe essere considerato come non affidabile. |
|
|
; consente il client http ( ad esempio per il collegamento a Machine Advisor) sull’interfaccia TMSES4. |
|
|
; consente Fast TCP sull'interfaccia TMSES4. Consente il collegamento da remoto al controller. Non dovrebbe essere consentito a meno che i Diritti utente siano attivati sul controller. |
|
Protocollo |
Numeri porta di destinazione |
|---|---|
|
Machine Expert |
UDP 1740, 1741, 1742, 1743 TCP 11740 |
|
FTP |
TCP 21, 20 |
|
HTTP |
TCP 80 |
|
HTTPS |
TCP 443 |
|
Modbus |
TCP 502 |
|
OPC UA |
TCP 4840 |
|
Machine Expert Discovery |
UDP 27126, 27127 |
|
Protocollo Bonjour Discovery |
UDP 5353 |
|
Rilevamento dinamico Web Services |
UDP 3702 TCP 5357 |
|
SNMP |
UDP 161, 162 |
|
NVL |
Valore predefinito UDP: 1202 |
|
EtherNet/IP |
UDP 2222 TCP 44818 |
|
WebVisualisation |
HTTP 8080 HTTPS 8089 |
|
TFTP |
UDP 69 (utilizzato solo per server FDR) |
|
|
UDP 35021, 45000 |
|
|
UDP 45001...45004 |