Topik ini menjelaskan cara mengonfigurasi kebijakan kontrol akses saat Cloud Firewall diterapkan bersama dengan Bastionhost untuk mencegah lalu lintas akses host bastion diblokir oleh Cloud Firewall. Jika lalu lintas akses diblokir, operasional bisnis Anda tidak akan berjalan seperti yang diharapkan.
Skenario
Cloud Firewall dapat digunakan bersama dengan Bastionhost untuk melindungi lalu lintas dari Internet dan memastikan keamanan bisnis Anda. Namun, jika Cloud Firewall diterapkan tanpa konfigurasi yang tepat, lalu lintas akses host bastion mungkin terblokir. Hal ini dapat menyebabkan host bastion tidak dapat mengakses Internet sesuai harapan. Oleh karena itu, Anda perlu mengonfigurasi kebijakan kontrol akses pada firewall internet di Cloud Firewall untuk melindungi lalu lintas antara host bastion dan Internet tanpa mengganggu operasional bisnis host bastion.
Gambar berikut menunjukkan bagaimana Cloud Firewall memberikan perlindungan keamanan untuk host bastion.
Jika kebijakan kontrol akses tidak dikonfigurasi sesuai prosedur berikut, beberapa masalah dapat terjadi: port layanan host bastion menjadi tidak dapat diakses, aset dan pengguna tidak dapat diimpor, O&M berbasis halaman web tidak dapat dilakukan, dan video tidak dapat diputar.
Prasyarat
Cloud Firewall telah dibeli. Untuk informasi lebih lanjut, lihat Pembelian Cloud Firewall.
Host bastion telah dibeli dan diaktifkan. Untuk informasi lebih lanjut, lihat Pembelian Host Bastion dan Aktivasi Host Bastion.
Prosedur
Langkah 1: Konfigurasikan kebijakan untuk mengizinkan lalu lintas masuk
Konfigurasikan kebijakan masuk pada firewall internet untuk mengizinkan akses Internet ke port terbuka host bastion.
Masuk ke Konsol Cloud Firewall.
Di panel navigasi sisi kiri, pilih .
Di tab Inbound, klik Create Policy.
Di panel Create Inbound Policy, klik tab Create Policy, dan konfigurasikan parameter untuk membuat kebijakan yang mengizinkan akses dari Internet. Untuk informasi lebih lanjut, lihat Parameter Kebijakan Masuk pada tabel berikut. Lalu, klik OK.
Parameter
Deskripsi
Source Type
Pilih IP.
Source
Masukkan blok CIDR publik yang diizinkan untuk mengakses host bastion.
Destination Type
Pilih IP.
Destination
Masukkan alamat IP tempat alamat O&M host bastion diselesaikan.
CatatanUntuk melihat alamat IP host bastion, buka halaman Batas Internet dan atur Asset Type sebagai kondisi filter. Anda tidak perlu masuk ke konsol Bastionhost.
Protocol Type
Pilih TCP.
Port Type
Pilih jenis port. Nilai valid: Port dan Address Book.
Jika Anda ingin mengaktifkan beberapa port host bastion, Anda dapat membuat buku alamat yang berisi port tersebut sebelumnya. Dengan cara ini, Anda dapat memilih buku alamat saat mengonfigurasi parameter Jenis Port.
CatatanAnda dapat menambahkan beberapa alamat IP atau port ke buku alamat untuk operasi batch, yang menyederhanakan konfigurasi Anda. Jika Anda hanya ingin mengaktifkan satu port, Anda tidak perlu membuat buku alamat.
Port
Jika Anda mengatur parameter Port Type ke Port, Anda harus mengonfigurasi parameter ini. Daftar berikut menjelaskan layanan dan port umum yang digunakan oleh host bastion. Anda dapat menentukan port berdasarkan kebutuhan bisnis Anda.
O&M berbasis SSH: port 60022
O&M berbasis Remote Desktop Protocol (RDP): port 63389
Pemutaran video: port 9443
Host O&M dan portal O&M: port 443
Bantuan Host Bastion: port 20045
Application
Pilih ANY.
Action
Pilih Allow, yang menunjukkan bahwa blok CIDR yang ditentukan diizinkan untuk mengakses port terbuka host bastion.
Description
Deskripsi kebijakan. Masukkan deskripsi yang dapat membantu mengidentifikasi kebijakan.
Priority
Pilih Highest.
Enabling Status
Aktifkan saklar, yang menunjukkan bahwa kebijakan diaktifkan setelah dibuat.
Buat kebijakan lain untuk menolak akses ke host bastion dari semua alamat IP publik.
Konfigurasikan parameter berdasarkan Parameter Kebijakan Keluar. Atur parameter Sumber ke 0.0.0.0/0 dan parameter Prioritas ke Lowest.
Langkah 2: Konfigurasikan kebijakan untuk mengizinkan lalu lintas keluar
Host bastion perlu mengakses layanan cloud melalui Internet. Oleh karena itu, Anda harus mengonfigurasi kebijakan keluar pada firewall internet untuk mengizinkan host bastion mengakses Internet.
Di tab Outbound, klik Create Policy.
Di panel Create Outbound Policy, klik tab Create Policy, dan konfigurasikan parameter untuk membuat kebijakan yang mengizinkan akses dari host bastion. Untuk informasi lebih lanjut, lihat Parameter Kebijakan Keluar pada tabel berikut. Lalu, klik OK.
Parameter
Deskripsi
Source Type
Pilih IP.
Source
Masukkan alamat IP keluar host bastion.
Destination Type
Pilih Address Book. Di panel Select Address Book, pilih Cloud Service Address Book dan cari Alibaba credible domains.
Protocol Type
Pilih TCP.
Port Type
Pilih jenis port. Nilai valid: Port dan Address Book.
Jika Anda ingin mengaktifkan beberapa port layanan cloud, Anda dapat membuat buku alamat yang berisi port tersebut sebelumnya. Dengan cara ini, Anda dapat memilih buku alamat saat mengonfigurasi parameter Jenis Port.
CatatanAnda dapat menambahkan beberapa alamat IP atau port ke buku alamat untuk operasi batch, yang menyederhanakan konfigurasi Anda. Jika Anda hanya ingin mengaktifkan satu port, Anda tidak perlu membuat buku alamat.
Port
Jika Anda mengatur parameter Port Type ke Port, Anda harus menentukan port berikut dari host bastion Anda: 443 dan 80.
Application
Pilih HTTP dan HTTPS.
Action
Pilih Allow, yang menunjukkan bahwa port terbuka host bastion Anda diizinkan untuk mengakses titik akhir layanan cloud.
Description
Masukkan deskripsi yang dapat membantu mengidentifikasi kebijakan.
Priority
Pilih Highest.
Enabling Status
Aktifkan saklar, yang menunjukkan bahwa kebijakan diaktifkan setelah dibuat.
Buat kebijakan untuk menolak akses ke Internet dari semua alamat host bastion.
Konfigurasikan parameter berdasarkan Parameter Kebijakan Keluar. Atur parameter Sumber ke 0.0.0.0/0 dan parameter Prioritas ke Lowest.
Langkah 3: Aktifkan firewall internet untuk host bastion
Setelah kebijakan dikonfigurasi, aktifkan firewall internet untuk host bastion.
Di panel navigasi sisi kiri, klik Firewall Settings.
Di tab Internet Firewall, temukan alamat IP host bastion dan klik Enable Protection di kolom Actions.
CatatanJika host bastion baru dibeli, informasi tentang host bastion disinkronkan ke Cloud Firewall setelah sekitar 15 hingga 30 menit.
Setelah menyelesaikan konfigurasi sebelumnya, host bastion dilindungi oleh Cloud Firewall, dan beban kerja host bastion tidak terpengaruh oleh Cloud Firewall. Anda dapat masuk ke host bastion untuk mengimpor aset dan pengguna untuk O&M dan audit.
Langkah 4: Verifikasi apakah konfigurasi berlaku
Jika Anda dapat mengakses port layanan host bastion, mengimpor aset dan pengguna, melakukan O&M berbasis halaman web, dan memutar video, konfigurasi berhasil diterapkan. Anda dapat membuka tab Catatan Lalu Lintas di halaman Audit Log Konsol Cloud Firewall untuk melihat log lalu lintas antara host bastion dan Internet. Untuk informasi lebih lanjut, lihat Audit Operasi.