Cloud Firewall adalah solusi keamanan jaringan berbasis SaaS yang melindungi infrastruktur cloud Anda dari ancaman. Panduan ini memandu Anda menyiapkan perlindungan dasar dalam 15–20 menit—mulai dari aktivasi layanan hingga memvalidasi bahwa pertahanan Anda berfungsi.
Langkah 1: Aktifkan Cloud Firewall pay-as-you-go
Buka halaman pembelian Cloud Firewall. Atur Product Type menjadi Pay-as-you-go 2.0, lalu lengkapi item konfigurasi berikut.
Configuration item
Description
Auto Protection for Internet Assets
Pilih Yes untuk secara otomatis menambahkan semua aset publik ke firewall dan mengaktifkan perlindungan otomatis untuk aset baru. Anda dapat menyesuaikan pengaturan ini nanti di Konsol.
Log Analysis dan Log Analysis and Storage Capacity
Pertahankan opsi default untuk menyimpan access log. Pengaturan ini memungkinkan pengumpulan, kueri, analisis, pemrosesan, dan konsumsi log traffic dari aset yang dilindungi secara real-time, sehingga memenuhi persyaratan kepatuhan perlindungan terklasifikasi.
Service-linked Role
Untuk menyediakan fitur kontrol akses traffic dan analisis pemantauan, Cloud Firewall memerlukan akses ke sumber daya Layanan Alibaba Cloud Anda. Klik Create Service-linked Role. Sistem akan secara otomatis membuat peran AliyunServiceRoleForCloudFW. Jangan ubah peran ini secara manual.
Baca dan terima Perjanjian Layanan Cloud Firewall (pay-as-you-go), lalu klik Buy Now dan selesaikan pembayaran.
Langkah 2: Lihat perlindungan aset
Masuk ke Konsol Cloud Firewall. Di panel navigasi sebelah kiri, klik Switch.
Di tab Internet Firewall, lihat aset publik Anda di bawah Akun Alibaba Cloud saat ini beserta status perlindungannya. Karena Anda telah mengaktifkan Auto Protection for Internet Assets saat pembelian, semua aset publik secara default berada dalam status Protected.
Langkah 3: Pahami perlindungan IPS default
Cloud Firewall mencakup intrusion prevention (IPS) yang secara otomatis memblokir ancaman berikut:
Serangan jaringan (SQL injection, XSS, command injection)
Eksploitasi kerentanan (kerentanan yang dilacak CVE)
Serangan brute-force (login SSH, RDP, database)
Penyebaran worm dan aktivitas cryptomining
Komunikasi trojan backdoor
Serangan denial-of-service (DoS)
Ikuti langkah-langkah berikut untuk melihat aturan IPS:
Di panel navigasi sebelah kiri, pilih .
Secara default, sistem mengaktifkan Basic Protection dan Virtual Patching, menggunakan Block - Medium Threat Engine Mode, yang cocok untuk skenario perlindungan keamanan rutin.
Langkah 4: Konfigurasikan kebijakan access control (ACL)
Kebijakan access control (ACL) menentukan traffic mana yang dapat mencapai server Anda. Gunakan pendekatan daftar putih: izinkan secara eksplisit traffic yang diperlukan, tolak semua traffic lainnya.
Secara default, Cloud Firewall menyertakan kebijakan berikut dengan Action diatur ke Allow. Anda dapat melihatnya di panel navigasi sebelah kiri di bawah .
Direction | Source | Purpose | Protocol | Port | Policy description |
Outbound | 0.0.0.0/0 | 0.0.0.0/0 | ICMP | - | Izinkan aset cloud mengirim permintaan ICMP (seperti |
Outbound | 0.0.0.0/0 | 0.0.0.0/0 | UDP | 53 | Izinkan aset cloud melakukan kueri DNS untuk resolusi nama domain (seperti akses website atau penemuan layanan). |
Outbound | 0.0.0.0/0 | 0.0.0.0/0 | UDP | 123 | Izinkan aset cloud terhubung ke server NTP untuk sinkronisasi waktu, memastikan waktu sistem akurat. |
Inbound | 0.0.0.0/0 | 0.0.0.0/0 | ICMP | - | Izinkan jaringan eksternal melakukan operasi |
Sebagian besar risiko serangan jaringan berasal dari Internet. Oleh karena itu, konfigurasikan kebijakan keamanan yang sesuai dengan kebutuhan bisnis aktual Anda. Gunakan pendekatan daftar putih: buat kebijakan catch-all prioritas rendah dengan aksi Deny All, lalu tambahkan aturan allow spesifik di atasnya.
Risiko salah konfigurasi: Contoh kebijakan berikut mencakup aturan Deny All. Menerapkannya langsung ke lingkungan produksi dapat menyebabkan gangguan layanan. Jika traffic produksi tidak sesuai dengan aturan "allow" eksplisit sebelum kebijakan catch-all, traffic tersebut akan diblokir secara default.
Rekomendasi konfigurasi:
Prinsip urutan: Selalu letakkan aturan daftar putih sebelum aturan catch-all. Sebelum menerapkan, pastikan semua traffic produksi yang diperlukan telah diizinkan secara eksplisit di atas aturan deny.
Validasi grayscale: Awalnya atur aksi kebijakan catch-all ke Monitor. Gunakan Log Audit untuk menganalisis traffic, secara bertahap sempurnakan kebijakan, dan hanya izinkan traffic bisnis tepercaya. Setelah pengujian menyeluruh, ubah aksi menjadi Deny.
Isolasi lingkungan: Aktifkan sepenuhnya aturan catch-all di lingkungan staging. Di lingkungan produksi, jika Anda belum dapat mendefinisikan daftar putih lengkap segera, batasi alamat sumber aturan catch-all ke rentang IP pengujian untuk menghindari dampak pada layanan aktif.
Konfigurasikan kebijakan: Buka halaman dan konfigurasikan sebagai berikut:
Inbound (prioritas dari tinggi ke rendah):
Source
Purpose
Protocol
Application
Port
Action
Alibaba trusted IPs
Public IP of cloud asset
All
ANY
All
Allow
Origin URLs of Alibaba Cloud services (such as WAF, DDoS)
Public IP of cloud asset
All
ANY
All
Allow
Trusted O&M engineer or Bastionhost addresses
Public IP of cloud asset
TCP
RDP, SSH
3389, 22
Allow
Trusted Operations and Maintenance (O&M) Engineer Address
Public IP of cloud asset
ICMP
ANY
-
Allow
All
Public IP of cloud asset providing web services
TCP
HTTPS
443
Allow
All
Public IP of cloud asset providing API services
TCP
HTTP
Corresponding API port
Allow
All
All
All
All
All
Deny
Outbound (prioritas dari tinggi ke rendah):
Source
Purpose
Protocol
Application
Port
Action
All
Alibaba trusted IPs, Alibaba trusted domains
All
ANY
All
Allow
All
Software repositories, Certificate Service
All
ANY
All
Allow
All
Trusted domains such as Microsoft, Google, Windows
TCP
HTTPS, HTTP
All
Allow
All
All
UDP
ANY
53, 123
Allow
All
All
ICMP
ANY
-
Allow
All
All
All
All
All
Deny
Sesuaikan mode mesin ACL: Secara default, Cloud Firewall mengizinkan traffic dengan aplikasi atau domain yang tidak dikenali untuk mencegah pemblokiran salah selama penyiapan kebijakan awal. Setelah memastikan kebijakan Anda sudah benar, klik ACL Engine Management di pojok kanan atas dan ubah ACL Engine Mode untuk aset Anda menjadi Strict Mode.
Uji validasi: Setelah mengonfigurasi kebijakan, tunggu 3–5 menit. Uji menggunakan perintah seperti
pingataucurl. Lalu refresh Konsol Cloud Firewall dan klik angka di kolom Hits/Last Hit At untuk membuka halaman Log Audit dan melihat log hit.
Anda telah menyelesaikan semua langkah dalam panduan Quick Start ini. Pilih langkah berikutnya sesuai kebutuhan Anda:
(Direkomendasikan) Lanjutkan menggunakan Cloud Firewall: Buka Optimasi Lanjutan untuk menyempurnakan konfigurasi dan memenuhi persyaratan keamanan serta kepatuhan tingkat enterprise.
Hentikan penggunaan Cloud Firewall: Buka Lepaskan Sumber Daya untuk menghentikan penagihan.
Optimasi Lanjutan
Gunakan address books untuk meningkatkan efisiensi manajemen
Ketika kebijakan access control menjadi kompleks, penggunaan address books sangat menyederhanakan manajemen. Definisikan terlebih dahulu alamat IP yang terkait bisnis—seperti IP egress kantor atau IP mitra tepercaya—sebagai address books, lalu rujuk langsung dalam kebijakan.
Buka halaman .
Klik tab Cloud Service IP Address Book untuk melihat address books yang disediakan oleh Alibaba Cloud.
Klik tab Custom IP Address Book, lalu klik Create Address Book untuk mendefinisikan sekelompok alamat IP yang sering digunakan sebagai koleksi. Untuk informasi lebih lanjut, lihat Address Book.
Konfigurasi IPS
Mode default Block - Medium cocok untuk sebagian besar skenario. Sesuaikan pengaturan IPS dalam kasus berikut:
Skenario perlindungan berisiko tinggi—seperti serangan yang sering terjadi, dukungan acara besar, atau latihan red team:
Tambahkan IP tepercaya ke Whitelist;
Ubah Threat Engine Mode menjadi Block - Strict;
Aktifkan fitur Threat Intelligence.
Tingkat false-positive tinggi:
Tambahkan IP tepercaya ke Whitelist;
Ubah Threat Engine Mode menjadi Block - Loose;
Jika masalah tetap ada, alihkan ke mode Monitor.
Aktifkan VPC firewall untuk mengontrol traffic jaringan privat
Jika Anda menggunakan beberapa VPC atau Cloud Enterprise Network untuk menghubungkan pusat data lokal, aktifkan Ikhtisar VPC Firewall untuk mendeteksi dan mengontrol lalu lintas timur-barat antar-VPC yang terhubung melalui TransitRouter atau Express Connect, serta antara VPC dan pusat data lokal, sehingga mengamankan lalu lintas internal.
Gunakan penagihan langganan untuk mengurangi biaya
Jika Anda berencana menggunakan Cloud Firewall dalam jangka panjang, beli versi langganan, atau gunakan versi pay-as-you-go dengan rencana penghematan pay-as-you-go untuk harga yang lebih baik.
Lepaskan sumber daya untuk menghentikan penagihan
Setelah menyelesaikan panduan Quick Start ini, jika Anda tidak lagi memerlukan instans Cloud Firewall yang dibuat selama tutorial, buka pojok kanan atas halaman Overview dan pilih .
