有没有注意到在建筑向外打开紧急出口?保持建筑安全,他们通常从外面锁。你可以轻易离开,但你不可以。
然而,在建筑的主要入口前面,所以你可以进入的门经常波动。通常,有保安或者接待员来检查你的ID和留意来来往往。
防火墙在网络或设备(A主机)是有点像一栋建筑的门。通讯可以从一个防火墙的网络或设备发生出站,就像人们可以通过建筑物的紧急出口门离开。但通信尝试被拒绝,就像人不能来通过锁紧急出口。
这些入站通信只允许通过一个开放网络端口,只有有了正确的加密和凭证,就像进入一个建筑的主入口门,但前提是他们有一个ID和预约参观里面有人。
防火墙的功能
一般来说,防火墙阻止主动交通访问您的网络或主机和只接受响应交通最初来自主机本身。如此,大多数防火墙允许防火墙背后的设备或服务产生和建立通信出站外部服务器或服务,而阻止入境的尝试。
这是对公司防火墙(网络防火墙)和防火墙groov史诗(一个主机防火墙)。这些防火墙阻止所有入站连接尝试任何内部监听服务firewall-except之外的特定端口配置为允许连接(开放港口)。
例如,groov视图是一个软件应用程序上运行groov史诗侦听传入连接在安全的端口443。回到大楼类比,建立连接,必须打开一扇门(防火墙端口443),和必须有一个人试图让授权ID(用户名),和他们来访的人叫什么名字(密码)给警卫在被允许进入之前。
注意,在groov查看上面的例子,在端口443上的连接必须使用TLS加密(传输层安全),并提供第一页是一个身份验证页面,用户必须输入正确的用户名和密码(用户帐户在以后的博客)。
有什么区别网络防火墙和一个主机防火墙?
也许你试图让一个程序或服务工作在你的Windows电脑,却发现电脑的防火墙阻止程序做其功能。
Windows防火墙主机防火墙;它不同于你的公司防火墙。一个保护主机(就像你的电脑设备);另一个保护网络,尤其是网络的主机和设备。
groov史诗有自己的主机防火墙,就像在你的Windows电脑,你控制它。通过groov管理web应用程序,您可以控制哪些端口,协议和接口是开放的传入连接服务监听端口号。
这是巨大的。史诗不仅是为数不多的工业设备包括防火墙;我们给你控制它!
在groov史诗的默认配置,ETH0(可信网络接口)通常自动化协议和软件应用程序端口开放的例子,PAC控制(端口22001),CODESYS®(端口1217、4840、11740),Modbus®/ TCP(端口8502),OptoMMP(端口2001),点火边缘®和点火设计师(端口8043,8088),最后groov视图(端口443)。
当然,你可以(也应该)这些端口的关闭任何防火墙设置如果你不使用一个给定的软件,或想要阻止访问在一个给定的网络接口。
ETH1(不可信的网络接口)只有一个端口开放在默认配置,这就是加密和身份验证安全的端口443。(注:80端口开放和倾听,但自动重定向所有流量端口443)。
你可以看到下面的截图默认的防火墙设置。绿色是开放的(允许),红色是关闭(拒绝)。
下一个屏幕截图也groov管理我们表明,添加一个新的防火墙规则的史诗般的新监听服务,在这种情况下SNMP(简单网络管理协议)。从这张截图可以看出如何给规则名称,选择协议(TCP、UDP或两者都有),该端口,端口范围,或开放端口数量,和最重要的是,你可以指定哪个网络接口(s)你想要这个端口打开。
注意,只是打开一个防火墙端口不也开始听服务端口号。你必须手动启动监听服务或通过编程的方式。例如,在这种情况下,打开端口不启动SNMP监听服务。
包装起来
简化防火墙的功能:
- 防火墙阻止任何要求不是来自内部的主机或网络。
- 防火墙跟踪任何出站连接,以便返回数据传回到原始服务。
- 防火墙可以配置为允许流量通过开放端口监听服务。
- 防火墙也可以配置为块通过港口你不使用交通。
默认情况下,groov史诗般的帮助你建立和维护一个安全自动化系统通过提供一个主机防火墙设置允许自动化协议信任接口和只有一个开放的、不可信的接口上的加密和认证端口。
在我们下一篇文章里,我们将谈论device-originating通信向您展示如何双向交换数据与软件和服务不打开防火墙端口在groov史诗。
直到那时,让你从内部打开紧急出口,并保持你的警卫值班。
干杯,伴侣!
想要了解更多关于安全groov史诗?阅读我们的技术,groov史诗的安全设计和最佳实践。