Firewall layer 2: Unterschied zwischen den Versionen
Mho (Diskussion | Beiträge) (→Konfigurationsbeispiel: Modbus) |
Mho (Diskussion | Beiträge) |
||
(67 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 17: | Zeile 17: | ||
{{backbutton}} | {{backbutton}} | ||
− | Die integrierte Firewall isoliert die Netzwerkumgebung des | + | Die integrierte Firewall isoliert die Netzwerkumgebung des Shopfloor-LAN von der des Officefloor-LAN. Auf dieser Seite erfahren Sie, wie Sie den Zugriff aus dem Officefloor-LAN in das Shopfloor-LAN für bestimmte Systeme erlauben können. |
__FORCETOC__ | __FORCETOC__ | ||
Zeile 24: | Zeile 24: | ||
− | Bei einer Firewall layer 2 erfolgen die Filterfunktionen in der Sicherungsschicht (Data Link Layer) des ISO-/OSI-Schichtenmodells. Für die Konfiguration der Firewall bedeutet dies, dass keine Veränderungen der IP-Adressen innerhalb der Netzwerke, die getrennt werden sollen, nötig sind. | + | Bei einer Firewall layer 2 erfolgen die Filterfunktionen in der Sicherungsschicht (Data Link Layer) des ISO-/OSI-Schichtenmodells<ref>Nähere Informationen zum ISO-/OSI-Schichtenmodell bekommen Sie bei Wikipedia: [https://de.wikipedia.org/wiki/OSI-Modell OSI-Modell]</ref>. Für die Konfiguration der Firewall bedeutet dies, dass keine Veränderungen der IP-Adressen innerhalb der Netzwerke, die getrennt werden sollen, nötig sind. |
Das Industrial Gateway teilt durch die beiden Anschlüsse LAN 1 und LAN 2 ein einziges Netzwerk in zwei verschiedene Netzwerke. | Das Industrial Gateway teilt durch die beiden Anschlüsse LAN 1 und LAN 2 ein einziges Netzwerk in zwei verschiedene Netzwerke. | ||
− | Die zu schützenden Systeme benötigen eine Verbindung zum Anschluss LAN 1. Alle an LAN 1 angeschlossenen Geräte bilden das | + | Die zu schützenden Systeme benötigen eine Verbindung zum Anschluss LAN 1. Alle an LAN 1 angeschlossenen Geräte bilden das Shopfloor-LAN. Alle Systeme, die an LAN 2 angeschlossen sind, bilden das ungeschützte Officefloor-LAN. |
== Die Firewall konfigurieren == | == Die Firewall konfigurieren == | ||
− | {| class="wikitable"; style= " | + | |
− | |[[File: | + | {| class="wikitable"; style= "background-color:#EFF5FB;" |
− | | | + | |[[File:Info.svg.png|50px|link=]] |
+ | |In den Werkseinstellungen ist die Firewall ausgeschaltet. LAN1 und LAN2 sind völlig transparent miteinander verbunden. Es sind in diesem Zustand keine Firewall-Funktionalität und somit auch keine Schutzfunktionen aktiv. | ||
|} | |} | ||
− | ✘ Die Einstellungen des Firewall-Betriebs finden Sie unter dem Menüpunkt <small>'''Services'''</ | + | ✘ Die Einstellungen des Firewall-Betriebs finden Sie unter dem Menüpunkt <span style="font-variant:small-caps;">'''Services'''</span>. |
=== Firewall aktivieren === | === Firewall aktivieren === | ||
− | : ► Setzen Sie ein Häkchen in die Checkbox <small>'''Enable | + | : ► Setzen Sie im Bereich <span style="font-variant:small-caps;">'''Firewall Configuration'''</span> ein Häkchen in die Checkbox <span style="font-variant:small-caps;">'''Enable Service'''</span>. |
: ✔ Die Netzwerke LAN 1 und LAN 2 sind voneinander getrennt. Sie können nun Regeln erstellen, um bestimmte Verbindungen zu ermöglichen. | : ✔ Die Netzwerke LAN 1 und LAN 2 sind voneinander getrennt. Sie können nun Regeln erstellen, um bestimmte Verbindungen zu ermöglichen. | ||
Zeile 48: | Zeile 49: | ||
=== Regeln erstellen === | === Regeln erstellen === | ||
− | # Geben Sie | + | # Geben Sie im Bereich <span style="font-variant:small-caps;">'''Lan1 <= Lan2 Layer 2 Forward Rules Accepted'''</span> die gewünschten Regeln ein. |
− | # | + | # Um die Regel hinzuzufügen, klicken Sie auf die Schaltfläche '''[Add]'''. |
− | # Bestätigen Sie die Konfiguration mit | + | # Bestätigen Sie die Konfiguration mit '''[OK]''' oder '''[Apply]'''. |
:✔ Die Regel wird nun in der Liste aufgeführt. | :✔ Die Regel wird nun in der Liste aufgeführt. | ||
− | |||
− | |||
== Konfigurationsbeispiel == | == Konfigurationsbeispiel == | ||
− | [[File:FW5 250316.png| | + | [[File:FW5 250316.png|200px|thumb|right|Konfigurationsbeispiel: Firewall]] |
− | Im | + | Im Shopfloor LAN befindet sich ein IGW/935 mit der IP-Adresse <code>192.168.178.45</code>, im Officefloor LAN ein PC mit der IP-Adresse <code>192.168.178.23</code>. Beide Netzwerke sind durch ein IGW/936-FW voneinander getrennt. Das IGW/936-FW befindet sich zunächst im Auslieferzustand (Werkseinstellung: Firewall-Funktionen = Aus). |
+ | {| class="wikitable"; style= "background-color:#EFF5FB;" | ||
+ | |[[File:Info.svg.png|50px|link=]] | ||
+ | |In diesem Beispiel wird mehrfach auf den Security Scanner nmap zugegriffen. Um das Beispiel nachzuvollziehen oder Firewall-Aufgabenstellungen zu testen, installieren Sie nmap<ref name="nmap">[https://nmap.org/ Nmap]</ref> auf Ihrem PC. | ||
+ | |} | ||
− | + | <br clear=all/> | |
− | + | ||
− | + | ||
− | + | ||
− | + | ||
− | + | ||
− | # Schalten Sie in der SSV/WebUI-Konfigurationsoberfläche des IGW/936-FW die [[Firewall layer 2#Firewall aktivieren|Firewall-Funktionen]] ein, um | + | # Schalten Sie in der SSV/WebUI-Konfigurationsoberfläche des IGW/936-FW die [[Firewall layer 2#Firewall aktivieren|Firewall-Funktionen]] ein, um Shopfloor-LAN und Officefloor-LAN voneinander zu trennen. Das IGW/935 (IP-Adresse: <code>192.168.178.45</code>) ist für den PC nun nicht mehr erreichbar. |
#: <br /> | #: <br /> | ||
− | # Prüfen Sie mit Hilfe eines nmap-Aufrufs vom PC aus, ob das IGW/935 im | + | # Prüfen Sie mit Hilfe eines nmap-Aufrufs vom PC aus, ob das IGW/935 im Shopfloor-LAN noch erreichbar ist.<br /> Mit <code>nmap -sP 192.168.178.0/24</code> wird das gesamte Netzwerk nach vorhandenen Rechnern durchsucht (-sP → nmap Ping Scan). Alle gefundenen Rechner werden von nmap aufgelistet. Das IGW/935 mit der IP-Adresse <code>192.168.178.45</code> wird noch in dieser Liste auftauchen. Wenn Sie vom PC aus über http://192.168.178.45:7777 versuchen auf die SSV/WebUI-Oberfläche des IGW/935 zuzugreifen, wird dieser Versuch fehlschlagen. Der nmap-Aufruf <code>nmap –sT –p 7700-7799 192.168.178.45</code> zeigt, dass der TCP-Port <code>7777</code> (wie alle anderen TCP- und UDP-Ports zwischen <code>1</code> und <code>65.535</code>) von den Firewall-Funktionen des IGW/936-FW blockiert wird. Ein IT-Monitoring-Programm, das auf dem PC im Officefloor-LAN läuft, liefert für das IGW/935 z.B. folgenden Zustand: <br clear=all/> <br /> [[File:FW6 250316.png|border|left]] <br clear=all/> <br /> Per Ping ist das IGW/935 im Shopfloor LAN für das IT-Monitoring noch erreichbar. Der HTTP-Request wird allerdings vom IGW/936-FW blockiert. Um zu verhindern, dass die Baugruppen im Shopfloor-LAN auf einen Ping aus Officefloor-LAN heraus antworten, deaktivieren Sie in den IGW/936-FW-Einstellungen im Bereich <span style="font-variant:small-caps;">'''Lan1 <= Lan2 Layer 2 Forward Rules Accepted'''</span> die Option <span style="font-variant:small-caps;">'''Allow Ping'''</span>. |
#: <br /> | #: <br /> | ||
− | # Erstellen Sie nun eine neue Firewall-Regel mit dem <small>'''Rule name'''</ | + | # Erstellen Sie nun im Bereich <span style="font-variant:small-caps;">'''Lan1 <= Lan2 Layer 2 Forward Rules Accepted'''</span> eine neue Firewall-Regel mit dem <span style="font-variant:small-caps;">'''Rule name'''</span> <code>IGW/935-Config</code>. <br /> |
− | ## Wählen Sie | + | ## Wählen Sie im Bereich <span style="font-variant:small-caps;">'''IPv4-Transportprotokoll'''</span> die Option <code>Tcp</code>. |
− | ## | + | ## Tragen Sie in das Feld <span style="font-variant:small-caps;">'''To port'''</span> <code>7777</code>ein. |
+ | ## Klicken Sie erst auf '''[Add]''' und danach auf '''[Apply]'''. <br /> | ||
+ | #:✔ Nun kann vom Officefloor-LAN aus der PC mit der IP-Adresse <code>192.168.178.23</code> die SSV/WebUI-Oberfläche des IGW/935 über den Link <code><nowiki>http://192.168.178.45:7777</nowiki></code> erreichen. <br clear=all/> <br />[[File:FW2 260316 B.jpg|border|left]] <br clear=all/> <br /> Um zu verhindern, dass auch jeder andere PC aus dem Officefloor-LAN über den Link <code><nowiki>http://192.168.178.45:7777</nowiki></code> das IGW/935-SSV/WebUI erreichen kann, fahren Sie mit dem folgenden Schritt fort. | ||
#: <br /> | #: <br /> | ||
− | # Editieren Sie den Eintrag mit dem Rule name < | + | # Editieren Sie den Eintrag mit dem <span style="font-variant:small-caps;">'''Rule name'''</span> <code>IGW/935-Config</code>. <br /> |
− | ## | + | ## Klicken Sie auf den Stift am rechten Rand des Feldes und tragen Sie in das Feld <span style="font-variant:small-caps;">'''From address'''</span> die IP-Adresse <code>192.168.178.23</code> ein. |
− | ## | + | ## Klicken Sie erst auf '''[Replace]''' und danach auf '''[Apply]'''. <br clear=all/> <br /> [[File:FW3 260316 B.jpg|border|left]] <br clear=all/> |
− | : | + | |
− | ::[[File:FW1 270316.png| | + | |
+ | ✔ Das IT-Monitoring-Programm auf dem PC mit der IP-Adresse <code>192.168.178.23</code> im Officefloor-LAN kann nun sowohl per Ping als auch per HTTP-Request (http://192.168.178.45:7777) den Zustand des IGW/935 im Shopfloor-LAN überwachen und bei Verfügbarkeitsproblemen eine Nachricht an den zuständigen Mitarbeiter schicken. | ||
+ | <br clear=all/> <br /> | ||
+ | ::[[File:FW1 270316.png|border|left]] | ||
<br clear=all/> | <br clear=all/> | ||
− | + | {| class="wikitable"; style= "background-color:#EFF5FB;" | |
− | {| class="wikitable"; style= " | + | |[[File:Info.svg.png|50px|link=]] |
− | |[[File: | + | |'''Beachten Sie:''' Mit der hier beschriebenen Firewall-Einstellung besitzt das IGW/935 im Shopfloor-LAN keinen Zugriff mehr auf Dienste im Officefloor-LAN wie z.B. einen im Officefloor-LAN vorhandenen Internet-Zugang. Eine eventuell eingestellte Zeitsynchronisation <!-- Link zu Time and date, wenn Artikel erstellt --> des IGW/935 mit einem NTP-Server im Internet wird nun fehlschlagen. |
− | |'''Beachten Sie:''' Mit der hier beschriebenen Firewall-Einstellung besitzt das IGW/935 im | + | |
|} | |} | ||
+ | |||
Das IGW/935 ist innerhalb des LANs nun indirekt mit 1.000 Mbps statt mit 100 Mbps eingebunden. Die LAN1-Schnittstelle des IGW/935 unterstützt wie LAN1 des IGW/936-FW zwar nur 10 und 100 Mbps. LAN2 des IGW/936-FW ist allerdings für 10/100/1.000 Mbps geeignet. | Das IGW/935 ist innerhalb des LANs nun indirekt mit 1.000 Mbps statt mit 100 Mbps eingebunden. Die LAN1-Schnittstelle des IGW/935 unterstützt wie LAN1 des IGW/936-FW zwar nur 10 und 100 Mbps. LAN2 des IGW/936-FW ist allerdings für 10/100/1.000 Mbps geeignet. | ||
− | [[File:FW2 270316.png| | + | <br clear=all/> [[File:FW2 270316.png|border|left]] |
<br clear=all/> | <br clear=all/> | ||
− | Durch die LAN2-Verbindung des IGW/936-FW in Richtung | + | |
+ | Durch die LAN2-Verbindung des IGW/936-FW in Richtung Officefloor-LAN präsentiert sich das IGW/935 mit der IP-Adresse <code>192.168.178.45</code> nun als LAN-Teilnehmer mit einer 1.000 Mbps-Verbindung. | ||
== Konfigurationsbeispiel: Modbus == | == Konfigurationsbeispiel: Modbus == | ||
− | [[File:FW1 280316.png| | + | [[File:FW1 280316.png|200px|thumb|right|Konfigurationsbeispiel: Modbus]] |
− | Im | + | Im Shopfloor-LAN befindet sich ein PC mit einem Modbus-Slave. Er ist über die IP-Adresse <code>192.168.178.21</code> erreichbar. Im Officefloor-LAN existiert ein PC mit der IP-Adresse <code>192.168.178.23</code>. Dieser PC soll als Modbus-Master auf den Slave im Shopfloor-LAN zugreifen können. Beide Netzwerke sind durch ein IGW/936-FW voneinander getrennt. Das IGW/936-FW befindet sich zunächst im Auslieferzustand (Werkseinstellung: Firewall-Funktionen = Aus). |
+ | {| class="wikitable"; style= "background-color:#EFF5FB;" | ||
+ | |[[File:Info.svg.png|50px|link=]] | ||
+ | |In diesem Beispiel wird mehrfach auf den Security Scanner nmap zugegriffen. Um das Beispiel nachzuvollziehen oder Firewall-Aufgabenstellungen zu testen, installieren Sie nmap<ref name="nmap></ref> auf Ihrem PC. | ||
+ | |} | ||
− | + | <br clear=all/> | |
− | + | ||
− | + | ||
− | + | ||
− | + | ||
− | # Prüfen Sie mit Hilfe eines nmap-Aufrufs vom PC im | + | # Prüfen Sie mit Hilfe eines nmap-Aufrufs vom PC im Officefloor-LAN aus, welche TCP-Ports auf dem PC im Shopfloor-LAN erreichbar sind.<br /> Mit <code>nmap –sT –p 1-999 192.168.178.21</code> könnte sich zum Beispiel für einen unter Windows 7 laufenden PC die hier folgende nmap-Ausgabe ergeben: <br clear=all/> <br /> [[File:FW2 280316.png|border|left]] <br clear=all/> <br /> Die Einschränkung auf die TCP-Ports 1 bis 999 erfolgte aus Zeitgründen. Je mehr Ports nmap prüfen soll, desto länger dauert die Prüfung. |
#: <br /> | #: <br /> | ||
− | #Schalten Sie in der SSV/WebUI-Konfigurationsoberfläche des IGW/936-FW die [[Firewall layer 2#Firewall aktivieren|Firewall-Funktionen]] ein, um | + | #Schalten Sie in der SSV/WebUI-Konfigurationsoberfläche des IGW/936-FW die [[Firewall layer 2#Firewall aktivieren|Firewall-Funktionen]] ein, um Shopfloor-LAN und Officefloor-LAN voneinander zu trennen. <br /> ✔ Der PC mit dem Modbus-Master (IP-Adr.: <code>192.168.178.21</code>) ist nun für den PC im Officefloor-LAN nicht mehr erreichbar. |
#: <br /> | #: <br /> | ||
#Erstellen Sie nun eine neue Firewall-Regel. | #Erstellen Sie nun eine neue Firewall-Regel. | ||
− | ## Wählen Sie | + | ## Wählen Sie im Bereich <span style="font-variant:small-caps;">'''Service'''</span> die Option <code>Modbus</code> aus. |
− | ##Tragen Sie | + | ## Tragen Sie in das Feld <span style="font-variant:small-caps;">'''From address'''</span> <code>192.168.178.23</code> ein. |
− | ## | + | ## Klicken Sie erst auf '''[Add]''' und danach auf '''[Apply]'''. <br clear=all/> <br /> [[File:FW3 280316 B.jpg|border|left]] <br clear=all/> |
#: <br /> | #: <br /> | ||
− | #Prüfen Sie mit Hilfe eines erneuten nmap-Aufrufs vom PC im | + | #Prüfen Sie mit Hilfe eines erneuten nmap-Aufrufs vom PC im Officefloor-LAN aus, welche TCP-Ports auf dem PC im Shopfloor-LAN nun noch erreichbar sind. <br />Mit <code>nmap –sT –p 1-999 192.168.178.21</code> ergibt sich für den unter Windows 7 laufenden PC mit dem Modbus-Slave nun die hier folgende nmap-Ausgabe:<br clear=all/> <br /> [[File:FW4 280316.png|border|left]] <br clear=all/> |
+ | ✔ Aus dem Officefloor-LAN kann nur noch der PC mit der IP-Adresse <code>192.168.178.23</code> den Modbus-Slave im Shopfloor-LAN erreichen. | ||
+ | {| class="wikitable"; style= "background-color:#EFF5FB;" | ||
+ | |[[File:Info.svg.png|50px|link=]] | ||
+ | |Modbus-TCP benutzt standardmäßig den Port 502/TCP. Durch den vorgefertigten Service Modbus wird 502/TCP freigeschaltet, so dass ein TCP-Client (Modbus-Master) im Officefloor-LAN eine Verbindung zu einem TCP-Server (Modbus-Slave) im Shopfloor-LAN aufbauen kann. | ||
+ | |} | ||
− | + | == Vorgefertigte Services == | |
− | |||
+ | Die Konfigurationsoberfläche des IGW/36-FW bietet einige vorgefertigte Services mit Firewall-Regeln an. | ||
+ | : {| border="1" style="border-collapse:collapse" cellpadding="10" | ||
+ | ! style="text-align:left;" |<big>Service</big> | ||
+ | ! style="text-align:right;" |<big>Port(s)</big> | ||
+ | ! style="text-align:left;" |<big>Beschreibung</big> | ||
+ | |- | ||
+ | |'''HTTP''' | ||
+ | |style="text-align:right;"|80/TCP | ||
+ | |Ein im Shopfloor-LAN laufender Webserver kann von einem HTTP-Client im Officefloor-LAN über den TCP-Port 80 benutzt werden. | ||
+ | |- | ||
+ | |'''HTTPS''' | ||
+ | |style="text-align:right;"|443/TCP | ||
+ | |Ein im Shopfloor-LAN laufender Webserver kann von einem HTTPS-Client im Officefloor-LAN benutzt werden. Dafür wird der TCP-Port 443 für eingehende Verbindungen aus dem Officefloor-LAN geöffnet. | ||
+ | |- | ||
+ | |'''Modbus''' | ||
+ | |style="text-align:right;"|502/TCP | ||
+ | |Ein im Shopfloor-LAN laufender Modbus-TCP-Server (Modbus-Slave) kann von einem Modbus-TCP-Client (Modbus-Master) im Officefloor-LAN über den TCP-Port 502 benutzt werden. | ||
+ | |- | ||
+ | |'''OPC DA''' | ||
+ | |style="text-align:right;"|135/TCP | ||
+ | |Ein im Shopfloor-LAN laufender OPC DA-Server kann von einem OPC DA-Client aus dem Officefloor-LAN heraus über den TCP-Port 135 benutzt werden. | ||
+ | |- | ||
+ | |'''OPC DA ≤ Windows Server 2003''' | ||
+ | |style="text-align:right;"|1.024- 5.000/TCP | ||
+ | |Ein im Shopfloor-LAN laufender OPC DA-Server, der auf einem PC mit einem Windows-Betriebssystem kleiner/gleich Version Windows Server 2003 oder ähnlich abläuft, kann von einem OPC UA-Client aus dem Officefloor-LAN heraus benutzt werden. Dafür wird der Portbereich 1.024-5.000 für eingehende Verbindungen aus dem Officefloor-LAN geöffnet. | ||
+ | |- | ||
+ | |'''OPC DA ≥ Windows Server 2008''' | ||
+ | |style="text-align:right;"|49.152- 65.535/TCP | ||
+ | |Ein im Shopfloor-LAN laufender OPC DA-Server, der auf einem PC mit einem Windows-Betriebssystem größer/gleich Version Windows Server 2008 oder ähnlich abläuft, kann von einem OPC UA-Client aus dem Officefloor-LAN heraus benutzt werden. Dieser vorgefertigte Service wäre z. B. zu nutzen, wenn der OPC DA-Server auf einem Rechner mit Windows XP läuft. Dafür wird der Portbereich 49.152-65.535 für eingehende Verbindungen aus dem Officefloor-LAN geöffnet. | ||
+ | |- | ||
+ | |'''OPC UA''' | ||
+ | |style="text-align:right;"|4840/TCP | ||
+ | |Ein im Shopfloor-LAN laufender OPC UA-Server kann von einem OPC UA-Client aus dem Officefloor-LAN heraus über den TCP-Port 4840 benutzt werden. | ||
+ | |- | ||
+ | |'''SSH''' | ||
+ | |style="text-align:right;"|22/TCP | ||
+ | |Ein im Shopfloor-LAN laufender SSH-Server kann von einem SSH-Client im Officefloor-LAN benutzt werden. Dafür wird der TCP-Port 22 für eingehende Verbindungen aus dem Officefloor-LAN geöffnet. | ||
+ | |- | ||
+ | |'''Telnet''' | ||
+ | |style="text-align:right;"|23/TCP | ||
+ | |Ein im Shopfloor-LAN laufender Telnet-Server kann von einem Telnet-Client im Officefloor-LAN über den TCP-Port 23 benutzt werden. | ||
+ | |} | ||
+ | {{backbutton}} | ||
+ | == Weiterführende Weblinks == | ||
− | + | <references /> | |
+ | |||
+ | |||
+ | [[category:WebConfigTool]] | ||
+ | [[category:IGW/936-FW]] |
Aktuelle Version vom 27. April 2016, 13:12 Uhr
Die integrierte Firewall isoliert die Netzwerkumgebung des Shopfloor-LAN von der des Officefloor-LAN. Auf dieser Seite erfahren Sie, wie Sie den Zugriff aus dem Officefloor-LAN in das Shopfloor-LAN für bestimmte Systeme erlauben können.
Inhaltsverzeichnis
Beschreibung
Bei einer Firewall layer 2 erfolgen die Filterfunktionen in der Sicherungsschicht (Data Link Layer) des ISO-/OSI-Schichtenmodells[1]. Für die Konfiguration der Firewall bedeutet dies, dass keine Veränderungen der IP-Adressen innerhalb der Netzwerke, die getrennt werden sollen, nötig sind.
Das Industrial Gateway teilt durch die beiden Anschlüsse LAN 1 und LAN 2 ein einziges Netzwerk in zwei verschiedene Netzwerke. Die zu schützenden Systeme benötigen eine Verbindung zum Anschluss LAN 1. Alle an LAN 1 angeschlossenen Geräte bilden das Shopfloor-LAN. Alle Systeme, die an LAN 2 angeschlossen sind, bilden das ungeschützte Officefloor-LAN.
Die Firewall konfigurieren
In den Werkseinstellungen ist die Firewall ausgeschaltet. LAN1 und LAN2 sind völlig transparent miteinander verbunden. Es sind in diesem Zustand keine Firewall-Funktionalität und somit auch keine Schutzfunktionen aktiv. |
✘ Die Einstellungen des Firewall-Betriebs finden Sie unter dem Menüpunkt Services.
Firewall aktivieren
- ► Setzen Sie im Bereich Firewall Configuration ein Häkchen in die Checkbox Enable Service.
- ✔ Die Netzwerke LAN 1 und LAN 2 sind voneinander getrennt. Sie können nun Regeln erstellen, um bestimmte Verbindungen zu ermöglichen.
Regeln erstellen
- Geben Sie im Bereich Lan1 <= Lan2 Layer 2 Forward Rules Accepted die gewünschten Regeln ein.
- Um die Regel hinzuzufügen, klicken Sie auf die Schaltfläche [Add].
- Bestätigen Sie die Konfiguration mit [OK] oder [Apply].
- ✔ Die Regel wird nun in der Liste aufgeführt.
Konfigurationsbeispiel
Im Shopfloor LAN befindet sich ein IGW/935 mit der IP-Adresse 192.168.178.45
, im Officefloor LAN ein PC mit der IP-Adresse 192.168.178.23
. Beide Netzwerke sind durch ein IGW/936-FW voneinander getrennt. Das IGW/936-FW befindet sich zunächst im Auslieferzustand (Werkseinstellung: Firewall-Funktionen = Aus).
In diesem Beispiel wird mehrfach auf den Security Scanner nmap zugegriffen. Um das Beispiel nachzuvollziehen oder Firewall-Aufgabenstellungen zu testen, installieren Sie nmap[2] auf Ihrem PC. |
- Schalten Sie in der SSV/WebUI-Konfigurationsoberfläche des IGW/936-FW die Firewall-Funktionen ein, um Shopfloor-LAN und Officefloor-LAN voneinander zu trennen. Das IGW/935 (IP-Adresse:
192.168.178.45
) ist für den PC nun nicht mehr erreichbar. -
- Prüfen Sie mit Hilfe eines nmap-Aufrufs vom PC aus, ob das IGW/935 im Shopfloor-LAN noch erreichbar ist.
Mitnmap -sP 192.168.178.0/24
wird das gesamte Netzwerk nach vorhandenen Rechnern durchsucht (-sP → nmap Ping Scan). Alle gefundenen Rechner werden von nmap aufgelistet. Das IGW/935 mit der IP-Adresse192.168.178.45
wird noch in dieser Liste auftauchen. Wenn Sie vom PC aus über http://192.168.178.45:7777 versuchen auf die SSV/WebUI-Oberfläche des IGW/935 zuzugreifen, wird dieser Versuch fehlschlagen. Der nmap-Aufrufnmap –sT –p 7700-7799 192.168.178.45
zeigt, dass der TCP-Port7777
(wie alle anderen TCP- und UDP-Ports zwischen1
und65.535
) von den Firewall-Funktionen des IGW/936-FW blockiert wird. Ein IT-Monitoring-Programm, das auf dem PC im Officefloor-LAN läuft, liefert für das IGW/935 z.B. folgenden Zustand:
Per Ping ist das IGW/935 im Shopfloor LAN für das IT-Monitoring noch erreichbar. Der HTTP-Request wird allerdings vom IGW/936-FW blockiert. Um zu verhindern, dass die Baugruppen im Shopfloor-LAN auf einen Ping aus Officefloor-LAN heraus antworten, deaktivieren Sie in den IGW/936-FW-Einstellungen im Bereich Lan1 <= Lan2 Layer 2 Forward Rules Accepted die Option Allow Ping. -
- Erstellen Sie nun im Bereich Lan1 <= Lan2 Layer 2 Forward Rules Accepted eine neue Firewall-Regel mit dem Rule name
IGW/935-Config
.
- Wählen Sie im Bereich IPv4-Transportprotokoll die Option
Tcp
. - Tragen Sie in das Feld To port
7777
ein. - Klicken Sie erst auf [Add] und danach auf [Apply].
- ✔ Nun kann vom Officefloor-LAN aus der PC mit der IP-Adresse
192.168.178.23
die SSV/WebUI-Oberfläche des IGW/935 über den Linkhttp://192.168.178.45:7777
erreichen.
Um zu verhindern, dass auch jeder andere PC aus dem Officefloor-LAN über den Linkhttp://192.168.178.45:7777
das IGW/935-SSV/WebUI erreichen kann, fahren Sie mit dem folgenden Schritt fort. -
- Wählen Sie im Bereich IPv4-Transportprotokoll die Option
- Editieren Sie den Eintrag mit dem Rule name
IGW/935-Config
.
- Klicken Sie auf den Stift am rechten Rand des Feldes und tragen Sie in das Feld From address die IP-Adresse
192.168.178.23
ein. - Klicken Sie erst auf [Replace] und danach auf [Apply].
- Klicken Sie auf den Stift am rechten Rand des Feldes und tragen Sie in das Feld From address die IP-Adresse
✔ Das IT-Monitoring-Programm auf dem PC mit der IP-Adresse 192.168.178.23
im Officefloor-LAN kann nun sowohl per Ping als auch per HTTP-Request (http://192.168.178.45:7777) den Zustand des IGW/935 im Shopfloor-LAN überwachen und bei Verfügbarkeitsproblemen eine Nachricht an den zuständigen Mitarbeiter schicken.
Beachten Sie: Mit der hier beschriebenen Firewall-Einstellung besitzt das IGW/935 im Shopfloor-LAN keinen Zugriff mehr auf Dienste im Officefloor-LAN wie z.B. einen im Officefloor-LAN vorhandenen Internet-Zugang. Eine eventuell eingestellte Zeitsynchronisation des IGW/935 mit einem NTP-Server im Internet wird nun fehlschlagen. |
Das IGW/935 ist innerhalb des LANs nun indirekt mit 1.000 Mbps statt mit 100 Mbps eingebunden. Die LAN1-Schnittstelle des IGW/935 unterstützt wie LAN1 des IGW/936-FW zwar nur 10 und 100 Mbps. LAN2 des IGW/936-FW ist allerdings für 10/100/1.000 Mbps geeignet.
Durch die LAN2-Verbindung des IGW/936-FW in Richtung Officefloor-LAN präsentiert sich das IGW/935 mit der IP-Adresse 192.168.178.45
nun als LAN-Teilnehmer mit einer 1.000 Mbps-Verbindung.
Konfigurationsbeispiel: Modbus
Im Shopfloor-LAN befindet sich ein PC mit einem Modbus-Slave. Er ist über die IP-Adresse 192.168.178.21
erreichbar. Im Officefloor-LAN existiert ein PC mit der IP-Adresse 192.168.178.23
. Dieser PC soll als Modbus-Master auf den Slave im Shopfloor-LAN zugreifen können. Beide Netzwerke sind durch ein IGW/936-FW voneinander getrennt. Das IGW/936-FW befindet sich zunächst im Auslieferzustand (Werkseinstellung: Firewall-Funktionen = Aus).
In diesem Beispiel wird mehrfach auf den Security Scanner nmap zugegriffen. Um das Beispiel nachzuvollziehen oder Firewall-Aufgabenstellungen zu testen, installieren Sie nmap[2] auf Ihrem PC. |
- Prüfen Sie mit Hilfe eines nmap-Aufrufs vom PC im Officefloor-LAN aus, welche TCP-Ports auf dem PC im Shopfloor-LAN erreichbar sind.
Mitnmap –sT –p 1-999 192.168.178.21
könnte sich zum Beispiel für einen unter Windows 7 laufenden PC die hier folgende nmap-Ausgabe ergeben:
Die Einschränkung auf die TCP-Ports 1 bis 999 erfolgte aus Zeitgründen. Je mehr Ports nmap prüfen soll, desto länger dauert die Prüfung. -
- Schalten Sie in der SSV/WebUI-Konfigurationsoberfläche des IGW/936-FW die Firewall-Funktionen ein, um Shopfloor-LAN und Officefloor-LAN voneinander zu trennen.
✔ Der PC mit dem Modbus-Master (IP-Adr.:192.168.178.21
) ist nun für den PC im Officefloor-LAN nicht mehr erreichbar. -
- Erstellen Sie nun eine neue Firewall-Regel.
- Wählen Sie im Bereich Service die Option
Modbus
aus. - Tragen Sie in das Feld From address
192.168.178.23
ein. - Klicken Sie erst auf [Add] und danach auf [Apply].
- Wählen Sie im Bereich Service die Option
- Prüfen Sie mit Hilfe eines erneuten nmap-Aufrufs vom PC im Officefloor-LAN aus, welche TCP-Ports auf dem PC im Shopfloor-LAN nun noch erreichbar sind.
Mitnmap –sT –p 1-999 192.168.178.21
ergibt sich für den unter Windows 7 laufenden PC mit dem Modbus-Slave nun die hier folgende nmap-Ausgabe:
✔ Aus dem Officefloor-LAN kann nur noch der PC mit der IP-Adresse 192.168.178.23
den Modbus-Slave im Shopfloor-LAN erreichen.
Modbus-TCP benutzt standardmäßig den Port 502/TCP. Durch den vorgefertigten Service Modbus wird 502/TCP freigeschaltet, so dass ein TCP-Client (Modbus-Master) im Officefloor-LAN eine Verbindung zu einem TCP-Server (Modbus-Slave) im Shopfloor-LAN aufbauen kann. |
Vorgefertigte Services
Die Konfigurationsoberfläche des IGW/36-FW bietet einige vorgefertigte Services mit Firewall-Regeln an.
Service Port(s) Beschreibung HTTP 80/TCP Ein im Shopfloor-LAN laufender Webserver kann von einem HTTP-Client im Officefloor-LAN über den TCP-Port 80 benutzt werden. HTTPS 443/TCP Ein im Shopfloor-LAN laufender Webserver kann von einem HTTPS-Client im Officefloor-LAN benutzt werden. Dafür wird der TCP-Port 443 für eingehende Verbindungen aus dem Officefloor-LAN geöffnet. Modbus 502/TCP Ein im Shopfloor-LAN laufender Modbus-TCP-Server (Modbus-Slave) kann von einem Modbus-TCP-Client (Modbus-Master) im Officefloor-LAN über den TCP-Port 502 benutzt werden. OPC DA 135/TCP Ein im Shopfloor-LAN laufender OPC DA-Server kann von einem OPC DA-Client aus dem Officefloor-LAN heraus über den TCP-Port 135 benutzt werden. OPC DA ≤ Windows Server 2003 1.024- 5.000/TCP Ein im Shopfloor-LAN laufender OPC DA-Server, der auf einem PC mit einem Windows-Betriebssystem kleiner/gleich Version Windows Server 2003 oder ähnlich abläuft, kann von einem OPC UA-Client aus dem Officefloor-LAN heraus benutzt werden. Dafür wird der Portbereich 1.024-5.000 für eingehende Verbindungen aus dem Officefloor-LAN geöffnet. OPC DA ≥ Windows Server 2008 49.152- 65.535/TCP Ein im Shopfloor-LAN laufender OPC DA-Server, der auf einem PC mit einem Windows-Betriebssystem größer/gleich Version Windows Server 2008 oder ähnlich abläuft, kann von einem OPC UA-Client aus dem Officefloor-LAN heraus benutzt werden. Dieser vorgefertigte Service wäre z. B. zu nutzen, wenn der OPC DA-Server auf einem Rechner mit Windows XP läuft. Dafür wird der Portbereich 49.152-65.535 für eingehende Verbindungen aus dem Officefloor-LAN geöffnet. OPC UA 4840/TCP Ein im Shopfloor-LAN laufender OPC UA-Server kann von einem OPC UA-Client aus dem Officefloor-LAN heraus über den TCP-Port 4840 benutzt werden. SSH 22/TCP Ein im Shopfloor-LAN laufender SSH-Server kann von einem SSH-Client im Officefloor-LAN benutzt werden. Dafür wird der TCP-Port 22 für eingehende Verbindungen aus dem Officefloor-LAN geöffnet. Telnet 23/TCP Ein im Shopfloor-LAN laufender Telnet-Server kann von einem Telnet-Client im Officefloor-LAN über den TCP-Port 23 benutzt werden.
Weiterführende Weblinks
- ↑ Nähere Informationen zum ISO-/OSI-Schichtenmodell bekommen Sie bei Wikipedia: OSI-Modell
- ↑ 2,0 2,1 Nmap