Pengenalan Cloud Firewall - Cloud Firewall

Alibaba Cloud Cloud Firewall adalah solusi keamanan cloud yang menyediakan firewall sebagai layanan. Ini mengimplementasikan isolasi keamanan terpusat dan kontrol lalu lintas untuk aset cloud Anda di Internet, virtual private cloud (VPC), dan batas host. Cloud Firewall berfungsi sebagai garis pertahanan pertama untuk melindungi beban kerja Anda di Alibaba Cloud.

Posisi Cloud Firewall

Fitur

Firewall internet

Mendukung kontrol granular lalu lintas masuk dan keluar antara aset yang menghadap ke Internet dan Internet, mengurangi risiko eksposur aset publik. Modul pertahanan ancaman bawaan mendukung deteksi host yang terganggu, pemblokiran koneksi keluar, dan visualisasi hubungan akses. Menggunakan penyebaran kluster, tidak memerlukan konfigurasi yang kompleks, mendukung pengaktifan perlindungan satu klik, dan memungkinkan penskalaan performa.

Firewall NAT

Ketika sumber daya VPC mengakses Internet melalui gateway NAT, mereka mungkin menghadapi risiko keamanan seperti akses tidak sah, kebocoran data, dan serangan lalu lintas jahat. Mengaktifkan firewall NAT dapat memblokir lalu lintas yang tidak sah.

Firewall VPC

Memantau dan mengontrol lalu lintas timur-barat antara VPC atau antara VPC dan pusat data yang terhubung menggunakan Router transit edisi perusahaan, Router transit Edisi Dasar, atau sirkuit Express Connect. Ini membantu memastikan keamanan lalu lintas timur-barat antara VPC, VPC dan virtual border router (VBR) di pusat data, VPC dan VBR dari cloud pihak ketiga, serta VPC dan gateway VPN.

Firewall internal

Mendukung pengelolaan grup keamanan Elastic Compute Service (ECS) dan mengontrol lalu lintas untuk instance ECS dalam VPC. Kebijakan kontrol akses secara otomatis disinkronkan ke grup keamanan ECS. Mendukung pemeriksaan kepatuhan grup keamanan dan visualisasi mikro-segmentasi.

Ruang Lingkup Perlindungan

Ruang Lingkup Perlindungan

Deskripsi

Referensi

Aset cloud dan lalu lintas

Cloud Firewall dapat melindungi aset cloud atau lalu lintas berikut:

Firewall internet (utara-selatan): Alamat IPv4 dan IPv6 dari aset seperti Instance ECS, aset load balancer, dan bastion host, elastic IP addresses (EIPs), EIP dari NAT gateway, EIP dari Global Accelerator (GA) instance, dan EIP yang terkait dengan high-availability virtual IP addresses (HAVIPs).

Tipe aset yang didukung

IPv4

IPv6

EIP dari Application Load Balancer (ALB) instance
Alamat IP keluar dari bastion host
Alamat IP dari bastion host
Alamat IP masuk dari bastion host
EIP
EIP dari ECS instance
Alamat IP publik dari ECS instance
EIP dari elastic network interfaces (ENIs)
EIP dari GA instance
Catatan
- Instance GA tempat alamat IP yang dipercepat milik harus merupakan standard GA instance.
- Alamat IP yang dipercepat harus bertipe EIP.
- Wilayah percepatan tempat alamat IP yang dipercepat milik tidak boleh menjadi point of presence (POP) dari Alibaba Cloud.
  Untuk memeriksa apakah wilayah percepatan merupakan POP dari Alibaba Cloud, panggil operasi ListAvailableBusiRegions.
HAVIPs
EIP dari NAT gateway
Alamat IP publik dari NAT gateway
EIP dari Network Load Balancer (NLB) instance
EIP dari Server Load Balancer (SLB) instance
Alamat IP publik dari SLB instance

Alamat IPv6 dari ALB instance
Alamat IPv6 dari ECS instance
IPv6 EIP dari ENI
IPv6 EIP dari GA instance
Catatan
- Instance GA tempat alamat IP yang dipercepat milik harus merupakan standard GA instance.
- Alamat IP yang dipercepat harus bertipe EIP.
- Wilayah percepatan tempat alamat IP yang dipercepat milik tidak boleh menjadi point of presence (POP) dari Alibaba Cloud.
  Untuk memeriksa apakah wilayah percepatan merupakan POP dari Alibaba Cloud, panggil operasi ListAvailableBusiRegions.
Alamat IPv6 dari NLB instance
Alamat IPv6 dari SLB instance

Firewall NAT: lalu lintas dari jaringan internal ke Internet.
Firewall VPC (timur-barat):
- Firewall VPC yang dibuat untuk Router transit edisi perusahaan
  - Lalu lintas antara VPC di wilayah yang sama
  - Lalu lintas antara VPC yang terhubung menggunakan Router transit edisi perusahaan dan berada di wilayah berbeda
  - Lalu lintas antara VPC dan VBR, yang juga merujuk pada lalu lintas antara VPC dan pusat data
  - Lalu lintas antara VPC dan CCN instance
  - Lalu lintas antara VBR
  - Lalu lintas antara VBR dan CCN instance
- Firewall VPC yang dibuat untuk Router transit Edisi Dasar
  - Lalu lintas antara VPC di wilayah yang sama
  - Lalu lintas antara VPC yang terhubung menggunakan Router transit Edisi Dasar dan berada di wilayah berbeda
  - Lalu lintas antara VPC dan VBR, yang juga merujuk pada lalu lintas antara VPC dan pusat data
  - Lalu lintas antara VPC dan CCN instance
- Firewall VPC yang dibuat untuk sirkuit Express Connect
  - Lalu lintas antara VPC yang terhubung menggunakan sirkuit Express Connect, berada di wilayah yang sama, dan milik akun yang sama
  - Lalu lintas antara VPC yang terhubung menggunakan koneksi peering VPC dan berada di wilayah yang sama
Firewall internal: lalu lintas masuk dan keluar antara instance ECS.

Catatan

Cloud Firewall tidak mendukung pengalihan lalu lintas untuk sejumlah kecil SLB yang menghadap ke Internet karena arsitektur jaringan historis. Kami merekomendasikan Anda mengaitkan EIP dengan SLB yang menghadap internal untuk mengarahkan lalu lintas ke Cloud Firewall untuk perlindungan.

Tipe jaringan cloud

VPC: Cloud Firewall mendukung semua VPC Alibaba Cloud.
Jaringan klasik: Fitur Firewall Internet dan Sistem Pencegahan Intrusi (IPS) mendukung jaringan klasik. Firewall internal dapat melindungi instance dalam VPC tetapi tidak dalam jaringan klasik.

Wilayah yang didukung

Wilayah yang didukung oleh Cloud Firewall.

Wilayah yang didukung

Edisi

Cloud Firewall tersedia dalam edisi berikut: Edisi Gratis, Edisi Premium, Edisi Perusahaan, Edisi Ultimate, dan Cloud Firewall yang menggunakan metode penagihan bayar sesuai pemakaian. Tabel berikut menjelaskan perbedaan di antara edisi. Untuk informasi lebih lanjut tentang kemampuan perlindungan yang didukung oleh berbagai edisi Cloud Firewall, lihat Fitur.

Edisi	Deskripsi	Metode Penagihan
Edisi Gratis	Cloud Firewall Edisi Gratis menyediakan kemampuan pemeriksaan keamanan dasar, termasuk fitur seperti pemeriksaan grup keamanan, pemeriksaan kepatuhan perlindungan terklasifikasi, dan notifikasi pengecualian aset.	Jika akun Alibaba Cloud Anda memiliki aset cloud yang dapat dilindungi, Anda dapat menggunakan Cloud Firewall Edisi Gratis tanpa membeli layanan tambahan.
Cloud Firewall dengan Metode Penagihan Bayar Sesuai Pemakaian	Cloud Firewall dengan metode penagihan bayar sesuai pemakaian menawarkan perlindungan keamanan andal untuk aset yang menghadap ke Internet. Fitur yang tersedia mencakup kesadaran serangan, pencegahan serangan, notifikasi pengecualian aset, serta konfigurasi kebijakan kontrol akses untuk Firewall Internet.	Bayar sesuai pemakaian. Metode ini fleksibel dan cocok untuk skenario dengan penggunaan sumber daya yang fluktuatif atau kebutuhan sementara/lonjakan pada sumber daya bisnis.
Edisi Premium	Cloud Firewall Edisi Premium melindungi aset yang menghadap ke Internet. Fitur yang tersedia mencakup analisis lalu lintas, perlindungan aset, manajemen lalu lintas Internet, pencegahan serangan, analisis log, manajemen multi-akun, dan notifikasi pengecualian aset.	Langganan. Dibandingkan dengan metode bayar sesuai pemakaian, langganan memungkinkan pemesanan sumber daya dengan tarif diskon, cocok untuk penggunaan stabil jangka panjang.
Edisi Perusahaan	Cloud Firewall Edisi Perusahaan melindungi aset yang menghadap ke Internet, VPC, dan instance ECS. Fitur yang tersedia mencakup analisis lalu lintas, perlindungan aset, manajemen lalu lintas antara Internet dan jaringan internal, pencegahan serangan, analisis log, manajemen multi-akun, dan notifikasi pengecualian aset. Edisi ini mencakup semua kemampuan Edisi Premium serta layanan bernilai tambah seperti visualisasi, pertahanan keamanan jaringan lintas VPC, dan manajemen terpusat grup keamanan.
Edisi Ultimate	Cloud Firewall Edisi Ultimate mencakup semua kemampuan Edisi Perusahaan dengan perlindungan yang lebih kuat.

Uji coba gratis

Pertama kali Anda membeli Cloud Firewall, Anda dapat mengajukan uji coba gratis Cloud Firewall yang menggunakan metode penagihan bayar sesuai pemakaian.

Kepatuhan

Cloud Firewall mematuhi standar berikut: ISO 9001, ISO 20000, ISO 22301, ISO 27001, ISO 27017, ISO 27018, ISO 29151, ISO 27701, BS 10012, Cloud Security Alliance (CSA) Security, Trust, and Assurance Registry (STAR), dan Payment Card Industry (PCI) Data Security Standards (DSS).

Hubungi kami

Jika Anda memiliki pertanyaan tentang pembelian atau mencoba Cloud Firewall, Anda dapat mengirimkan Tiket untuk menghubungi ahli teknis.

Referensi

Untuk informasi lebih lanjut tentang penagihan Cloud Firewall, lihat Ikhtisar Penagihan.
Untuk informasi lebih lanjut tentang memilih edisi Cloud Firewall yang sesuai dengan kebutuhan bisnis Anda, lihat Pengenalan Pemilihan Cloud Firewall.
Untuk informasi lebih lanjut tentang cara mengaktifkan dan menggunakan Cloud Firewall yang menggunakan metode penagihan bayar sesuai pemakaian, lihat Mulai menggunakan Cloud Firewall yang menggunakan metode penagihan bayar sesuai pemakaian.
Untuk informasi lebih lanjut tentang cara mengaktifkan dan menggunakan Cloud Firewall yang menggunakan metode penagihan langganan, lihat Mulai menggunakan Cloud Firewall yang menggunakan metode penagihan langganan.