Konfigurasikan kebijakan untuk akses domain tertentu - Cloud Firewall

Akses internet tanpa batas ke aset publik Anda dapat menimbulkan risiko, seperti kebocoran data bisnis inti dan serangan siber terhadap sistem bisnis Anda. Untuk mengurangi risiko tersebut, Anda dapat mengonfigurasi kebijakan kontrol akses Firewall internet guna mengelola akses tidak sah antara aset publik Anda dan Internet. Hal ini membantu mengurangi risiko eksfiltrasi data serta meminimalkan permukaan serangan pada aset yang terpapar Internet. Topik ini menjelaskan cara mengonfigurasi kebijakan kontrol akses yang hanya mengizinkan instans mengakses nama domain tertentu.

Contoh skenario

Dalam skenario ini, Anda memiliki Instance ECS yang dikaitkan dengan alamat IP elastis 47.100.XX.XX. Untuk keperluan keamanan, Anda perlu mengonfigurasi kebijakan agar instans ini hanya dapat mengakses nama domain www.aliyun.com.

Prasyarat

Anda telah melakukan pembelian Cloud Firewall dan mengaktifkan perlindungan Firewall internet. Untuk informasi selengkapnya, lihat Pembelian Cloud Firewall dan Firewall internet.

Prosedur

Masuk ke Konsol Cloud Firewall.
Di panel navigasi sebelah kiri, pilih Protection Configuration > Access Control > Internet Border.
Pada tab Outbound, klik Create Policy. Di panel Create Outbound Policy, klik tab Create Policy.

Konfigurasikan kebijakan prioritas tinggi untuk mengizinkan akses ke www.aliyun.com dan kebijakan prioritas rendah untuk menolak semua lalu lintas outbound lainnya.

Konfigurasikan kebijakan untuk mengizinkan instans mengakses www.aliyun.com. Pengaturan utamanya adalah sebagai berikut:

Parameter	Deskripsi	Nilai contoh
Source Type	Sumber lalu lintas jaringan. Pilih jenis sumber dan masukkan alamat yang sesuai.	IP
Source		Masukkan Alamat IP publik Instance ECS. Dalam contoh ini, alamat IP-nya adalah 47.100.XX.XX/32.
Destination Type	Tujuan lalu lintas jaringan. Pilih jenis tujuan dan masukkan alamat yang sesuai.	Domain Name
Destination		Masukkan nama domain yang diizinkan diakses oleh instans: www.aliyun.com. Catatan Anda juga dapat melakukan pencarian Domain Name System (DNS) pada nama domain tersebut dan menggunakan alamat IP hasil resolusi.
Protocol Type	Protokol lapisan transport. Nilai yang valid adalah TCP, UDP, ICMP, dan ANY. Jika Anda tidak yakin protokolnya, pilih ANY.	TCP
Port Type	Jenis port tujuan dan port tujuan.	Port
Port	Jenis port tujuan dan port tujuan.	Masukkan 0/0 untuk menentukan semua port.
Application	Jenis aplikasi dari traffic tersebut.	ANY
Action	Tindakan yang diambil terhadap traffic yang sesuai dengan kebijakan. Allow: mengizinkan traffic. Deny: memblokir traffic dan tidak mengirim notifikasi. Monitor: Dalam mode ini, traffic diizinkan secara default. Anda dapat menyaring dan mengamati traffic ini menggunakan bidang terkait dalam catatan lalu lintas. Setelah periode pengamatan, Anda dapat mengubah tindakan menjadi Allow atau Deny sesuai kebutuhan.	Allow
Description	Masukkan deskripsi untuk kebijakan guna membantu Anda mengidentifikasi tujuannya.	Allow policy for www.aliyun.com
Priority	Prioritas kebijakan. Nilai default-nya adalah Lowest.	Highest
Policy Validity Period	Tentukan periode validitas untuk kebijakan. Kebijakan hanya dapat mencocokkan traffic dalam periode validitas tersebut. Always One-Time: Pilih satu rentang waktu. Recurring: Pilih rentang waktu berulang dan tanggal efektif. Catatan Waktu mulai tanggal efektif harus lebih awal daripada waktu akhir. Kebijakan diperkirakan berlaku dalam 3 hingga 5 menit. Jika Anda memilih Repeat Indefinitely, waktu akhir akan otomatis diatur menjadi 2099-12-31. FAQ terkait: Apakah kebijakan berlaku jika siklus pengulangan mencakup beberapa hari?	Always
Status	Menentukan apakah kebijakan diaktifkan. Jika Anda tidak mengaktifkan kebijakan saat membuatnya, Anda dapat mengaktifkannya nanti dari daftar kebijakan.	Enabled

Konfigurasikan kebijakan deny yang memblokir instans dari mengakses semua Alamat IP publik. Pengaturan utamanya adalah sebagai berikut:
- Source: 47.100.XX.XX/32
- Destination: 0.0.0.0/0, yang menunjukkan semua alamat IP.
- Protocol Type: ANY
- Port: 0/0, yang menunjukkan semua port.
- Application: ANY
- Action: Deny
- Priority: Lowest

Setelah kebijakan dikonfigurasi, pastikan bahwa the allow policy for www.aliyun.com memiliki prioritas lebih tinggi daripada the deny policy for all other traffic.

Lihat hit kebijakan

Setelah layanan Anda berjalan selama periode tertentu, Anda dapat melihat jumlah hit dan waktu hit terakhir kebijakan kontrol akses di kolom Hits / Last Hit At pada daftar kebijakan kontrol akses.

Klik jumlah hit untuk melihat catatan lalu lintas di halaman Traffic Logs. Untuk informasi selengkapnya, lihat Log audit.

Dokumentasi terkait

Untuk petunjuk detail tentang cara mengonfigurasi kebijakan kontrol akses untuk Firewall internet, lihat Configure Internet firewall access control policies.
Untuk informasi lebih lanjut mengenai prinsip konfigurasi kebijakan kontrol akses, lihat Access control policy configuration examples.
Untuk jawaban atas pertanyaan umum mengenai kebijakan kontrol akses, lihat FAQ about access control policies.