All Products
Search
Document Center

Cloud Firewall:Lindungi traffic terpilih antar-VPC dengan TR dalam mode manual

Last Updated:Apr 09, 2026

Saat menggunakan Transit Router (TR), Anda dapat mengonfigurasi rute secara manual untuk mengarahkan traffic antara TR dan firewall VPC. Hal ini memungkinkan firewall VPC melindungi traffic terpilih antara VPC dan Virtual Border Router (VBR) yang terhubung ke TR. Topik ini menjelaskan cara menghubungkan TR ke firewall VPC.

Skenario yang berlaku

Cloud Firewall dapat melindungi traffic antara instans jaringan yang terhubung melalui Cloud Enterprise Network (CEN) Transit Router (TR). Instans jaringan tersebut mencakup VPC, Virtual Border Router (VBR), instans Cloud Connect Network (CCN), dan gerbang VPN.

Topik ini menjelaskan cara mengonfigurasi firewall VPC dalam mode pengalihan lalu lintas manual untuk melindungi traffic antara beberapa VPC di wilayah yang sama.

Diagram skenario

Prasyarat

Anda telah membuat instans Cloud Enterprise Network (CEN) di konsol CEN, bersama dengan tiga VPC (VPC1, VPC2, dan DMZ VPC dalam contoh ini) dan dua VBR (IDC-1 dan IDC-2 dalam contoh ini). Untuk informasi selengkapnya, lihat Buat instans CEN.

Dalam contoh ini, traffic antara VPC1, IDC-1, IDC-2, dan VPC lainnya dilindungi oleh Cloud Firewall. Traffic antara VPC2 dan DMZ VPC tidak dilindungi. Traffic dari VPC atau IDC mana pun ke rute default 0.0.0.0/0 tidak dilindungi.

Langkah 1: Buat VPC untuk firewall vpc

Firewall VPC memerlukan VPC khusus. Anda harus membuat instans VPC khusus untuk tujuan ini.

  1. Masuk ke Konsol VPC.

  2. Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat VPC, lalu klik Create VPC.

  3. Pada halaman Create VPC, konfigurasikan VPC dengan informasi berikut, lalu klik OK.

    Parameter

    Deskripsi

    Region

    Pilih wilayah tempat Anda ingin mengaktifkan firewall vpc.

    Name

    Masukkan nama untuk instans VPC. Contoh ini menggunakan FW VPC.

    IPv4 CIDR

    Tentukan blok CIDR IPv4 utama untuk VPC. Blok tersebut harus merupakan blok CIDR pribadi dengan masker minimal /26 dan tidak boleh bentrok dengan blok CIDR layanan Anda.

    vSwitch

    Tentukan vSwitch untuk koneksi instans jaringan. Setiap vSwitch harus memiliki blok CIDR pribadi dengan masker minimal /28.

    Buat tiga vSwitch. Dua vSwitch digunakan untuk koneksi instans jaringan TR. Keduanya harus dibuat di zona ketersediaan berbeda yang mendukung layanan TR. Kami menyarankan Anda memilih zona ketersediaan tempat layanan Anda ditempatkan untuk mengurangi latensi. vSwitch ketiga digunakan untuk firewall vpc dan dapat dibuat di zona ketersediaan mana pun.

    Dalam contoh ini, vSwitch Primary untuk koneksi TR diberi nama TR-Vswitch-01, vSwitch Secondary diberi nama TR-VSwitch-02, dan vSwitch untuk firewall vpc diberi nama Cfw-Vswitch.

  4. Pada halaman VPC, temukan instans VPC firewall FW VPC, lalu klik ID instans-nya.

  5. Pada tab Resource Management, klik Add di bagian Route Table.

  6. Di kotak dialog Create Route Table, konfigurasikan tabel rute dengan informasi berikut, lalu klik OK.

    Parameter

    Deskripsi

    VPC

    Pilih VPC firewall yang telah Anda buat. Contoh ini menggunakan FW VPC.

    Associated Resource Type

    Pilih vSwitch sebagai jenis resource yang akan dikaitkan dengan tabel rute.

    Name

    Masukkan nama untuk tabel rute kustom. Contoh ini menggunakanVPC-CFW-RouteTable.

Langkah 2: Hubungkan VPC firewall ke TR

Pada langkah ini, Anda akan menghubungkan instans VPC (FW VPC) ke Transit Router Edisi Perusahaan.

  1. Masuk ke Konsol CEN.
  2. Pada halaman CEN Instance, temukan instans CEN tempat Anda ingin mengalihkan traffic ke firewall VPC, lalu klik ID instans-nya.

  3. Pada tab Basic Settings halaman detail instans, klik Create Connection di kolom Actions atau klik ikon 添加图标 di sebelah kanan informasi VPC.

  4. Pada halaman Create Intra-Region Connection, konfigurasikan koneksi antara FW VPC dan Transit Router.

    Tabel berikut menjelaskan parameter utama untuk membuat koneksi jaringan.

    Parameter

    Deskripsi

    Network Type

    Jenis instans jaringan yang akan dihubungkan melalui CEN. Pilih VPC.

    Region

    Wilayah instans jaringan. Ini harus sama dengan wilayah tempat FW VPC dibuat.

    Networks

    Instans jaringan yang akan dihubungkan melalui CEN. Pilih ID instans FW VPC.

    VSwitch

    vSwitch yang akan dikaitkan dengan koneksi jaringan. Pilih TR-Vswitch-01 untuk vSwitch Primary dan TR-VSwitch-02 untuk vSwitch Secondary.

    Untuk informasi tentang parameter lainnya, lihat Buat koneksi VPC dengan Transit Router Edisi Perusahaan.

Langkah 3: Buat koneksi jaringan untuk VPC dan VBR

Anda perlu membuat koneksi instans jaringan untuk VPC1, VPC2, DMZ VPC, IDC-1, dan IDC-2 agar dapat menyambungkannya ke instans CEN.

Untuk informasi selengkapnya, lihat Buat koneksi VPC dengan Transit Router Edisi Perusahaan.

Langkah 4: Buat firewall vpc

Buat firewall VPC untuk FW VPC.

Di Konsol Cloud Firewall, navigasikan ke Firewall > VPC Firewall > CEN(Enterprise Edition). Temukan Transit Router tempat Anda ingin mengaktifkan firewall, lalu klik Create di kolom Actions. Saat membuat firewall VPC, pilih Manual untuk Traffic Redirection Mode, pilih FW VPC untuk VPC, dan pilih Cfw-Vswitch untuk vSwitch. Untuk informasi selengkapnya, lihat Konfigurasikan firewall VPC untuk Transit Router Edisi Perusahaan.

Penting
  • VPC yang dikonfigurasi untuk firewall harus berada dalam akun yang sama dengan CEN TR. Jika tidak, firewall VPC tidak dapat dibuat.

  • Setelah langkah ini, Cloud Firewall membuat antarmuka jaringan elastis (ENI) di Cfw-Vswitch untuk pengalihan traffic. Anda dapat melihat ENI ini di halaman Network & Security > ENIs di Konsol ECS. Sistem memberinya nama default cfw-bonding-eni. ENI ini adalah antarmuka jaringan virtual yang digunakan untuk konfigurasi rute. Secara default, kluster firewall mengikat beberapa ENI virtual di zona ketersediaan berbeda untuk memastikan ketersediaan tinggi. Dalam mode pengalihan lalu lintas manual, kluster firewall secara default menggunakan mode aktif-aktif di dua zona ketersediaan yang dialokasikan secara otomatis.

Langkah 5: Konfigurasikan rute untuk VPC firewall

Konfigurasikan rute VPC untuk mengarahkan traffic dari TR ke firewall VPC dan kembali.

  1. Masuk ke Konsol VPC.

  2. Pada halaman Route Table, pilih tabel rute sistem instans VPC firewall.

  3. Pada tab Route Entry List, pilih tab Custom.

  4. Klik Add Route Entry, konfigurasikan entri rute berikut, dan hapus semua entri rute kustom lain yang ada.

    Deskripsi parameter utama:

    • Destination CIDR Block: Pilih 0.0.0.0/0.

    • Next Hop Type: Pilih ENI.

    • ENI: Pilih Cfw-bonding-eni, yang dibuat pada Langkah 4.

    Setelah langkah ini selesai, traffic dari TR ke VPC firewall dialihkan ke firewall VPC.

  5. Pada halaman Route Table, buka tabel rute kustom VPC-CFW-RouteTable yang telah Anda buat sebelumnya. Pada tab Associated vSwitch, klik Associate vSwitch. Untuk vSwitch, pilih Cfw-Vswitch. Lalu, klik OK.

  6. Pada tab Route Entry List, pilih tab Custom. Klik Add Route Entry, konfigurasikan entri rute berikut, dan hapus semua entri rute kustom lain yang ada.

    Deskripsi parameter utama:

    • Destination CIDR Block: Pilih 0.0.0.0/0.

    • Next Hop Type: Pilih Transit Router.

    • Transit Router: Pilih koneksi instans jaringan untuk firewall VPC.

    Firewall VPC kemudian meneruskan kembali traffic yang telah diproses ke TR.

Langkah 6: Konfigurasikan rute untuk TR

Konfigurasikan rute pada Transit Router untuk VPC1, VPC2, dan VPC firewall guna memastikan bahwa traffic antara VPC1 dan VPC2 melewati firewall VPC.

  1. Masuk ke Konsol CEN.
  2. Di konsol Cloud Enterprise Network, temukan Transit Router tempat Anda ingin mengaktifkan firewall VPC, klik ID instans-nya, lalu buka tab Route Table.

  3. Buat dua tabel rute: Cfw-Untrust-RouteTable dan Cfw-Trust-RouteTable.

    1. Pada tab Route Table, klik Create Route Table.

    2. Di kotak dialog Create Route Table, buat tabel rute Cfw-Untrust-RouteTable dan Cfw-Trust-RouteTable.

      Transit Router: Pilih Transit Router tempat Anda ingin mengaktifkan firewall VPC.

      Catatan
      • Tabel rute Cfw-Untrust-RouteTable: Meneruskan traffic dari VPC1, IDC-1, dan IDC-2 ke FW VPC.

      • Tabel rute Cfw-Trust-RouteTable: Meneruskan traffic dari FW VPC ke VPC1, VPC2, DMZ VPC, IDC-1, dan IDC-2.

  4. Konfigurasikan tabel rute Cfw-Trust-RouteTable.

    Konfigurasikan tabel rute Cfw-Trust-RouteTable agar secara otomatis mempelajari rute dari VPC1, VPC2, DMZ VPC, IDC-1, dan IDC-2, serta mengaitkan traffic dari FW VPC dengan Cfw-Trust-RouteTable.

    1. Klik tabel rute Cfw-Trust-RouteTable yang telah dibuat, lalu di panel detail, klik tab Route Propagation.

    2. Pada tab Route Propagation, klik Create Route Propagation.

    3. Di kotak dialog Create Route Propagation, pilih VPC1, VPC2, DMZ VPC, IDC-1, dan IDC-2 dari daftar drop-down Attachments to Propagate Routes From. Lalu, klik OK.

      Setelah propagasi rute diaktifkan, Anda dapat melihat entri rute yang dipelajari secara otomatis di tab Route Entry.

    4. Pada tab Route Table, klik tabel rute sistem di daftar sisi kiri, lalu klik tab Route Table Association di panel detail tabel rute.

    5. Pada tab Route Table Association tabel rute sistem, klik tabel rute Cfw-Trust-RouteTable yang telah dibuat, lalu pada tab Route Table Association, klik Create Association.

    6. Pada halaman Create Association, pilih FW VPC dari daftar drop-down Route Table Association. Lalu, klik OK.

  5. Konfigurasikan tabel rute Cfw-Untrust-RouteTable.

    Secara default, tabel rute kustom Cfw-Untrust-RouteTable mengarahkan traffic ke instans VPC.

    1. Klik tabel rute Cfw-Untrust-RouteTable yang telah dibuat, lalu di panel detail, klik tab Route Entry.

    2. Pada tab Route Entry, klik Create Route Entry.

    3. Di kotak dialog Add Route Entry, konfigurasikan entri rute.

      Deskripsi parameter:

      • Destination CIDR: Pilih rentang alamat 10.0.0.0/8.

      • Blackhole Route: Pilih opsi default No.

      • Next hop: Pilih instans VPC firewall (FW VPC).

    4. Ulangi langkah-langkah sebelumnya untuk menambahkan rute berikut.

      • Tambahkan rute untuk blok CIDR 172.16.0.0/12 dengan lompatan berikutnya diatur ke instans VPC firewall (FW VPC).

      • Tambahkan rute untuk blok CIDR 192.168.0.0/16 dengan lompatan berikutnya diatur ke instans VPC firewall (FW VPC).

      • Tambahkan rute untuk blok CIDR 61.20.0.0/16 dengan lompatan berikutnya diatur ke instans VPC firewall (FW VPC).

      • Tambahkan rute untuk blok CIDR 0.0.0.0/0 dengan lompatan berikutnya diatur ke DMZ VPC.

  6. Konfigurasikan tabel rute sistem untuk mengarahkan traffic dari VPC1, IDC-1, dan IDC-2 melalui Cloud Firewall.

    Peringatan

    Operasi ini akan menyebabkan gangguan traffic singkat. Kami menyarankan Anda melakukannya pada jam sepi atau dalam jendela pemeliharaan yang dijadwalkan.

    1. Pada tab Route Table, klik tabel rute sistem di daftar sisi kiri, lalu klik tab Route Propagation di panel detail.

    2. Pada tab Route Propagation, hapus entri propagasi rute untuk VPC1, IDC-1, FW VPC, dan IDC-2.

      Setelah operasi ini, hanya entri propagasi rute untuk VPC2 dan DMZ VPC yang tersisa di tabel rute sistem Anda. Anda dapat melihat entri rute yang dipelajari secara otomatis di tab Route Entries.

    3. Pada tab Route Entry, klik Create Route Entry.

    4. Di kotak dialog Add Route Entry, tambahkan rute berikut.

      • Tambahkan rute untuk blok CIDR 10.0.0.0/24 (VPC1) dengan lompatan berikutnya diatur ke instans VPC firewall (FW VPC).

      • Tambahkan rute untuk blok CIDR 172.16.0.0/12 (IDC-1) dengan lompatan berikutnya diatur ke instans VPC firewall (FW VPC).

      • Tambahkan rute untuk blok CIDR 61.20.0.0/16 (IDC-2) dengan lompatan berikutnya diatur ke instans VPC firewall (FW VPC).

  7. Alihkan asosiasi tabel rute untuk mengarahkan traffic dari VPC1, IDC-1, dan IDC-2 ke VPC lain melalui Cloud Firewall.

    Kaitkan traffic dari VPC1, IDC-1, dan IDC-2 dengan Cfw-Untrust-RouteTable.

    Peringatan

    Operasi ini akan menyebabkan gangguan traffic singkat. Kami menyarankan Anda melakukannya pada jam sepi atau dalam jendela pemeliharaan yang dijadwalkan.

    1. Pada tab Route Table Association tabel rute sistem, hapus asosiasi untuk VPC1, IDC-1, dan IDC-2.

    2. Pada tab Route Table Association tabel rute Cfw-Untrust-RouteTable, klik Create Association.

    3. Di kotak dialog Create Association, pilih VPC1, IDC-1, dan IDC-2 dari daftar drop-down Route Table Association. Lalu, klik OK.

    4. Pada tab Route Table Association, klik Create Route Forwarding.

    5. Di kotak dialog Add Route Forwarding, dari daftar drop-down Route Table Association, pilih VPC1, IDC-1, dan IDC-2. Lalu, klik OK.

Setelah langkah ini selesai, CEN mengarahkan traffic ke instans VPC firewall VPC.

Langkah 7: Verifikasi konfigurasi penerusan

Anda dapat memeriksa log traffic untuk traffic dari instans CEN. Kehadiran log traffic yang relevan mengonfirmasi bahwa konfigurasi penerusan berhasil. Contohnya:

  • Komunikasi antara VPC1 dan VPC2 berhasil, dan log traffic dihasilkan.

  • Komunikasi antara VPC2 dan DMZ VPC berhasil, tetapi tidak ada log traffic yang dihasilkan.

Untuk langkah-langkah detail, lihat audit log.