Topik ini menjawab beberapa pertanyaan umum terkait pembelian Cloud Firewall.
FAQ tentang Fitur
Mengapa saya perlu menetapkan peran terkait layanan AliyunServiceRoleForCloudFW ke Cloud Firewall?
Berapa banyak anggota yang didukung oleh fitur manajemen multi-akun?
Apa saja skenario utama di mana Cloud Firewall melindungi instance SLB yang menghadap internet?
Apa keunggulan Alibaba Cloud Cloud Firewall dibandingkan dengan firewall yang dikelola sendiri?
FAQ tentang Cloud Firewall yang menggunakan metode penagihan bayar sesuai pemakaian
FAQ tentang Ruang Lingkup Perlindungan
Apakah Cloud Firewall dapat melindungi instance SLB yang menghadap internet?
Apakah Cloud Firewall dapat melindungi lalu lintas pada Express Connect atau CEN?
Apakah firewall Internet dapat melindungi lalu lintas yang ditujukan ke gateway VPN publik?
Apakah VPC Firewall dapat melindungi lalu lintas yang ditujukan ke VPC melalui IPsec-VPN?
FAQ tentang Hubungan Antara Cloud Firewall dan Layanan Alibaba Cloud Lainnya
Mengapa saya perlu menetapkan peran terkait layanan AliyunServiceRoleForCloudFW ke Cloud Firewall?
Anda harus memberikan otorisasi kepada Cloud Firewall untuk mengakses sumber daya cloud milik akun Alibaba Cloud saat ini sebelum melakukan operasi berikut: melihat permintaan dan respons aset cloud, melihat informasi akses antar aset cloud melalui jaringan internal, serta mengonfigurasi kebijakan kontrol akses berdasarkan statistik yang ditampilkan di Konsol Cloud Firewall. Sumber daya cloud mencakup instance Elastic Compute Service (ECS), virtual private clouds (VPC), dan instance Server Load Balancer (SLB).
Anda dapat memberikan otorisasi kepada Cloud Firewall untuk mengakses sumber daya cloud hanya jika Anda menggunakan akun Alibaba Cloud atau Pengguna Resource Access Management (RAM) yang memiliki kebijakan AliyunRAMFullAccess.
Bagaimana cara saya melepaskan Cloud Firewall yang menggunakan metode penagihan bayar sesuai pemakaian?
Masuk ke Konsol Cloud Firewall. Di pojok kanan atas halaman Overview, pilih . Untuk informasi lebih lanjut, lihat Pelepasan Cloud Firewall.
Mengapa biaya masih dipotong setelah saya melepaskan Cloud Firewall yang menggunakan metode penagihan bayar sesuai pemakaian?
Siklus penagihan Cloud Firewall yang menggunakan metode penagihan bayar sesuai pemakaian adalah satu hari. Tagihan dibuat dan biaya harian dipotong dari saldo akun Anda pada hari berikutnya. Jika Anda melepaskan Cloud Firewall yang menggunakan metode penagihan bayar sesuai pemakaian pada hari saat ini, tagihan akan dibuat pada hari berikutnya. Untuk informasi lebih lanjut, lihat Bayar sesuai pemakaian.
Bagaimana cara saya melihat detail penggunaan Cloud Firewall yang menggunakan metode penagihan bayar sesuai pemakaian?
Masuk ke Konsol Cloud Firewall. Di panel navigasi sisi kiri, pilih untuk melihat detail penggunaan.
Bagaimana cara saya dikenakan biaya untuk Cloud Firewall yang menggunakan metode penagihan bayar sesuai pemakaian?
Anda dikenakan biaya untuk Cloud Firewall yang menggunakan metode penagihan bayar sesuai pemakaian berdasarkan penggunaan sumber daya Anda. Penagihan dilakukan per jam. Tagihan dibuat dan biaya harian dipotong dari saldo akun Anda pada hari berikutnya. Biaya harian Cloud Firewall yang menggunakan metode penagihan bayar sesuai pemakaian dihitung menggunakan rumus berikut: Biaya harian = Biaya konfigurasi harian alamat IP publik + Biaya pemrosesan lalu lintas harian. Untuk informasi lebih lanjut, lihat Bayar sesuai pemakaian.
Jika Anda membeli rencana hemat bayar sesuai pemakaian, Anda dapat menggunakan rencana hemat bayar sesuai pemakaian untuk mengimbangi biaya untuk Cloud Firewall.
Bagaimana cara saya mengubah metode penagihan Cloud Firewall dari berlangganan menjadi bayar sesuai pemakaian dan apa dampaknya?
Untuk informasi lebih lanjut, lihat Tingkatkan atau turunkan Cloud Firewall.
Bagaimana cara saya mengubah metode penagihan Cloud Firewall dari bayar sesuai pemakaian menjadi berlangganan dan apa dampaknya?
Anda dapat mengubah metode penagihan dari bayar sesuai pemakaian menjadi berlangganan berdasarkan kebutuhan bisnis Anda.
Apa itu rencana hemat bayar sesuai pemakaian dan bagaimana cara menggunakannya?
Rencana hemat adalah rencana diskon yang memberikan penghematan dibandingkan tarif bayar sesuai pemakaian sebagai imbalan atas komitmen untuk menggunakan jumlah sumber daya tertentu selama periode waktu tertentu. Anda dapat memperoleh diskon yang lebih besar dan mengurangi lebih banyak biaya ketika Anda membeli rencana hemat bayar sesuai pemakaian dengan jumlah konsumsi komitmen yang lebih besar.
Apa perbedaan antara Cloud Firewall yang menggunakan metode penagihan bayar sesuai pemakaian dan Cloud Firewall yang menggunakan metode penagihan berlangganan?
Metode penagihannya berbeda. Untuk informasi lebih lanjut, lihat Berlangganan dan Bayar sesuai pemakaian.
Fitur yang didukung berbeda. Untuk informasi lebih lanjut, lihat Fungsi dan fitur.
Apakah Cloud Firewall dapat melindungi EIP Layer 2?
Ya, Cloud Firewall dapat melindungi elastic IP addresses (EIPs) Layer 2. Untuk informasi lebih lanjut tentang ruang lingkup perlindungan Cloud Firewall, lihat Apa itu Cloud Firewall?
Apakah Cloud Firewall mendukung jaringan klasik?
Cloud Firewall dapat melindungi instance ECS dan instance SLB tertentu yang menggunakan alamat IP publik dan berada di jaringan klasik. Firewall internal dapat melindungi instance di VPC tetapi tidak di jaringan klasik.
Apakah Cloud Firewall dapat melindungi instance SLB yang menghadap internet?
Alibaba Cloud menyediakan instance SLB yang menghadap internet dan instance SLB akses internal. Beberapa instance SLB yang menghadap internet tidak dapat dilindungi oleh Cloud Firewall karena batasan arsitektur jaringan. Dalam hal ini, kami merekomendasikan agar Anda menerapkan instance SLB akses internal dan mengaitkan EIP dengan instance SLB tersebut.
Setelah Anda mengaktifkan firewall untuk instance SLB akses internal yang dikaitkan dengan EIP, lalu lintas pertama kali melewati firewall, kemudian melewati gateway Destination Network Address Translation (DNAT) yang dikaitkan dengan EIP, dan akhirnya sampai ke instance SLB.
Apakah Cloud Firewall dapat melindungi lalu lintas pada Express Connect atau CEN?
Ya, Cloud Firewall dapat melindungi lalu lintas pada Express Connect dan Cloud Enterprise Network (CEN). Perhatikan item berikut:
Cloud Firewall dapat melindungi lalu lintas antara VPC yang dihubungkan menggunakan sirkuit Express Connect dan berada di wilayah yang sama. Cloud Firewall tidak dapat melindungi lalu lintas antara VPC dan Virtual Border Router (VBR) yang dihubungkan menggunakan sirkuit Express Connect.
Cloud Firewall dapat melindungi lalu lintas antara dua VPC yang dihubungkan oleh CEN, dan antara VPC dan VBR yang dihubungkan menggunakan instance CEN.
Jika Anda ingin menggunakan Cloud Firewall untuk melindungi lalu lintas antara VPC atau antara VPC dan VBR lintas wilayah, Anda harus memigrasi VPC dari koneksi peering di Express Connect ke instance CEN.
Apakah Cloud Firewall dapat melindungi dari APT?
Ya, Cloud Firewall mengembangkan serangkaian sistem pencegahan lengkap untuk melindungi dari ancaman persisten canggih (APT) berdasarkan berbagai metode, termasuk kontrol akses, kesadaran pelanggaran, Pencegahan Intrusi, dan pelacakan log.
Apakah firewall Internet dapat melindungi lalu lintas yang ditujukan ke gateway VPN publik?
Tidak, firewall Internet tidak dapat melindungi lalu lintas yang ditujukan ke gateway VPN publik. Jika Anda mengakses gateway VPN publik melalui Internet, lalu lintas akses dienkripsi oleh gateway VPN, dan firewall Internet tidak dapat mengidentifikasi atau melindungi lalu lintas terenkripsi.
Apakah VPC Firewall dapat melindungi lalu lintas yang ditujukan ke VPC menggunakan koneksi IPsec-VPN?
Jawabannya bervariasi berdasarkan penyebaran jaringan Anda. Skenario berikut terlibat:
1. Jika koneksi IPsec-VPN Anda dikaitkan dengan router transit CEN dan koneksi IPsec-VPN terhubung ke VPC bisnis, VPC Firewall dapat melindungi lalu lintas yang ditujukan ke VPC menggunakan koneksi IPsec-VPN.
Gambar berikut disediakan sebagai contoh. Pada gambar berikut, VPC Firewall melindungi lalu lintas antara jaringan kantor dan VPC bisnis.
2. Jika koneksi IPsec-VPN Anda diterapkan di VPC bisnis dengan mengaitkan koneksi tersebut dengan gateway VPN dan layanan Anda melibatkan lalu lintas lintas VPC, seperti lalu lintas VPC yang dihubungkan menggunakan CEN atau koneksi peering VPC, VPC Firewall dapat melindungi lalu lintas yang ditujukan ke VPC melalui koneksi IPsec-VPN.
Gambar berikut memberikan contoh. Pada gambar berikut, VPC Firewall tidak dapat melindungi lalu lintas dari jaringan kantor ke VPC di mana koneksi IPsec-VPN diterapkan. Namun, VPC Firewall melindungi lalu lintas dari jaringan kantor ke VPC bisnis lain yang terhubung ke VPC di mana koneksi IPsec-VPN diterapkan.
Jika Anda memerlukan perlindungan terhadap lalu lintas yang ditujukan ke VPC bisnis lain menggunakan koneksi IPsec-VPN, Anda dapat memodifikasi penyebaran jaringan Anda dan menerapkan koneksi IPsec-VPN di VPC terpisah. Dengan cara ini, Cloud Firewall dapat melindungi lalu lintas dari VPC di mana koneksi IPsec-VPN diterapkan ke VPC bisnis lain.
3. Jika koneksi IPsec-VPN Anda diterapkan di VPC bisnis dengan mengaitkan koneksi tersebut dengan gateway VPN dan layanan Anda tidak melibatkan lalu lintas lintas VPC, VPC Firewall tidak dapat melindungi lalu lintas yang ditujukan ke VPC melalui koneksi IPsec-VPN.
Gambar berikut memberikan contoh. Pada gambar berikut, VPC Firewall tidak dapat melindungi lalu lintas antara jaringan kantor dan VPC bisnis.
Apa posisi firewall Internet dalam arsitektur jaringan Alibaba Cloud?
Firewall Internet berada di batas Internet antara Internet dan aset cloud. Ini menyediakan kemampuan berikut:
Pertahanan terhadap serangan Internet.
Kontrol koneksi keluar dari aset cloud ke Internet.
Gambar berikut menggambarkan hubungan logis di antara layanan Alibaba Cloud, termasuk Cloud Firewall.
Bagaimana aliran lalu lintas layanan ketika saya menggunakan Anti-DDoS, WAF, dan Cloud Firewall bersama-sama?
Jika Anda menggunakan Anti-DDoS, Web Application Firewall (WAF) dalam mode rekaman CNAME, dan Cloud Firewall bersama-sama, lalu lintas layanan mengalir ke node berikut satu per satu:
Anti-DDoS, WAF, Cloud Firewall, dan layanan backend
Jika Anda menggunakan Anti-DDoS, WAF dalam mode native cloud, dan Cloud Firewall bersama-sama, lalu lintas layanan mengalir ke node berikut satu per satu:
Anti-DDoS, Cloud Firewall, WAF, dan layanan backend
Berapa banyak anggota yang didukung oleh fitur manajemen multi-akun?
Cloud Firewall Edisi Premium, Edisi Perusahaan, dan Edisi Ultimate mendukung fitur manajemen multi-akun. Untuk informasi lebih lanjut tentang jumlah anggota yang didukung oleh fitur ini di setiap edisi Cloud Firewall, lihat Aturan penagihan. Jika Anda ingin menambahkan lebih banyak anggota, konfigurasikan ulang Anggota Terkelola untuk meningkatkan spesifikasi Cloud Firewall Anda. Untuk informasi lebih lanjut, lihat Tingkatkan atau turunkan Cloud Firewall.
Apa skenario utama di mana Cloud Firewall melindungi instance SLB yang menghadap internet?
Cloud Firewall mendukung arsitektur SLB generasi baru yang menghadap internet dan secara komprehensif melindungi instance SLB yang menghadap internet di cloud. Jika Anda membeli Alibaba Cloud Cloud Firewall, Anda dapat masuk ke Konsol Cloud Firewall dan mengaktifkan firewall untuk meningkatkan keamanan jaringan secara keseluruhan. Cloud Firewall juga menyediakan fitur Pencegahan Intrusi dan kontrol akses untuk akses Internet instance SLB yang menghadap internet:
Pencegahan Intrusi: Fitur ini mendukung penyebaran satu klik patch virtual untuk melindungi terhadap kerentanan berisiko tinggi yang mendesak seperti kerentanan nol hari. Anda dapat menggunakan fitur ini untuk mempertahankan diri dari serangan yang diluncurkan dengan mengeksploitasi kerentanan tanpa perlu restart atau instalasi patch.
Kontrol Akses: Fitur ini menerapkan kontrol akses keluar masuk berbasis halus, mendukung aplikasi HTTP dan HTTPS, serta memberikan pembatasan pada alamat IP tertentu, port, dan protokol, terutama pada bisnis berbasis TCP. Anda dapat menggunakan fitur ini untuk membatasi sumber akses. Sebagai contoh, Anda dapat mengonfigurasi kebijakan kontrol akses untuk mengizinkan lalu lintas dari area tertentu. Ini memastikan bahwa bisnis Anda berjalan dengan cara yang lebih andal dan aman.
Apa keunggulan Alibaba Cloud Cloud Firewall dibandingkan dengan firewall yang dikelola sendiri?
Alibaba Cloud Cloud Firewall menyediakan solusi siap pakai yang mudah digunakan yang dapat digunakan untuk mengelola lalu lintas jaringan utara-selatan dan timur-barat secara terpusat serta memastikan keamanan jaringan di cloud. Dibandingkan dengan firewall yang dikelola sendiri, Alibaba Cloud Cloud Firewall menyediakan keunggulan berikut:
Layanan Terkelola: Ketika jumlah VPC meningkat, kuota yang diperlukan untuk firewall yang dikelola sendiri juga meningkat, dan jumlah titik kegagalan di sisi jaringan pada firewall yang dikelola sendiri juga meningkat karena konfigurasi rute yang kompleks. Cloud Firewall sepenuhnya dikelola oleh Alibaba Cloud, yang memungkinkan Anda segera menggunakan Cloud Firewall setelah Anda menyelesaikan konfigurasi yang diperlukan di Konsol Cloud Firewall tanpa perlu menerapkan perangkat. Ini mengurangi biaya O&M.
Ketersediaan Tinggi dan Skalabilitas Elastis: Ketersediaan tinggi dan kinerja tinggi firewall yang dikelola sendiri dicapai berdasarkan perangkat virtual. Cloud Firewall menggunakan mode penerapan kluster dua zona untuk mendukung penskalaan kinerja yang mulus tanpa perlu memperhatikan masalah terkait ketersediaan tinggi, penskalaan, atau akses.
Integrasi Mendalam dengan Layanan Cloud: Cloud Firewall dapat berintegrasi dengan berbagai layanan Alibaba Cloud, seperti VPC, CEN, EIP, dan SLB, untuk langsung mengontrol akses ke aset cloud, dan berintegrasi dengan kemampuan keamanan terminal untuk menangani akses abnormal ke aset cloud.
Pencegahan Intrusi dan Intelijen Ancaman: Cloud Firewall memiliki Mesin Deteksi Ancaman bawaan yang dapat secara bersamaan memperbarui intelijen ancaman di seluruh jaringan dan memantau lebih dari 5 juta alamat IP jahat aktif dan nama domain untuk mendeteksi dan memblokir ancaman dari Internet secara real-time.
Apa kemampuan perlindungan inti yang disediakan Cloud Firewall untuk batas Internet?
Firewall Internet dapat memantau lalu lintas antara Internet dan alamat IP publik di Alibaba Cloud. Setelah Anda mengaktifkan Cloud Firewall, Anda dapat menggunakan kemampuan pertahanan berikut:
Inventaris Aset: Firewall Internet dapat menganalisis lalu lintas masuk dan keluar dari aset, termasuk aplikasi terbuka, port terbuka, alamat IP publik terbuka, dan informasi tentang layanan cloud yang diakses.
Pencegahan Intrusi: Cloud Firewall dapat mendeteksi dan menghentikan lalu lintas jahat dan serangan di Internet secara real-time. Cloud Firewall dapat secara cerdas memblokir serangan berdasarkan intelijen ancaman.
Pemblokiran Domain: Setelah Anda mengaktifkan firewall, sistem menganalisis data koneksi keluar dari aset secara real-time untuk mendeteksi aset mencurigakan. Cloud Firewall juga memblokir akses Internet berdasarkan kebijakan kontrol akses berbasis domain atau alamat IP.
Pencegahan Kerentanan: Cloud Firewall menyediakan kemampuan pembenahan virtual untuk mempertahankan diri dari kerentanan berisiko tinggi yang dapat dieksploitasi secara remote. Jika Anda tidak dapat menginstal patch, kerentanan juga dapat dicegah secara otomatis.
Bagaimana cara saya menggunakan WAF dan Cloud Firewall untuk mengelola eksposur Internet?
Eksposur Internet mengacu pada aset yang diketahui atau tidak diketahui yang terpapar di Internet. Aset tersebut mencakup alamat IP, port, nama domain, aplikasi, dan API. Seiring dengan meningkatnya jumlah aset yang terhubung ke jaringan perusahaan, eksposur Internet juga meningkat. Semakin banyak eksposur Internet menunjukkan ancaman yang lebih besar dihadapi oleh perusahaan. Oleh karena itu, pengelolaan eksposur Internet yang efektif adalah persyaratan dasar untuk operasi dan manajemen keamanan.
Manajemen Aset Aplikasi Bisnis: Jumlah platform sistem bisnis meningkat dalam beberapa tahun terakhir. Dalam beberapa kasus, karyawan mungkin membangun situs web mereka sendiri, dan lingkungan pengujian atau API mungkin tidak didaur ulang tepat waktu. Aset tersebut mungkin menggunakan versi yang lebih rendah dari sistem open-source, komponen, dan framework web, dan memiliki izin akses yang melebihi persyaratan bisnis. Penyerang dapat menggunakan aset tersebut sebagai server lompat untuk menghindari perlindungan di batas jaringan perusahaan. Identifikasi Aset Web Application Firewall (WAF) menyediakan perspektif aset global dengan mendapatkan informasi konfigurasi tentang layanan seperti Alibaba Cloud Certificate Management Service, Alibaba Cloud DNS, WAF, dan HiChina, serta memanfaatkan kemampuan analisis asosiasi big data. Ini memastikan bahwa aset dapat sepenuhnya dilindungi dan meningkatkan keamanan secara keseluruhan.
Manajemen Aset Jaringan: Dengan pertumbuhan bisnis perusahaan yang pesat, jumlah alamat IP di cloud meningkat. Alamat IP tersebut mungkin telah membuka port dan layanan yang melebihi persyaratan bisnis karena kelalaian manajemen. Anda dapat menggunakan Cloud Firewall untuk memantau lalu lintas komunikasi antara Internet dan alamat IP publik di cloud, menonaktifkan alamat IP dan port yang tidak perlu yang terpapar di Internet, dan mengonfigurasi kebijakan kontrol akses untuk menerapkan kontrol akses berbasis halus pada akses Internet.
Mengapa pengguna yang menggunakan router transit instance CEN memiliki persyaratan lebih tinggi terhadap Cloud Firewall?
Sejumlah perusahaan yang semakin banyak mengadopsi arsitektur multi-VPC untuk memungkinkan jaringan lintas wilayah dan konektivitas hybrid cloud, dan pengguna router transit CEN menghadapi tantangan yang semakin kompleks dalam manajemen keamanan jaringan.
Persyaratan manajemen jaringan pada layanan multi-VPC dan hybrid cloud: Tingkat layanan dan tingkat keamanan VPC bervariasi, tetapi akses layanan memerlukan koneksi bersyarat dari beberapa VPC. Perusahaan harus merencanakan dan merancang kebijakan kontrol akses dan kebijakan perlindungan dengan baik untuk melindungi lalu lintas lintas VPC atau antara VPC dan pusat data. Dengan cara ini, perusahaan dapat mempertahankan diri dari serangan pergerakan lateral. Kompleksitas mengelola lalu lintas antar-VPC dan lalu lintas antara VPC dan pusat data bervariasi berdasarkan jumlah VPC di perusahaan dan skala bisnis di cloud. Router transit memungkinkan pengguna untuk melindungi lebih banyak VPC, yang meningkatkan kompleksitas mengendalikan lalu lintas timur-barat di cloud. Oleh karena itu, pengguna memiliki persyaratan lebih tinggi untuk manajemen halus lalu lintas timur-barat di cloud.
Persyaratan kepatuhan: Ketika pengguna perusahaan besar memigrasikan bisnis mereka ke cloud, sebagian besar pengguna memerlukan kebijakan kontrol akses untuk memenuhi persyaratan perlindungan berlapis seperti Multi-Level Protection Scheme (MLPS) dan International Organization for Standardization (ISO) 27001. Sebagai contoh, menurut persyaratan ekstensi keamanan komputasi awan MLPS, pengguna harus menerapkan mekanisme kontrol akses di berbagai tingkat batas jaringan untuk menerapkan kontrol akses berbasis sesi dan aplikasi. Cloud Firewall Edisi Perusahaan dapat memenuhi persyaratan pengguna untuk mengontrol dan melindungi lalu lintas timur-barat.