Contoh kebijakan kontrol akses Cloud Firewall - Cloud Firewall

Topik ini menyediakan contoh konfigurasi umum untuk membuat kebijakan kontrol akses pada firewall internet, firewall VPC, dan firewall internal.

Contoh kebijakan firewall internet

Lalu lintas inbound dan outbound di Cloud Firewall merupakan lalu lintas yang menghadap internet, juga dikenal sebagai lalu lintas utara-selatan. Anda dapat menggunakan fitur access control Cloud Firewall untuk menyesuaikan kebijakan kontrol akses bagi lalu lintas utara-selatan, sehingga memungkinkan penerapan kontrol detail halus terhadap lalu lintas akses dan melindungi keamanan jaringan Anda. Untuk informasi lebih lanjut mengenai parameter kebijakan firewall internet, lihat Konfigurasikan kebijakan kontrol akses untuk firewall internet.

Izinkan traffic publik inbound ke port tertentu

Contoh: Instance ECS memiliki Alamat IP pribadi 10.1.XX.XX dan dikaitkan dengan elastic IP address (EIP) 200.2.XX.XX/32. Contoh ini menunjukkan cara mengonfigurasi kebijakan yang mengizinkan seluruh lalu lintas internet inbound (dari 0.0.0.0/0) hanya mengakses TCP port 80 dari instans tersebut.

Masuk ke Konsol Cloud Firewall.
Di panel navigasi kiri, pilih Protection Configuration > Access Control > Internet Border.

Di tab Inbound, klik Create Policy. Di panel Create Inbound Policy, pada tab Create Policy, konfigurasikan kebijakan berikut.

Konfigurasikan kebijakan untuk mengizinkan lalu lintas publik mengakses TCP port 80 dari instans, lalu klik OK.

Parameter utama dijelaskan dalam tabel berikut.

Parameter	Deskripsi	Nilai contoh
Source Type	Sumber traffic jaringan. Anda harus memilih jenis sumber dan memasukkan alamat sumber yang sesuai.	IP
Source		`0.0.0.0/0` Catatan `0.0.0.0/0` merepresentasikan seluruh Alamat IP publik.
Destination Type	Tujuan traffic jaringan. Anda harus memilih jenis tujuan dan memasukkan alamat tujuan yang sesuai.	IP
Destination		`200.2.XX.XX/32`
Protocol Type	Protokol lapisan transport. Nilai yang valid: TCP, UDP, ICMP, dan ANY. Jika Anda tidak yakin protokol spesifiknya, pilih ANY.	TCP
Port Type	Jenis port tujuan dan port tujuan.	Port
Port	Jenis port tujuan dan port tujuan.	`80/80`
Application	Jenis aplikasi dari traffic tersebut.	ANY
Action	Aksi yang diambil terhadap traffic yang cocok dengan kebijakan.	Allow
Priority	Prioritas kebijakan. Nilai default adalah Lowest, yang menunjukkan prioritas terendah.	Highest
Status	Tentukan apakah akan mengaktifkan kebijakan. Jika Anda tidak mengaktifkan kebijakan saat membuatnya, Anda dapat mengaktifkannya di daftar kebijakan.	Enabled

Konfigurasikan kebijakan untuk menolak seluruh lalu lintas publik ke semua instans, lalu klik OK.
Buat kebijakan Deny dengan parameter utama berikut:
- Destination: 0.0.0.0/0
  Catatan
  0.0.0.0/0 merepresentasikan alamat IP dari semua instans.
- Protocol Type: ANY
- Port: 0/0
  Catatan
  0/0 merepresentasikan semua port dari instans.
- Application: ANY
- Action: Deny
- Priority: Lowest

Setelah konfigurasi selesai, pastikan bahwa policy to Allow inbound traffic to TCP port 80 of the host memiliki prioritas lebih tinggi daripada policy to Deny all inbound traffic to the host.

Contoh kebijakan firewall VPC

Firewall VPC dapat digunakan untuk mendeteksi dan mengontrol lalu lintas antara dua VPC, juga dikenal sebagai lalu lintas timur-barat. Saat mengelola lalu lintas antara dua VPC, Anda perlu menolak lalu lintas mencurigakan atau berbahaya, atau terlebih dahulu mengizinkan lalu lintas tepercaya lalu menolak akses dari alamat lainnya. Untuk informasi mengenai pengaturan kebijakan firewall VPC, lihat Konfigurasikan kebijakan kontrol akses untuk firewall VPC.

Tolak traffic antara instance ECS di VPC berbeda

Catatan

Secara default, instance ECS di dua VPC dapat saling berkomunikasi jika VPC tersebut terhubung melalui Instans CEN atau Sirkuit Express Connect.

Contoh: VPC1 dan VPC2 terhubung melalui Instans CEN yang sama. ECS1, dengan alamat IP 10.33.XX.XX/32, ditempatkan di VPC1. ECS2, dengan alamat IP 10.66.XX.XX/32, ditempatkan di VPC2. Contoh ini menolak akses dari ECS1 ke ECS2.

Masuk ke Konsol Cloud Firewall
Di panel navigasi kiri, pilih Prevention Configuration > Access Control > Policy Configuration > VPC Border.
Di halaman VPC Border, klik Create Policy.

Di panel Create Policy - VPC Border, konfigurasikan kebijakan seperti pada tabel berikut, lalu klik Confirm.

Parameter utama dijelaskan dalam tabel berikut.

Parameter	Deskripsi	Nilai contoh
Source Type	Jenis sumber traffic.	IP
Source	Alamat sumber traffic.	`10.33.XX.XX/32`
Destination Type	Jenis tujuan lalu lintas.	IP
Destination	Alamat tujuan traffic.	`10.66.XX.XX/32`
Protocol Type	Protokol traffic.	TCP
Port Type	Jenis port.	Port
Port	Konfigurasikan port yang ingin Anda izinkan atau batasi. Anda dapat memasukkan secara manual satu port berdasarkan pengaturan Port Type, atau klik Select untuk memilih Port Address Book yang telah dikonfigurasi sebelumnya dari buku alamat.	`0/0`
Application	Jenis aplikasi dari traffic tersebut.	ANY
Action	Aksi yang diambil terhadap traffic. Anda dapat mengizinkan atau menolak traffic melalui firewall VPC.	Deny

Contoh kebijakan firewall internal

Firewall internal mengontrol lalu lintas inbound dan outbound antar instance ECS untuk membatasi akses tidak sah. Kebijakan kontrol akses untuk firewall internal disinkronkan secara otomatis ke security group ECS dan mulai berlaku setelah dipublikasikan. Untuk informasi lebih lanjut mengenai konfigurasi kebijakan firewall internal, lihat Konfigurasi security group.

Aktifkan komunikasi ECS dalam kelompok kebijakan

Catatan

Berbeda dengan security group ECS standar yang secara default mengizinkan komunikasi antar instans dalam kelompok yang sama, firewall internal Cloud Firewall mengharuskan Anda membuat kebijakan secara eksplisit untuk mengaktifkan lalu lintas tersebut.

Contoh: ECS1 (alamat IP 10.33.XX.XX) dan ECS2 (alamat IP 10.66.XX.XX) berada dalam kelompok kebijakan sg-test. Contoh ini menunjukkan cara mengaktifkan komunikasi di antara keduanya.

Masuk ke Konsol Cloud Firewall.
Di panel navigasi kiri, pilih Prevention Configuration > Security Group Control > Security Group Configuration.
Di halaman Security Group Configuration, temukan kelompok kebijakan target dan klik Configure Policy di kolom Actions.

Di tab Inbound, klik Create Policy.

Konfigurasikan kebijakan inbound Allow. Parameter utama sebagai berikut:

Parameter	Deskripsi	Nilai contoh
Policy Type:	Jenis kebijakan.	Allow
Protocol Type	Jenis protokol traffic.	TCP
Port Range	Range port yang digunakan oleh traffic.	`0/0`
Source Type, Source	Pilih sumber traffic akses. Parameter ini wajib diisi saat arah kebijakan diatur ke Inbound. Anda dapat memilih jenis alamat sumber dan mengatur objek sumber berdasarkan jenis sumber.	Source Type: Policy Group Source Object: sg-test
Destination	Tujuan traffic. Parameter ini wajib diisi untuk kebijakan inbound.	Address Segment Access (Blok CIDR: 10.66.XX.XX) Catatan Untuk mengaktifkan komunikasi di antara semua instance ECS dalam kelompok kebijakan, atur Destination ke All ECS Instances. Untuk mengaktifkan komunikasi di antara instance ECS tertentu dalam kelompok kebijakan, atur Destination ke CIDR Block dan masukkan blok CIDR dari instance ECS pasangan.

Jika Anda menggunakan advanced security group, Anda juga perlu mengonfigurasi kebijakan outbound Allow.
Basic security group secara default mengizinkan seluruh lalu lintas outbound. Tidak diperlukan kebijakan outbound untuk basic security group.
Anda dapat mengonfigurasi kebijakan outbound mirip dengan kebijakan inbound. Parameter utama sebagai berikut:
- Source Type: IP
- Source: 10.66.XX.XX
- CIDR Block: 10.33.XX.XX

Aktifkan komunikasi ECS antar kelompok kebijakan

Contoh: ECS1 (alamat IP 10.33.XX.XX) dan ECS2 (alamat IP 10.66.XX.XX) berada dalam kelompok kebijakan firewall internal yang berbeda. Contoh ini menunjukkan cara mengaktifkan komunikasi di antara keduanya.

Masuk ke Konsol Cloud Firewall.
Di panel navigasi kiri, pilih Prevention Configuration > Security Group Control > Security Group Configuration.
Di halaman Security Group Configuration, temukan kelompok kebijakan yang berisi ECS1 dan klik Configure Policy di kolom Actions.

Di tab Inbound, klik Create Policy.

Konfigurasikan kebijakan inbound Allow. Parameter utama sebagai berikut:

Parameter	Deskripsi	Nilai contoh
Policy Type	Jenis kebijakan.	Allow
Protocol Type	Jenis protokol traffic.	TCP
Port Range	Range port yang digunakan oleh traffic.	`0/0`
Source Type, Source	Sumber traffic. Parameter ini wajib diisi untuk kebijakan inbound. Anda harus memilih jenis sumber lalu menentukan objek sumber.	Source Type: IP Source Object: `10.66.XX.XX`
Destination	Tujuan traffic. Parameter ini wajib diisi untuk kebijakan inbound.	Address Segment Access (Blok CIDR: 10.33.XX.XX) Catatan Jika Anda ingin instance ECS dalam kelompok kebijakan sg-test2 mengakses semua instance ECS dalam kelompok kebijakan sg-test1, atur Destination ke All ECS Instances. Jika Anda ingin instance ECS dalam kelompok kebijakan sg-test2 mengakses instance ECS tertentu dalam kelompok kebijakan sg-test1, atur Destination ke CIDR Block dan masukkan blok CIDR dari instance ECS dalam kelompok kebijakan sg-test1.

Jika Anda menggunakan advanced security group, Anda juga perlu mengonfigurasi kebijakan outbound Allow.
Kelompok keamanan dasar mengizinkan semua lalu lintas keluar secara default, sehingga tidak memerlukan kebijakan arah keluar.
Anda dapat mengonfigurasi kebijakan outbound mirip dengan kebijakan inbound. Parameter utama sebagai berikut:
- Source Type: IP
- Source: 10.33.XX.XX
- CIDR Block: 10.66.XX.XX
Demikian pula, konfigurasikan kebijakan inbound dan outbound Allow yang sesuai untuk ECS2.