Konfigurasikan kebijakan kontrol akses untuk mengizinkan lalu lintas dari server yang menghadap internet hanya ke nama domain tertentu - Cloud Firewall

Jika aset Anda yang menghadap internet mengakses langsung Internet, risiko dapat terjadi. Sebagai contoh, data bisnis inti Anda mungkin bocor, dan sistem bisnis Anda mungkin diserang. Untuk mencegah akses tidak sah antara aset yang menghadap internet dan Internet, Anda dapat mengonfigurasi kebijakan kontrol akses untuk firewall internet. Ini membantu melindungi terhadap potensi kebocoran data dan paparan aset di Internet. Topik ini menjelaskan cara mengonfigurasi kebijakan kontrol akses untuk mengizinkan lalu lintas dari server hanya ke situs web tertentu.

Contoh skenario

Dalam contoh berikut, aset Anda adalah instance Elastic Compute Service (ECS) dengan alamat IP elastis (EIP) 47.100.XX.XX yang terkait. Untuk memastikan keamanan instance ECS, Anda harus mengonfigurasi kebijakan kontrol akses untuk mengizinkan lalu lintas hanya ke situs web www.aliyun.com.

Prasyarat

Cloud Firewall telah diaktifkan, dan fitur Firewall Internet diaktifkan. Untuk informasi lebih lanjut, lihat Pembelian Cloud Firewall dan Firewall Internet.

Prosedur

Masuk ke Konsol Cloud Firewall.
Di panel navigasi di sebelah kiri, pilih Prevention Configuration > Access Control > Internet Border.
Pada tab Outbound, klik Create Policy. Di panel Create Outbound Policy, klik tab Create Policy.

Konfigurasikan kebijakan kontrol akses yang mengizinkan lalu lintas dari instance ECS ke www.aliyun.com dan memiliki prioritas tertinggi dan kebijakan kontrol akses yang menolak lalu lintas dari instance ECS ke semua alamat IP publik dan memiliki prioritas terendah.

Konfigurasikan kebijakan kontrol akses yang mengizinkan lalu lintas dari instance ECS ke www.aliyun.com. Tabel berikut menjelaskan parameter.

Parameter	Deskripsi	Contoh
Source Type	Penginisiasi lalu lintas jaringan. Anda harus memilih jenis sumber dan memasukkan alamat sumber berdasarkan jenis sumber yang dipilih.	IP
Source		47.100.XX.XX/32, yang merupakan alamat IP publik dari instance ECS
Destination Type	Penerima lalu lintas jaringan. Anda harus memilih jenis tujuan dan memasukkan alamat tujuan ke mana lalu lintas jaringan dikirim berdasarkan jenis tujuan yang dipilih.	Nama Domain
Destination		www.aliyun.com, yang merupakan situs web yang Anda izinkan instance ECS untuk mengakses Catatan Anda juga dapat menyelesaikan nama domain menjadi alamat IP.
Protocol Type	Protokol lapisan transport. Nilai valid: TCP, UDP, ICMP, dan ANY. Jika Anda tidak mengetahui jenis protokol, pilih ANY.	TCP
Port Type	Jenis port dan nomor port tujuan.	Port
Port	Jenis port dan nomor port tujuan.	0/0, yang menunjukkan semua port
Application	Jenis aplikasi dari lalu lintas.	ANY
Action	Tindakan pada lalu lintas jika lalu lintas memenuhi kondisi yang Anda tentukan untuk kebijakan kontrol akses. Nilai valid: Allow: Trafik diizinkan. Deny: Lalu lintas ditolak, dan tidak ada notifikasi yang dikirim. Monitor: Lalu lintas dicatat dan diizinkan. Anda dapat menyaring log lalu lintas dengan menentukan bidang terkait dan mengamati lalu lintas selama periode waktu tertentu. Kemudian, ubah tindakan kebijakan menjadi Allow atau Deny berdasarkan kebutuhan bisnis Anda.	Izinkan
Description	Deskripsi kebijakan kontrol akses. Masukkan deskripsi yang dapat membantu mengidentifikasi kebijakan.	Izinkan lalu lintas ke www.aliyun.com
Priority	Prioritas kebijakan kontrol akses. Nilai default: Lowest.	Tertinggi
Policy Validity Period	Masa berlaku kebijakan kontrol akses. Kebijakan dapat digunakan untuk mencocokkan lalu lintas hanya dalam masa berlaku. Nilai valid: Selalu. Rentang Waktu Tunggal: Jika Anda memilih opsi ini, tentukan rentang waktu tunggal. Siklus Berulang: Jika Anda memilih opsi ini, tentukan rentang waktu dan tanggal saat Anda ingin kebijakan mulai berlaku. Catatan Tanggal mulai harus lebih awal dari tanggal akhir. Kebijakan memerlukan waktu 3 hingga 5 menit untuk mulai berlaku. Jika Anda memilih Indefinite Recurrence, tanggal akhir secara otomatis diatur ke 31 Desember 2099. FAQ: Apakah kebijakan kontrol akses berlaku jika rentang waktu yang ditentukan untuk pengulangan mencakup dua hari kalender?	Selalu
Enabling Status	Tentukan apakah akan mengaktifkan kebijakan. Jika Anda mematikan Status saat membuat kebijakan kontrol akses, Anda dapat mengaktifkan kebijakan dalam daftar kebijakan kontrol akses.	Aktif

Konfigurasikan kebijakan kontrol akses untuk menolak lalu lintas dari instance ECS ke semua alamat IP publik. Daftar berikut menjelaskan parameter.
- Source: Masukkan 47.100.X.X/32.
- Destination: Masukkan 0.0.0.0/0, yang menunjukkan alamat IP dari semua server.
- Protocol Type: Pilih ANY.
- Port: Masukkan 0/0, yang menunjukkan semua port server.
- Application: Pilih ANY.
- Action: Pilih Tolak.
- Priority: Pilih "Terendah".

Setelah Anda membuat kebijakan kontrol akses, pastikan bahwa prioritas policy that allows traffic from the ECS instance to www.aliyun.com lebih tinggi daripada prioritas policy that denies traffic from the ECS instance to all public IP addresses.

Lihat detail hit tentang kebijakan kontrol akses

Setelah layanan Anda berjalan selama periode waktu tertentu, Anda dapat melihat detail hit tentang kebijakan kontrol akses di kolom HitsLast Hit At dalam daftar kebijakan kontrol akses.

Anda dapat mengklik jumlah hit untuk pergi ke halaman Log Audit untuk melihat log lalu lintas. Untuk informasi lebih lanjut, lihat Audit Operasi.

Referensi

Untuk informasi lebih lanjut, lihat Buat Kebijakan Kontrol Akses Masuk dan Keluar untuk Firewall Internet.
Untuk informasi lebih lanjut, lihat Konfigurasikan Kebijakan Kontrol Akses.
Untuk informasi lebih lanjut tentang cara mengonfigurasi dan menggunakan kebijakan kontrol akses, lihat FAQ tentang Kebijakan Kontrol Akses.