Wiesemann & Theis GmbH

Netzwerk-, Sensor- & Schnittstellentechnik für Industrie, Office & IT

Hintergrundwissen:

Wichtige Firewallregeln

zur Konfiguration der W&T Microwall


Diese Standard-Firewall-Regeln unterstützen Sie dabei, typische Anwendungsfälle der Microwall umzusetzen.

Zur Vereinfachung gehen wir von folgender Konfiguration aus:

Das verinselte Netzwerksegment erhält die Netzadresse 10.10.20.0/24 zugewiesen, das umgebende Netzwerk erhält die Netzadresse 10.10.10.0/24.

Das Gerät auf der Insel hat in den nachfolgenden Regeln stets die IP-Adresse 10.10.20.20, das Gerät im umgebenden Netzwerk hat die IP-Adresse 10.10.10.10.


[+][-] Dateizugriff vom Inselrechner auf einen Fileserver (TCP/IP)

Freigabe des Windows-Dateizugriffs TCP/IP
Der Dateizugriff erfolgt über das SMB-Protokoll. Hierzu muss der verinselte Host eine TCP-Verbindung zu Port 445 des Dateiservers aufbauen. Erfolgt der Zugriff direkt über die IP-Adresse des Fileservers, ist diese Regel ausreichend.
Inselnetzwerk TCP umgebendes Netzwerk
IP: 10.10.20.20
Port: any
TCP Richtung Rechts IP 10.10.10.10
Port: 445


[+][-] Dateizugriff vom Inselrechner auf einen Fileserver (NetBIOS)

Sollen auch ältere Steuerrechner - etwa auf der Basis von Windows XP - auf das Windows-Netzwerk zugreifen können, müssen Sie zusätzlich zum TCP-Port 445 auch das sitzungsbasiert NetBIOS-Transportprotokoll auf Port 139/TCP zulassen.

Bitte beachten Sie, dass diese alten Betriebssystem-Versionen unsicher sind!

Regel 1: Freigabe des NetBIOS-Session-Service
Datentransport über den verbindungsorientierten Session-Service erlauben.
Inselnetzwerk TCP umgebendes Netzwerk
IP: 10.10.20.20
Port: any
TCP Richtung Rechts IP 10.10.10.10
Port: 139
Regel 2: Freigabe des Dateizugriffs
TCP-Verbindung zu Port 445 des Dateiservers aufbauen.
Inselnetzwerk TCP umgebendes Netzwerk
IP: 10.10.20.20
Port: any
TCP Richtung Rechts IP 10.10.10.10
Port: 445


[+][-] Namensauflösung über DNS zulassen

Hostnamen über DNS auflösen
Über das Domain Name System (DNS) beziehen Sie die IP-Adresse eines Rechners, der über den Rechnernamen angesprochen wird. Hierbei handelt es sich um einen kurzen Datenaustausch über UDP.
Inselnetzwerk UDP umgebendes Netzwerk
IP: 10.10.20.20
Rückrichtung zulassen: ja
UDP Richtung Rechts IP 10.10.10.10
Port: 53


[+][-] Aktuelle Uhrzeit über Netzwerk beziehen (NTP)

Zeitupdates mit (S)NTP via UDP
Zeitserver liefern die aktuelle Uhrzeit über das Simple Network Time Protocol (SNTP) oder das Net Time Protocol (NTP) aus.
Inselnetzwerk UDP umgebendes Netzwerk
IP: 10.10.20.20
Rückrichtung zulassen: ja
UDP Richtung Rechts IP 10.10.10.10
Port: 123


[+][-] Zugriff auf eine Weboberfläche im Insel-Netzwerk

Unverschlüsseltes HTTP erlauben
Für den Zugriff auf unverschlüsselte Webseiten muss im Regelfall der TCP-Port 80 geöffnet werden.
Inselnetzwerk TCP umgebendes Netzwerk
IP: 10.10.20.20
Port: 80
TCP Richtung Links IP 10.10.10.10
Port: any
(Alternativ): Verschlüsseltes HTTPS erlauben
Für den Zugriff auf verschlüsselte Webseiten muss im Regelfall der TCP-Port 443 geöffnet werden.
Inselnetzwerk TCP umgebendes Netzwerk
IP: 10.10.20.20
Port: 443
TCP Richtung Links IP 10.10.10.10
Port: any


[+][-] E-Mail-Versand vom Insel-Netzwerk aus

Bei den nachfolgenden Regeln wird davon ausgegangen, dass die IP-Adressen der Mailserver bekannt sind.

E-Mails über SMTP (mit/ohne StartTLS) versenden
Unverschlüsselter und StartTLS-geschützter E-Mail-Versand über SMTP.
Inselnetzwerk TCP umgebendes Netzwerk
IP: 10.10.20.20
Port: any
TCP Richtung Rechts IP 10.10.10.10
Port: 587
(Alternativ): E-Mails über SMTPS versenden
Verschlüsselter E-Mail-Versand über SMTPS.
Inselnetzwerk TCP umgebendes Netzwerk
IP: 10.10.20.20
Port: any
TCP Richtung Rechts IP 10.10.10.10
Port: 465


[+][-] Über IMAP von der Insel aus auf E-Mails zugreifen

Zugriff auf E-Mail-Konten über IMAP (mit/ohne StartTLS)
Von der Insel aus auf E-Mail-Konten zugreifen - unverschlüsselt oder durch StartTLS geschützt.
Inselnetzwerk TCP umgebendes Netzwerk
IP: 10.10.20.20
Port: any
TCP Richtung Rechts IP 10.10.10.10
Port: 142
(Alternativ): Zugriff auf E-Mails über IMAPS (mit/ohne StartTLS)
Von der Insel aus auf E-Mailkonten zugreifen, TLS-geschützt.
Inselnetzwerk TCP umgebendes Netzwerk
IP: 10.10.20.20
Port: any
TCP Richtung Rechts IP 10.10.10.10
Port: 992


[+][-] Von der Insel aus einen SNMP-Trap versenden

Unverschlüsselter SNMP-Trap von der Insel aus
Inselnetzwerk UDP umgebendes Netzwerk
IP: 10.10.20.20
Rückrichtung erlauben: nein
TCP Richtung Rechts IP 10.10.10.10
Port: 162


[+][-] SNMP-Polling von außerhalb

Unverschlüsseltes SNMP-Polling durch einen Manager außerhalb der Insel erlauben
Ein SNMP-Manager kann auf die Insel zugreifen um dort Werte im Polling-Verfahren abzufragen.
Inselnetzwerk UDP umgebendes Netzwerk
IP: 10.10.20.20
Rückrichtung erlauben: ja
SNMP: ja
UDP Richtung Links IP 10.10.10.10
Port: 161


[+][-] Über Secure Shell auf ein Inselgerät zugreifen

SSH-Verbindung auf die Insel
Mit einer verschlüsselten Terminal-Session können Sie einen Rechner auf der Insel steuern.
Inselnetzwerk TCP umgebendes Netzwerk
IP: 10.10.20.20
Port: 22
TCP Richtung Links IP 10.10.10.10
Port: any


[+][-] IoT-Kommunikation über MQTT-Broker

MQTT-Verbindung auf die Insel
MQTT ist ein Standardprotokoll für das Internet der Dinge. Über einen MQTT-Broker können Nachrichten auch inselüberfreifend ausgetauscht werden.
Inselnetzwerk TCP umgebendes Netzwerk
IP: 10.10.20.20
Port: any
TCP Richtung Rechts IP 10.10.10.10
Port: 1883


[+][-] MySQL-Datenbank auf der Insel abfragen

Verbindung mit Datenbankserver auf der Insel aufbauen
Soll ein Datenbankserver auf der Insel abgefragt werden, muss TCP-Port 3306 freigegeben werden.
Inselnetzwerk TCP umgebendes Netzwerk
IP: 10.10.20.20
Port: 3306
TCP Richtung Links IP 10.10.10.10
Port: any


[+][-] W&T - Box-2-Box-Mode erlauben (Web-IO Digital 4.0)

Verbindung mit Box-2-Box-Slave auf der Insel
Um eine Box-2-Box-Verbindung mit einem Insel-Gerät aufzubauen, müssen Sie einen der beiden Box-2-Box-Slave-Ports verwenden.
Inselnetzwerk TCP umgebendes Netzwerk
IP: 10.10.20.20
Port: 49157, 49158
TCP Richtung Links IP 10.10.10.10
Port: any


[+][-] W&T - OPC-Zugriff erlauben (Web-IO Digital 4.0)

Zugriff für den W& T OPC-Server zulassen
Um Inselgeräte im W&T-OPC-Server zu erfassen, müssen Sie den TCP-Port 49159 freigeben.
Inselnetzwerk TCP umgebendes Netzwerk
IP: 10.10.20.20
Port: 49159
TCP Richtung Links IP 10.10.10.10
Port: any


[+][-] W&T-ASCII-Protokoll erlauben (Web-IO Digital 4.0)

Zugriff über W&T-ASCII-Protokoll erlauben
Durch den Austausch einfacher Kommando-Strings können z.B. Inputs und Counter von Web-IOs gelesen, bzw. Outputs gesetzt werden.
Inselnetzwerk TCP umgebendes Netzwerk
IP: 10.10.20.20
Port: 42280
TCP Richtung Links IP 10.10.10.10
Port: any


[+][-] W&T - Binary-Protokoll erlauben

Zugriff auf Binary-Server im Inselsegment erlauben
Der W&T-Binary-Mode erlaubt mehrfache TCP-Verbindungen zwischen Geräten.
Inselnetzwerk TCP umgebendes Netzwerk
IP: 10.10.20.20
Port: 49153 - 49156
TCP Richtung Links IP 10.10.10.10
Port: any


Sie erreichen unsere Techniker telefonisch unter 0202/2680-110 (Mo-Fr. 8-17 Uhr)

^