Untuk mengelola lalu lintas dari aset internal ke Internet secara lebih rinci, Anda dapat mengonfigurasi kebijakan kontrol akses untuk Firewall NAT guna memblokir akses tidak sah dari aset internal ke Internet. Hal ini membantu mengurangi risiko seperti kebocoran data dalam bisnis inti Anda. Topik ini menjelaskan cara mengonfigurasi kebijakan kontrol akses untuk Firewall NAT agar lalu lintas dari aset internal hanya diizinkan ke situs web tertentu.
Skenario contoh
Dalam contoh ini, aset Anda adalah instance Elastic Compute Service (ECS) internal dengan alamat IP privat 10.10.XX.XX. Instance ECS mengakses Internet melalui gateway NAT yang menghadap Internet. Untuk memastikan keamanan instance ECS, Anda harus mengonfigurasi kebijakan kontrol akses untuk mengizinkan lalu lintas dari instance ECS hanya ke situs web www.aliyun.com.
Prosedur
Masuk ke Konsol Cloud Firewall.
Di panel navigasi sebelah kiri, pilih .
Di halaman NAT Border, temukan gateway NAT tempat Anda ingin membuat kebijakan kontrol akses dan klik Create Policy.
Gateway NAT dalam akun Alibaba Cloud saat ini akan disinkronkan secara otomatis ke Cloud Firewall.
Di panel Create Policy - NAT Border, konfigurasikan kebijakan kontrol akses yang mengizinkan lalu lintas dari instance ECS ke www.aliyun.com dengan prioritas tertinggi dan kebijakan kontrol akses yang menolak lalu lintas dari instance ECS ke semua alamat IP publik dengan prioritas terendah.
Konfigurasikan kebijakan kontrol akses yang mengizinkan lalu lintas dari instance ECS ke www.aliyun.com. Berikut adalah parameter yang perlu diatur:
Source: Masukkan 10.10.X.X/32.
Destination Type: Pilih Nama Domain.
Destination: Masukkan www.aliyun.com.
Domain Name Identification Mode: Pilih Resolusi Berbasis FQDN (Ekstrak Host atau SNI Field dalam Paket).
Protocol Type: Pilih TCP.
Port: Masukkan 443/443.
Application: Pilih HTTPS.
Action: Pilih Allow.
Priority: Pilih "Tertinggi".
Konfigurasikan kebijakan kontrol akses untuk menolak lalu lintas dari instance ECS ke semua alamat IP publik. Berikut adalah parameter yang perlu diatur:
Source: Masukkan 10.10.X.X/32.
Destination: Masukkan 0.0.0.0/0, yang mencakup alamat IP dari semua server.
Protocol Type: Pilih ANY.
Port: Masukkan 0/0, yang menunjukkan semua port server.
Application: Pilih ANY.
Action: Pilih Deny.
Priority: Pilih "Terendah".
Setelah membuat kebijakan kontrol akses, pastikan bahwa prioritas policy that allows traffic from the ECS instance to www.aliyun.com lebih tinggi daripada prioritas policy that denies traffic from the ECS instance to all public IP addresses.
Apa yang harus dilakukan selanjutnya
Referensi
Untuk informasi lebih lanjut, lihat Buat kebijakan kontrol akses untuk firewall NAT.
Untuk informasi lebih lanjut, lihat Konfigurasikan kebijakan kontrol akses.
Untuk informasi lebih lanjut tentang cara mengonfigurasi dan menggunakan kebijakan kontrol akses, lihat FAQ tentang kebijakan kontrol akses.