全部产品
Search

搜索本产品

    Cloud Firewall:Konfigurasikan kebijakan kontrol akses

    文档中心

    Cloud Firewall:Konfigurasikan kebijakan kontrol akses

    更新时间:Jul 02, 2025

    Topik ini menjelaskan cara mengonfigurasi kebijakan kontrol akses untuk Firewall internet, firewall virtual private cloud (VPC), dan firewall internal.

    Konfigurasikan kebijakan kontrol akses untuk Firewall internet

    Di dalam Cloud Firewall, lalu lintas arah masuk dan arah keluar juga dikenal sebagai lalu lintas utara-selatan atau lalu lintas internet. Anda dapat mengonfigurasi kebijakan kontrol akses di Konsol Cloud Firewall untuk mengelola lalu lintas utara-selatan. Setelah membuat kebijakan kontrol akses, Cloud Firewall akan melakukan kontrol akses yang presisi guna memastikan keamanan jaringan. Untuk informasi lebih lanjut tentang parameter kebijakan kontrol akses yang dapat dikonfigurasi untuk Firewall internet, lihat Buat kebijakan kontrol akses arah masuk dan arah keluar untuk Firewall internet.

    Konfigurasikan kebijakan arah masuk untuk mengizinkan lalu lintas internet yang ditujukan ke port tertentu

    Sebagai contoh, Anda ingin membuat kebijakan arah masuk untuk mengizinkan lalu lintas internet yang hanya ditujukan ke port TCP 80 dari sebuah Instance Elastic Compute Service (ECS). Alamat IP instance ECS adalah 10.1.XX.XX, dan alamat IP elastis (EIP) adalah 200.2.XX.XX/32.

    1. Masuk ke Konsol Cloud Firewall.

    2. Di panel navigasi sebelah kiri, pilih Prevention Configuration > Access Control > Internet Border.

    3. Pada tab Inbound, klik Create Policy. Di panel Create Inbound Policy, klik tab Create Policy dan konfigurasikan kebijakan.

      1. Konfigurasikan kebijakan untuk mengizinkan lalu lintas internet dari semua sumber ke instance ECS dan klik OK.

        Tabel berikut menjelaskan parameter:

        Parameter

        Deskripsi

        Contoh

        Source Type

        Penginisiasi lalu lintas jaringan. Anda harus memilih jenis sumber dan memasukkan alamat sumber berdasarkan jenis sumber yang dipilih.

        IP

        Source

        0.0.0.0/0

        Catatan

        Nilai 0.0.0.0/0 menentukan semua alamat IP publik.

        Destination Type

        Penerima lalu lintas jaringan. Anda harus memilih jenis tujuan dan memasukkan alamat tujuan ke mana lalu lintas jaringan dikirim berdasarkan jenis tujuan yang dipilih.

        IP

        Destination

        200.2.XX.XX/32

        Protocol Type

        Protokol lapisan transportasi. Nilai valid: TCP, UDP, ICMP, dan ANY. Jika Anda tidak mengetahui jenis protokol, pilih ANY.

        TCP

        Port Type

        Jenis port dan nomor port dari tujuan.

        Port

        Port

        80/80

        Application

        ANY

        Action

        Tindakan pada lalu lintas jika lalu lintas memenuhi kondisi yang Anda tentukan untuk kebijakan kontrol akses.

        Mengizinkan

        Priority

        Prioritas kebijakan kontrol akses. Nilai default: Lowest.

        Tertinggi

        Enabling Status

        Tentukan apakah akan mengaktifkan kebijakan. Jika Anda mematikan Status saat membuat kebijakan kontrol akses, Anda dapat mengaktifkan kebijakan di daftar kebijakan kontrol akses.

        Aktif

      2. Konfigurasikan kebijakan untuk menolak lalu lintas internet yang ditujukan ke semua instance ECS dan klik OK.

        Konfigurasikan kebijakan Tolak berdasarkan deskripsi untuk kebijakan Izinkan sebelumnya. Daftar berikut menjelaskan parameter:

        • Destination: Masukkan 0.0.0.0/0.

          Catatan

          Nilai 0.0.0.0/0 menentukan alamat IP dari semua instance ECS.

        • Protocol Type: Pilih ANY.

        • Port: Masukkan 0/0.

          Catatan

          Nilai 0/0 menentukan semua port dari instance ECS.

        • Application: Pilih ANY.

        • Action: Pilih Deny.

        • Priority: Pilih Terendah.

      Setelah menyelesaikan konfigurasi, pastikan prioritas kebijakan Allow lebih tinggi daripada kebijakan Deny.

    Konfigurasikan kebijakan kontrol akses untuk firewall VPC

    Firewall VPC dapat memantau dan mengontrol lalu lintas antara dua VPC. Lalu lintas ini juga disebut sebagai lalu lintas timur-barat. Jika Anda ingin mengelola lalu lintas antara dua VPC, Anda dapat membuat kebijakan kontrol akses untuk menolak lalu lintas dari sumber yang mencurigakan atau berbahaya. Anda juga dapat mengizinkan lalu lintas dari sumber yang tepercaya dan menolak lalu lintas dari sumber lainnya. Untuk informasi lebih lanjut tentang parameter kebijakan kontrol akses yang dapat dikonfigurasi untuk firewall VPC, lihat Buat kebijakan kontrol akses untuk firewall VPC.

    Tolak lalu lintas antara instance ECS yang berada di VPC berbeda

    Catatan

    Jika dua VPC terpasang ke instance Cloud Enterprise Network (CEN) yang sama atau terhubung menggunakan sirkuit Express Connect, instance ECS yang berada di VPC tersebut dapat berkomunikasi satu sama lain.

    Sebagai contoh, Anda ingin menolak akses dari ECS 1 ke ECS 2. ECS 1 berada di VPC 1, dan ECS 2 berada di VPC 2. VPC tersebut terpasang ke instance CEN yang sama. Alamat IP ECS 1 adalah 10.33.XX.XX/32, dan alamat IP ECS 2 adalah 10.66.XX.XX/32.

    1. Masuk ke Konsol Cloud Firewall

    2. Di panel navigasi sebelah kiri, pilih Prevention Configuration > Access Control > VPC Border.

    3. Pada halaman VPC Border, klik Create Policy.

    4. Di kotak dialog Create Policy - VPC Border, konfigurasikan parameter dan klik OK.

      Tabel berikut menjelaskan parameter:

      Parameter

      Deskripsi

      Contoh

      Source Type

      Pilih tipe sumber lalu lintas.

      IP

      Source

      Tentukan alamat sumber lalu lintas.

      10.33.XX.XX/32

      Destination Type

      Pilih tipe tujuan lalu lintas.

      IP

      Destination

      Tentukan alamat tujuan lalu lintas.

      10.66.XX.XX/32

      Protocol Type

      Pilih jenis protokol lalu lintas.

      TCP

      Port Type

      Pilih tipe port.

      Port

      Port

      Tentukan rentang port di mana Anda ingin mengelola lalu lintas. Jika Anda mengatur Port Type ke Port, masukkan rentang port. Jika Anda mengatur Jenis Port ke Buku Alamat, konfigurasikan parameter Port Address Book dan klik Select.

      0/0

      Application

      Pilih tipe aplikasi lalu lintas.

      ANY

      Action

      Pilih tindakan pada lalu lintas.

      Tolak

    Konfigurasikan kebijakan kontrol akses untuk firewall internal

    Firewall internal dapat mengelola lalu lintas arah masuk dan arah keluar antar instance ECS untuk memblokir akses tidak sah. Kebijakan kontrol akses yang Anda konfigurasikan dan publikasikan untuk firewall internal di Konsol Cloud Firewall disinkronkan ke grup keamanan ECS. Untuk informasi lebih lanjut tentang parameter kebijakan kontrol akses yang dapat dikonfigurasi untuk firewall internal, lihat Buat kebijakan kontrol akses untuk firewall internal antar instance ECS.

    Izinkan lalu lintas antar instance ECS dalam grup kebijakan yang sama

    Catatan

    Jika Anda mengonfigurasi aturan grup keamanan di Konsol ECS, instance ECS dalam grup keamanan ECS yang sama dapat berkomunikasi satu sama lain. Ini berbeda dari firewall internal Cloud Firewall. Secara default, grup kebijakan yang dibuat untuk firewall internal dapat berisi beberapa instance ECS, tetapi instance tersebut tidak dapat berkomunikasi satu sama lain.

    Sebagai contoh, Anda ingin mengizinkan lalu lintas antara ECS 1 dan ECS 2 yang berada di grup kebijakan sg-test. Alamat IP ECS 1 adalah 10.33.XX.XX, dan alamat IP ECS 2 adalah 10.66.XX.XX.

    1. Masuk ke Konsol Cloud Firewall.

    2. Di panel navigasi sebelah kiri, pilih Prevention Configuration > Access Control > Internal Border.

    3. Pada halaman Internal Border, temukan grup kebijakan yang diperlukan dan klik Configure Policy di kolom Actions.

    4. Pada tab Inbound, klik Create Policy.

      Tabel berikut menjelaskan parameter kebijakan arah masuk:

      Parameter

      Deskripsi

      Contoh

      Policy Type:

      Pilih tipe kebijakan.

      Izinkan

      Protocol Type

      Pilih jenis protokol lalu lintas.

      TCP

      Port Range

      Tentukan rentang port di mana Anda ingin mengelola lalu lintas.

      0/0

      Source Type dan Source

      Tentukan alamat sumber lalu lintas. Jika Anda mengatur Arah ke Inbound, Anda harus mengonfigurasi parameter ini. Anda dapat mengonfigurasi Sumber berdasarkan nilai Jenis Sumber.

      • Jenis Sumber: Grup Kebijakan

      • Sumber: sg-test

      Destination

      Tentukan alamat tujuan lalu lintas. Jika Anda mengatur Arah ke Arah Masuk, Anda harus mengonfigurasi parameter ini.

      Blok CIDR: 10.66.XX.XX

      Catatan

      • Jika Anda ingin semua instance ECS dalam grup kebijakan berkomunikasi satu sama lain, atur Destination ke All ECS Instances.

      • Jika Anda ingin instance ECS tertentu dalam grup kebijakan berkomunikasi satu sama lain, atur Destination ke CIDR Block dan masukkan blok CIDR dari instance ECS peer.

    5. Konfigurasikan kebijakan arah keluar. Langkah ini diperlukan jika Anda menggunakan grup keamanan tingkat lanjut.

      Secara default, grup keamanan dasar mengizinkan lalu lintas arah keluar. Jika Anda menggunakan grup keamanan dasar, Anda tidak perlu mengonfigurasi kebijakan arah keluar.

      Konfigurasikan kebijakan arah keluar berdasarkan deskripsi untuk kebijakan arah masuk. Daftar berikut menjelaskan parameter:

      • Source Type: IP

      • Source: 10.66.XX.XX

      • CIDR Block: 10.33.XX.XX

    Izinkan lalu lintas antar instance ECS dalam grup kebijakan yang berbeda

    Sebagai contoh, Anda ingin mengizinkan lalu lintas antara ECS 1 dan ECS 2 yang berada di grup kebijakan yang berbeda dari firewall internal. Alamat IP ECS 1 adalah 10.33.XX.XX, dan alamat IP ECS 2 adalah 10.66.XX.XX.

    1. Masuk ke Konsol Cloud Firewall.

    2. Di panel navigasi sebelah kiri, pilih Prevention Configuration > Access Control > Internal Border.

    3. Pada halaman Internal Border, temukan grup kebijakan tempat ECS 1 berada dan klik Configure Policy di kolom Actions.

    4. Pada tab Inbound, klik Create Policy.

      Tabel berikut menjelaskan parameter kebijakan arah masuk:

      Parameter

      Deskripsi

      Contoh

      Tipe Kebijakan

      Pilih tipe kebijakan.

      Izinkan

      Protocol Type

      Pilih jenis protokol lalu lintas.

      TCP

      Port Range

      Tentukan rentang port di mana Anda ingin mengelola lalu lintas.

      0/0

      Source Type dan Source

      Tentukan alamat sumber lalu lintas. Jika Anda mengatur Arah ke Arah Masuk, Anda harus mengonfigurasi parameter ini. Anda dapat mengonfigurasi Sumber berdasarkan nilai Jenis Sumber.

      • Jenis Sumber: IP

      • Sumber: 10.66.XX.XX

      Destination

      Tentukan alamat tujuan lalu lintas. Jika Anda mengatur Arah ke Arah Masuk, Anda harus mengonfigurasi parameter ini.

      Blok CIDR: 10.33.XX.XX

      Catatan

      • Jika Anda ingin instance ECS dalam grup kebijakan sg-test2 mengakses semua instance ECS dalam grup kebijakan sg-test1, atur Destination ke All ECS Instances.

      • Jika Anda ingin instance ECS dalam grup kebijakan sg-test2 mengakses instance ECS tertentu dalam grup kebijakan sg-test1, atur Destination ke CIDR block dan masukkan blok CIDR dari instance ECS tertentu dalam grup kebijakan sg-test1.

    5. Konfigurasikan kebijakan arah keluar. Langkah ini diperlukan jika Anda menggunakan grup keamanan tingkat lanjut.

      Secara default, grup keamanan dasar mengizinkan lalu lintas arah keluar. Jika Anda menggunakan grup keamanan dasar, Anda tidak perlu mengonfigurasi kebijakan arah keluar.

      Konfigurasikan kebijakan arah keluar berdasarkan deskripsi untuk kebijakan arah masuk. Daftar berikut menjelaskan parameter:

      • Source Type: IP

      • Source: 10.33.XX.XX

      • CIDR Block: 10.66.XX.XX

    6. Konfigurasikan kebijakan arah masuk dan arah keluar untuk mengizinkan lalu lintas ECS 2 berdasarkan konfigurasi sebelumnya.