Cloud Firewall memastikan keamanan jaringan untuk beban kerja yang Anda migrasikan ke Alibaba Cloud. Cloud Firewall menyediakan fitur inti seperti identifikasi lalu lintas di seluruh jaringan, manajemen kebijakan terpusat, dan deteksi intrusi. Cloud Firewall melindungi lalu lintas dari Internet ke instance Elastic Compute Service (ECS), lalu lintas dari instance ECS ke Internet, serta lalu lintas antar instance ECS. Topik ini menjelaskan fitur-fitur Cloud Firewall dan cara menggunakannya.
Fitur
Modul | Fitur | Status default | Apakah operasi manual diperlukan |
Pengaturan firewall | Firewall internet (saling) | Firewall internet diaktifkan untuk semua aset dalam kuota yang tersedia. | Tidak. Jika kuota tidak cukup untuk mengaktifkan firewall internet untuk semua aset, tingkatkan kuotanya. |
Firewall Virtual Private Cloud (VPC) | Tidak ada firewall yang dibuat atau diaktifkan. | Anda harus secara manual membuat firewall dan mengaktifkannya. | |
Firewall NAT | Tidak ada firewall yang dibuat atau diaktifkan. | Anda harus secara manual membuat firewall dan mengaktifkannya. | |
IPS | Batas internet | Secara default, mode Blok - Sedang diaktifkan. Sistem secara otomatis memilih mode berdasarkan bisnis Anda. | Kami merekomendasikan agar Anda mempertahankan pengaturan default. |
Batas VPC | Tidak tersedia. | Saat Anda membuat firewall VPC, Anda dapat mengonfigurasi mode untuk modul sistem pencegahan intrusi (IPS). Mode yang ditentukan akan diaktifkan secara otomatis saat Anda mengaktifkan firewall VPC. | |
Kontrol akses | Batas internet | Semua lalu lintas diizinkan. | Anda dapat memodifikasi pengaturan berdasarkan kebutuhan bisnis Anda. |
Batas VPC | Tidak tersedia. | Setelah Anda mengaktifkan firewall VPC, Anda dapat memodifikasi pengaturan berdasarkan kebutuhan bisnis Anda. | |
Batas NAT | Tidak tersedia. | Setelah Anda mengaktifkan firewall NAT, Anda dapat memodifikasi pengaturan berdasarkan kebutuhan bisnis Anda. | |
Batas internal | Tidak tersedia. | Anda dapat memodifikasi pengaturan. | |
Notifikasi | Notifikasi | Notifikasi diaktifkan. Anda harus mengonfigurasi penerima notifikasi. | Anda harus mengonfigurasi penerima notifikasi. |
Manajemen multi-akun | Manajemen multi-akun | Tidak tersedia. | Anda harus mengonfigurasi fitur manajemen multi-akun. |
Prosedur
Prasyarat
Cloud Firewall telah dibeli. Untuk informasi lebih lanjut, lihat Pembelian Cloud Firewall.
Langkah 1: Aktifkan firewall
Cloud Firewall menyediakan jenis firewall berikut: firewall internet, firewall VPC, firewall internal, dan firewall NAT. Jika Anda tidak mengonfigurasi kebijakan kontrol akses atau mengaktifkan mode mesin deteksi ancaman setelah membeli Cloud Firewall, Cloud Firewall tidak dapat melindungi layanan Anda.
Jenis firewall | Deskripsi | Referensi |
Firewall internet | Firewall internet dapat melindungi lalu lintas antar alamat IP publik secara terpusat. | Aktifkan firewall internet. Untuk informasi lebih lanjut, lihat Firewall Internet. |
Firewall VPC | Firewall VPC dapat melindungi lalu lintas antar instance jaringan yang terhubung menggunakan router transit dari instance Cloud Enterprise Network (CEN) atau sirkuit Express Connect. Untuk informasi lebih lanjut tentang ruang lingkup perlindungan, lihat Ikhtisar. Catatan Hanya Cloud Firewall Edisi Enterprise dan Ultimate Edition yang mendukung firewall VPC. | Aktifkan firewall VPC. Untuk informasi lebih lanjut, lihat Konfigurasikan firewall VPC untuk router transit edisi perusahaan. |
Firewall internal | Firewall internal dapat melindungi lalu lintas masuk dan keluar antar instance ECS dan memblokir akses tidak sah. Kebijakan kontrol akses yang Anda konfigurasikan dan publikasikan untuk firewall internal di Konsol Cloud Firewall disinkronkan ke grup keamanan ECS. Anda tidak perlu mengaktifkan firewall internal. Catatan Hanya Cloud Firewall Edisi Enterprise dan Ultimate Edition yang mendukung firewall internal. | Konfigurasikan kebijakan kontrol akses untuk firewall internal. Untuk informasi lebih lanjut, lihat Buat kebijakan kontrol akses untuk firewall internal. |
Firewall NAT | Firewall NAT dapat mengontrol dan melindungi lalu lintas alamat IP pribadi yang digunakan untuk mengakses Internet. | Aktifkan firewall NAT. Untuk informasi lebih lanjut, lihat Firewall NAT. |
Setelah Anda mengaktifkan atau menonaktifkan firewall untuk aset Anda, status firewall berubah menjadi Diaktifkan atau Dinonaktifkan di kolom Firewall Status. Nilai Diaktifkan menunjukkan bahwa firewall sedang berlaku. Nilai Dinonaktifkan menunjukkan bahwa firewall tidak lagi melindungi aset Anda. The system requires several seconds to update the status of the firewall.
Langkah 2: Konfigurasikan pengaturan IPS
(Opsional) Konfigurasikan kebijakan pencegahan intrusi
Cloud Firewall memiliki mekanisme IPS bawaan yang dapat mendeteksi dan mengintersep lalu lintas berbahaya dan serangan, seperti payload permintaan dan file berbahaya yang berisi trojan dan webshell, secara real-time. Cloud Firewall dapat secara cerdas memblokir intrusi berdasarkan intelijen ancaman. IPS mendeteksi serangan berdasarkan fitur intelijen ancaman, aturan pencegahan intrusi, algoritma pengenalan berbasis model cerdas, dan fitur pembenahan virtual. Untuk informasi lebih lanjut, lihat Konfigurasi IPS.
Mode kerja mesin deteksi ancaman adalah Monitor Mode dan Block Mode. Dalam mode Monitor, Cloud Firewall hanya menghasilkan peringatan untuk lalu lintas berbahaya. Dalam mode Block, Cloud Firewall menghasilkan peringatan dan secara otomatis memblokir payload serangan. Cloud Firewall juga menyediakan level Block Mode yang berbeda untuk jenis serangan yang berbeda. Tabel berikut menjelaskan skenario penggunaan level tersebut.
Block-Loose: memblokir serangan dengan cara longgar menggunakan aturan yang mencegah laju positif palsu yang tinggi. Level ini cocok untuk bisnis yang memerlukan laju positif palsu diminimalkan.
Block-Medium: memblokir serangan dengan cara standar menggunakan aturan umum. Level ini cocok untuk O&M sehari-hari dan memberikan laju positif palsu lebih rendah daripada level Ketat.
Block-Strict: memblokir serangan dengan cara ketat menggunakan semua aturan. Level ini cocok untuk bisnis yang memerlukan laju negatif palsu diminimalkan. Level ini dapat menyebabkan laju positif palsu lebih tinggi daripada level Sedang.
Saat Anda memodifikasi konfigurasi pencegahan, kami merekomendasikan agar Anda mengaktifkan mode Monitor. Setelah uji coba berjalan, analisis positif palsu dan kemudian aktifkan mode Block berdasarkan hasil analisis.
Untuk informasi lebih lanjut tentang pencegahan intrusi, lihat topik-topik berikut:
Lihat hasil perlindungan
Anda dapat melakukan operasi berikut untuk melihat informasi pemblokiran intrusi: Masuk ke Konsol Cloud Firewall. Di panel navigasi kiri, pilih Detection and Response > Intrusion Prevention. Di halaman Pencegahan Intrusi, klik tab Protection Status atau VPC Protection. Informasi pemblokiran intrusi mencakup alamat IP sumber, alamat IP tujuan, aplikasi yang diblokir, sumber yang diblokir, dan detail acara pemblokiran. Untuk informasi lebih lanjut, lihat Pencegahan intrusi.
Langkah 3: Lihat statistik lalu lintas
Fitur analisis lalu lintas menyediakan statistik lalu lintas real-time, seperti statistik tentang koneksi keluar, eksposur internet, dan akses VPC, untuk memungkinkan Anda mengontrol lalu lintas secara visual dan mengidentifikasi lalu lintas tidak biasa.
Koneksi Keluar
Anda dapat melihat nama domain dan alamat IP aset cloud di Halaman Koneksi Keluar. Anda dapat memeriksa kebijakan kontrol akses keluar yang dikonfigurasi berdasarkan tag intelijen, detail akses, dan log. Untuk informasi lebih lanjut, lihat Koneksi Keluar.
Eksposur Internet
Anda dapat melihat layanan, port, alamat IP publik, dan informasi layanan cloud yang diekspos di Internet. Anda dapat memperkuat kebijakan kontrol akses berdasarkan kebijakan cerdas yang direkomendasikan dan informasi tentang alamat IP publik yang terbuka. Untuk informasi lebih lanjut, lihat Eksposur Internet.
Akses VPC
Halaman Akses VPC menampilkan grafik tren lalu lintas, sesi, dan port terbuka antar VPC. Anda dapat melihat dan memecahkan masalah lalu lintas tidak biasa serta memperkuat kebijakan kontrol akses untuk VPC. Untuk informasi lebih lanjut, lihat Akses VPC.
Statistik lalu lintas adalah informasi penting yang dapat Anda gunakan untuk mengonfigurasi kebijakan kontrol akses yang tepat. Sebelum Anda mengonfigurasi kebijakan kontrol akses, kami merekomendasikan agar Anda melihat statistik lalu lintas tentang aset Anda.
Langkah 4: Buat kebijakan kontrol akses
Cloud Firewall memungkinkan Anda membuat kebijakan kontrol akses untuk lalu lintas masuk dan keluar melalui Internet dan lalu lintas saling akses melalui jaringan internal untuk mengurangi risiko intrusi ke aset Anda.
Jika Anda tidak mengonfigurasi kebijakan kontrol akses, Cloud Firewall mengizinkan semua lalu lintas. Untuk informasi lebih lanjut tentang cara mengonfigurasi kebijakan kontrol akses, lihat topik-topik berikut:
Konfigurasikan kebijakan kontrol akses
Kami merekomendasikan agar Anda menetapkan tindakan kebijakan keluar sebagai Tolak. Jika kebijakan digunakan untuk mengizinkan koneksi keluar yang diperlukan untuk bisnis Anda, jangan tetapkan tindakan kebijakan keluar sebagai Tolak.
Jika alamat sumber kebijakan kontrol akses keluar adalah alamat IP pribadi, pastikan bahwa firewall NAT telah dibuat. Jika tidak, kebijakan kontrol akses keluar tidak akan berlaku. Untuk informasi lebih lanjut, lihat Firewall NAT.
Batas | Arah | Deskripsi | Referensi |
Batas internet | Keluar | Kebijakan kontrol akses keluar yang dibuat untuk firewall internet dapat mengelola lalu lintas keluar dari aset cloud ke Internet. Kami merekomendasikan agar Anda mengonfigurasi kebijakan untuk mengizinkan lalu lintas ke Internet, dan kemudian mengonfigurasi kebijakan untuk menolak lalu lintas dari semua aset cloud ke Internet. Ini memungkinkan lalu lintas dari aset cloud tertentu ke Internet dan menolak semua lalu lintas keluar dari aset cloud di jaringan internal. Ini memudahkan pengelolaan risiko dalam koneksi keluar. Sebelum Anda mengonfigurasi kebijakan kontrol akses untuk firewall internet, pastikan bahwa firewall internet diaktifkan. Jika tidak, kebijakan tidak akan berlaku. Anda harus mengonfigurasi kebijakan masuk untuk mengizinkan lalu lintas dari alamat IP tepercaya ke Internet dan menentukan Prioritas Tertinggi untuk kebijakan tersebut. Kemudian, buat kebijakan keluar kedua untuk menolak lalu lintas dari semua sumber ke Internet dan tentukan Prioritas Terendah untuk kebijakan tersebut. Jika Anda ingin menentukan beberapa sumber, tujuan, dan port, Anda dapat menggunakan buku alamat atau membuat beberapa kebijakan. | |
Masuk | Kebijakan kontrol akses yang dibuat untuk firewall internet dapat mengelola lalu lintas masuk dari pengguna ke layanan cloud. Kami merekomendasikan agar Anda membuat kebijakan Izinkan untuk mengizinkan lalu lintas ke layanan cloud, dan kemudian membuat kebijakan Tolak untuk menolak lalu lintas dari semua sumber, protokol, port, dan aplikasi. Ini memungkinkan lalu lintas tepercaya dan memblokir lalu lintas yang mencurigakan atau berbahaya. Ini memmemudahkan pengelolaan risiko dari jaringan eksternal. Sebelum Anda mengonfigurasi kebijakan kontrol akses untuk firewall internet, pastikan bahwa firewall internet diaktifkan. Jika tidak, kebijakan tidak akan berlaku. Anda harus membuat kebijakan masuk untuk mengizinkan lalu lintas dari alamat IP tepercaya ke jaringan internal dan menentukan Prioritas Tertinggi untuk kebijakan tersebut. Kemudian, buat kebijakan masuk kedua untuk menolak lalu lintas dari semua sumber ke jaringan internal dan tentukan Prioritas Terendah untuk kebijakan tersebut. Jika Anda ingin menentukan beberapa sumber, tujuan, dan port, Anda dapat menggunakan buku alamat atau membuat beberapa kebijakan. | ||
Batas NAT | Keluar | Setelah Anda mengaktifkan firewall NAT atau gateway NAT, firewall NAT memantau semua lalu lintas keluar dari sumber akses internal di VPC ke gateway NAT, termasuk sumber daya dalam VPC yang sama dan sumber daya lintas VPC. Firewall NAT mencocokkan informasi tentang lalu lintas dengan kebijakan kontrol akses yang ditentukan pengguna dan pustaka intelijen ancaman bawaan untuk menentukan apakah akan mengizinkan lalu lintas tersebut. Informasi tersebut mencakup alamat sumber, alamat tujuan, port, protokol, aplikasi, dan nama domain. Dengan cara ini, akses tidak sah ke Internet diblokir. | |
Batas VPC | Saling | Kebijakan kontrol akses yang dibuat untuk firewall VPC dapat mengontrol lalu lintas antara dua VPC. Kami merekomendasikan agar Anda mengonfigurasi kebijakan untuk mengizinkan lalu lintas dari alamat IP tepercaya ke VPC, dan kemudian mengonfigurasi kebijakan lain untuk menolak lalu lintas dari alamat IP lain ke VPC. Firewall VPC dapat memantau dan mengontrol lalu lintas antara dua VPC. Secara default, setelah Anda mengaktifkan firewall VPC, firewall VPC mengizinkan semua lalu lintas. Anda harus membuat kebijakan Izinkan untuk firewall VPC untuk mengizinkan lalu lintas dari sumber tepercaya dan menentukan Prioritas Tertinggi untuk kebijakan tersebut. Kemudian, buat kebijakan Tolak kedua untuk firewall VPC untuk menolak lalu lintas dari semua sumber dan tentukan Prioritas Terendah untuk kebijakan tersebut. | |
Batas internal | Masuk dan keluar | Firewall internal dapat mengelola lalu lintas masuk dan keluar antar instance ECS untuk memblokir akses tidak sah secara mendetail. Kebijakan kontrol akses yang Anda konfigurasikan dan publikasikan untuk firewall internal di Konsol Cloud Firewall disinkronkan ke grup keamanan ECS. Kami merekomendasikan agar Anda mengonfigurasi kebijakan kontrol akses untuk mengizinkan lalu lintas ke layanan cloud, dan kemudian mengonfigurasi kebijakan kontrol akses untuk menolak semua sumber, protokol, port, dan aplikasi. Kelompok kebijakan diklasifikasikan menjadi kelompok kebijakan umum dan kelompok kebijakan perusahaan. Jika Anda memiliki sejumlah kecil instance ECS, Anda dapat menggunakan kelompok kebijakan umum, yaitu grup keamanan ECS. Jika Anda memiliki sejumlah besar instance ECS, kami merekomendasikan agar Anda menggunakan kelompok kebijakan perusahaan. Dibandingkan dengan kelompok kebijakan umum, kelompok kebijakan perusahaan dapat berisi lebih banyak instance. Jumlah alamat IP pribadi yang dapat terkandung dalam kelompok kebijakan perusahaan tidak terbatas. Anda dapat mengonfigurasi aturan grup keamanan dan memelihara grup keamanan perusahaan dengan cara yang lebih sederhana dan mudah. Grup keamanan perusahaan cocok untuk perusahaan yang memerlukan O&M efisien pada jaringan berskala besar. | Konfigurasikan kebijakan kontrol akses untuk firewall internal |
Lihat detail hit kebijakan kontrol akses
Secara default, kebijakan kontrol akses langsung berlaku setelah dibuat. Anda dapat melakukan operasi berikut untuk melihat detail hit kebijakan kontrol akses: Masuk ke Konsol Cloud Firewall. Di panel navigasi kiri, pilih Kontrol Akses > Batas Internet. Dalam daftar kebijakan kontrol akses, temukan kebijakan kontrol akses dan lihat status hit kebijakan di kolom Hit/Terakhir Hit Pada. Untuk informasi lebih lanjut, lihat Buat kebijakan kontrol akses untuk firewall internet.
Kolom Hit/Terakhir Hit Pada menampilkan jumlah hit dan waktu ketika kebijakan terakhir dihit. Jika nilai ditampilkan di kolom tersebut, kebijakan telah dihit. Anda dapat mengklik nilai tersebut untuk pergi ke tab Catatan Lalu Lintas untuk melihat detailnya. Untuk informasi lebih lanjut, lihat Audit log.
Langkah 5: Konfigurasikan notifikasi
Anda dapat mengonfigurasi notifikasi untuk menerima notifikasi ketika risiko serangan aset terjadi atau aset ditambahkan. Dengan cara ini, Anda dapat menganalisis status aset dan menangani pengecualian pada kesempatan pertama untuk memastikan keamanan aset.
Untuk informasi lebih lanjut tentang jenis notifikasi yang didukung oleh Cloud Firewall dan cara mengonfigurasi notifikasi, lihat Notifikasi.
Referensi
Untuk informasi lebih lanjut tentang cara memecahkan masalah pengecualian pada analisis lalu lintas jaringan, lihat FAQ tentang analisis lalu lintas jaringan.
Untuk informasi lebih lanjut tentang cara memecahkan masalah pengecualian terkait IPS, lihat FAQ tentang IPS.
Fitur analisis log memungkinkan Anda mengumpulkan, menanyakan, menganalisis, memproses, dan menggunakan log lalu lintas dari aset yang dilindungi secara real-time. Untuk informasi lebih lanjut, lihat Analisis log.
Fitur manajemen multi-akun memungkinkan Anda mengelola sumber daya secara terpusat. Untuk informasi lebih lanjut, lihat Gunakan fitur manajemen multi-akun.