All Products
Search

This Product

    Cloud Firewall:Konfigurasikan firewall VPC untuk TR Edisi Dasar

    Document Center

    Cloud Firewall:Konfigurasikan firewall VPC untuk TR Edisi Dasar

    Last Updated:Apr 02, 2026

    Jika instans jaringan Anda—seperti Virtual Private Cloud (VPC), Virtual Border Router (VBR), atau Cloud Connect Network (CCN)—terhubung melalui instans Cloud Enterprise Network (CEN) yang menggunakan router transit Edisi Dasar, Anda dapat menggunakan firewall VPC untuk melindungi traffic antar instans tersebut dan mengamankan aset Anda. Topik ini menjelaskan cara mengonfigurasi firewall VPC untuk router transit Edisi Dasar.

    Ikhtisar fitur

    Cara kerja

    Setelah Anda mengaktifkan firewall VPC, Cloud Firewall akan mencegat dan memfilter traffic antar VPC. Cloud Firewall menerapkan langkah-langkah keamanan seperti Deep Packet Inspection (DPI), aturan intrusion prevention system (IPS), threat intelligence, virtual patching, dan kebijakan access control untuk menentukan apakah traffic diizinkan atau diblokir. Hal ini mencegah akses tidak sah serta mengamankan traffic antar aset jaringan pribadi Anda.

    Diagram berikut menunjukkan contoh bagaimana firewall VPC melindungi traffic dalam topologi router transit Edisi Dasar.

    Untuk informasi lebih lanjut mengenai cakupan perlindungan, lihat Apa itu Cloud Firewall?

    Dampak potensial

    Saat membuat firewall VPC, Anda tidak perlu mengubah topologi jaringan saat ini. Anda dapat membuat firewall VPC dan mengonfigurasi pengalihan traffic otomatis untuk melindungi aset tanpa memengaruhi layanan Anda. Proses pembuatan memerlukan waktu sekitar 5 menit. Kami menyarankan agar Anda mengaktifkan firewall VPC selama jam sepi.

    Mengaktifkan atau menonaktifkan firewall VPC memerlukan waktu 5 hingga 30 menit, tergantung pada jumlah entri rute. Selama proses ini, koneksi berdurasi panjang mungkin mengalami gangguan sementara yang berlangsung beberapa detik. Koneksi berdurasi pendek tidak terpengaruh.

    Catatan

    Sebelum mengaktifkan firewall VPC, pastikan aplikasi Anda memiliki mekanisme retransmisi TCP otomatis. Pantau status koneksi aplikasi Anda selama operasi untuk mencegah gangguan akibat tidak adanya mekanisme retransmisi.

    Batasan

    Batas

    Deskripsi

    Solusi

    Batasan VPC

    Saat Anda mengaktifkan firewall VPC, instans VPC bernama Cloud_Firewall_VPC akan dibuat. Pastikan kuota VPC akun Anda mencukupi. Untuk informasi lebih lanjut mengenai kuota VPC, lihat Batasan dan kuota.

    Contohnya, kuota default jumlah VPC yang dapat dibuat di suatu wilayah adalah 10. Jika Anda mengaktifkan firewall VPC, satu VPC akan dibuat secara otomatis. Dalam kasus ini, Anda hanya dapat membuat maksimal 9 VPC tambahan.

    Jika kuota Anda telah tercapai, Anda perlu menambah kuota VPC. Untuk informasi lebih lanjut, lihat Kelola kuota VPC.

    Pastikan jumlah instans jaringan (termasuk VPC, VBR, dan CCN) yang disambungkan ke router transit Edisi Dasar di setiap wilayah tidak melebihi kuota. Jumlah VPC mencakup Cloud_Firewall_VPC yang dibuat secara otomatis saat Anda mengaktifkan firewall VPC. Untuk informasi lebih lanjut mengenai batasan jumlah instans jaringan untuk router transit Edisi Dasar, lihat Batasan.

    Contohnya, jika setiap router transit Edisi Dasar mendukung 10 instans jaringan secara default, dan pengaktifan firewall VPC secara otomatis membuat satu VPC, Anda hanya dapat menyambungkan maksimal 9 instans jaringan tambahan.

    Kami menyarankan agar Anda menggunakan router transit Edisi Perusahaan. Untuk bantuan, .

    Instans CEN dapat melindungi maksimal 31 VPC di wilayah yang sama.

    Tidak ada

    Batasan perutean

    Instans CEN tidak boleh memiliki kebijakan perutean apa pun dengan Policy Behavior diatur ke Deny, kecuali kebijakan perutean deny default dengan prioritas 5000 yang dibuat otomatis oleh CEN. Jika tidak, layanan Anda akan terganggu.

    Kami menyarankan agar Anda menghapus kebijakan perutean terkait. Untuk bantuan, .

    Setelah Anda mengaktifkan firewall VPC, Cloud Firewall secara otomatis menambahkan entri rute kustom ke tabel rute VPC. Satu tabel rute VPC mendukung maksimal 200 entri rute kustom. Jika jumlah entri rute kustom di tabel rute VPC telah mencapai batas, Anda tidak dapat mengaktifkan firewall VPC.

    Tingkatkan kuota entri rute kustom.

    Anda perlu meningkatkan kuota entri rute kustom untuk tabel rute VPC di akun Anda. Untuk informasi lebih lanjut, lihat Kelola kuota.

    Pastikan jumlah entri rute di instans CEN tidak melebihi kuota. Jumlah ini mencakup entri rute yang ditambahkan secara otomatis saat Anda mengaktifkan firewall VPC. Untuk informasi lebih lanjut mengenai jumlah entri rute yang didukung di instans CEN, lihat Batasan.

    Kami menyarankan agar Anda membatasi jumlah entri rute yang dipublikasikan hingga 100. Jika diperlukan, .

    Anda tidak dapat mengaktifkan firewall VPC jika VPC memiliki tabel rute kustom yang dikaitkan ke vSwitch.

    Anda dapat menghapus tabel rute kustom atau memutuskan kaitan vSwitch dari tabel rute kustom tersebut.

    Batasan jenis traffic

    • Firewall VPC tidak melindungi traffic IPv6.

    • Traffic yang ditujukan ke blok CIDR layanan cloud (100.64.0.0/10) tidak dialihkan ke firewall VPC untuk perlindungan.

    Tidak ada

    Batasan lainnya

    Jika Anda mengaktifkan firewall VPC sebelum 1 Mei 2021 dan menggunakan blok CIDR publik sebagai CIDR privat (blok selain 10.0.0.0/8, 172.16.0.0/12, atau 192.168.0.0/16) atau mengalihkan traffic dua arah dari rentang alamat IP /32, layanan Anda mungkin terpengaruh:

    • Saat mengakses aset lintas VPC, traffic mungkin hanya melewati firewall VPC dalam satu arah. Hal ini dapat menyebabkan data log traffic tidak lengkap dan berpotensi menyebabkan kegagalan perlindungan untuk access control Lapisan 4 dan Lapisan 7 serta IPS.

    • Saat mengakses aset Server Load Balancer (SLB) atau ApsaraDB for RDS lintas VPC, kehilangan paket (packet loss) mungkin terjadi karena traffic menuju dan dari SLB serta ApsaraDB for RDS mungkin melewati jalur yang berbeda. Hal ini dapat menyebabkan layanan SLB dan ApsaraDB for RDS tidak dapat diakses.

    Catatan

    Batasan ini tidak berlaku bagi pengguna yang mengaktifkan firewall VPC pada atau setelah 1 Mei 2021.

    Kami menyarankan agar Anda merancang jaringan sesuai standar dan menghindari penggunaan blok CIDR publik sebagai CIDR privat atau pengalihan traffic dari rentang alamat IP /32 di instans CEN Anda.

    Jika Anda memiliki kebutuhan bisnis khusus, .

    Saat mengaktifkan atau menonaktifkan firewall VPC, koneksi berdurasi panjang yang telah terbentuk ke beberapa layanan cloud, seperti Server Load Balancer (SLB) dan ApsaraDB for RDS, mungkin terputus.

    • Saat mengaktifkan atau menonaktifkan firewall VPC, konfigurasikan sementara pemeriksaan kesehatan SLB untuk menggunakan server backend di VPC lokal guna mencegah ketidakstabilan pemeriksaan kesehatan. Anda dapat mengembalikan pengaturan awal setelah operasi selesai. Untuk informasi lebih lanjut, lihat Konfigurasi dan kelola pemeriksaan kesehatan CLB.

    • Terapkan mekanisme perlindungan koneksi dan koneksi ulang di sisi client.

    Buat dan aktifkan firewall VPC

    Prasyarat

    • Anda telah membeli edisi Enterprise Edition, Ultimate Edition, atau Pay-as-you-go Edition Cloud Firewall. Untuk informasi lebih lanjut, lihat Pembelian Cloud Firewall.

      Catatan

      Hanya edisi Enterprise, Ultimate, dan Pay-as-you-go Cloud Firewall yang mendukung konfigurasi firewall VPC untuk router transit Edisi Dasar. Edisi Premium tidak mendukung fitur ini.

    • Anda telah memberikan otorisasi kepada Cloud Firewall untuk mengakses sumber daya cloud Anda. Untuk informasi lebih lanjut, lihat Otorisasi Cloud Firewall untuk mengakses sumber daya cloud.

    • Anda telah membeli instans CEN dan menggunakannya untuk membuat konektivitas jaringan antar VPC. Untuk informasi lebih lanjut, lihat Hubungkan VPC di wilayah yang sama (Edisi Dasar) dan Hubungkan VPC lintas wilayah dan akun (Edisi Dasar).

      Catatan

      Jika VPC di instans CEN Anda dibuat oleh akun Alibaba Cloud yang berbeda dan akun tersebut belum memberikan izin yang diperlukan kepada Cloud Firewall, Anda tidak dapat membuat firewall VPC. Kami menyarankan agar Anda login ke konsol Cloud Firewall dengan akun terkait untuk memberikan izin tersebut, lalu aktifkan firewall VPC. Untuk informasi lebih lanjut, lihat Otorisasi Cloud Firewall untuk mengakses sumber daya cloud.

    • Pastikan wilayah tempat sumber daya jaringan Anda berada didukung oleh firewall VPC. Untuk informasi lebih lanjut, lihat Wilayah yang didukung.

    Prosedur

    Peringatan

    • Setelah membuat firewall VPC, memodifikasi vSwitch dan tabel rute di VPC Cloud Firewall yang dibuat dapat menyebabkan gangguan traffic.

    • Jika hanya terdapat satu VBR di instans CEN, membuat atau mengaktifkan firewall VPC, atau melakukan pergantian jaringan, dapat menyebabkan gangguan traffic.

    • Anda tidak dapat memutar balik atau menjeda proses pengaktifan firewall VPC. Jika terjadi pengecualian, sistem akan secara otomatis memutar balik proses tersebut.

    1. Login ke Konsol Cloud Firewall. Di panel navigasi kiri, klik Firewall.

    2. Di halaman Firewall, klik VPC Firewall.

    3. Di tab VPC Firewall, klik Cloud Enterprise Network (Basic Edition).

    4. Temukan instans CEN tempat Anda ingin membuat firewall VPC, lalu klik Create di kolom Actions.

      Jika aset yang ingin Anda lindungi tidak ada di daftar aset, klik Synchronize Assets untuk menyinkronkan informasi aset dari akun Alibaba Cloud saat ini dan akun anggotanya.

    5. Di panel Create Firewall, ikuti panduan konfigurasi untuk menyelesaikan konfigurasi firewall VPC.

      Untuk router transit Edisi Dasar, Anda dapat menjalankan pemeriksaan diagnostik untuk memverifikasi apakah kondisi pembuatan firewall telah terpenuhi. Anda dapat melihat hasilnya di panduan Enable Diagnosis. Jika Anda sudah memahami persyaratan pembuatan firewall, Anda dapat melewati pemeriksaan diagnostik dan langsung membuat firewall.

      Tabel berikut menjelaskan konfigurasi firewall VPC di lingkungan yang terhubung CEN.

      Parameter

      Deskripsi

      Basic Information

      Name: Tentukan nama unik untuk mengidentifikasi instans firewall vpc. Kami menyarankan agar Anda menggunakan nama yang bermakna sesuai kebutuhan bisnis Anda.

      VPC Configurations of Firewall

      Tetapkan blok CIDR untuk VPC dan vSwitch Cloud Firewall yang dibuat secara otomatis. CIDR ini digunakan untuk membuat VPC firewall khusus (Cloud_Firewall_VPC) guna pengalihan traffic. Blok CIDR subnet dialokasikan dari blok CIDR VPC yang ditetapkan untuk vSwitch Cloud Firewall VPC. Masker subnet harus /29 atau lebih pendek dan tidak boleh bertentangan dengan paket jaringan Anda.

      Penting

      Pengaturan ini bergantung pada konfigurasi layanan Anda dan tidak dapat diubah setelah pembuatan. Untuk melakukan perubahan, Anda harus menghapus dan membuat ulang firewall.

      • VPC of Firewall: Nilai default adalah 10.0.0.0/8. Anda dapat menyesuaikan blok CIDR untuk VPC firewall. Rentang yang didukung mencakup 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, dan subnet-nya.

      • vSwitch CIDR Block: Nilai default adalah 10.219.219.216/29. Jika nilai default bertentangan dengan paket jaringan Anda, Anda dapat menyesuaikan blok CIDR ini.

      • Configure zone:

        Catatan

        • Jika Anda memilih Default (Auto-assigned) untuk zona primer dan sekunder, mode aktif-aktif akan diaktifkan. Mode ini mudah dikonfigurasi dan ideal untuk skenario dengan traffic layanan yang tidak sensitif terhadap latensi.

        • Jika Anda menentukan zona primer dan zona sekunder, mode aktif-pasif akan digunakan. Mode ini cocok untuk skenario di mana traffic layanan sensitif terhadap latensi dan membantu mengurangi latensi traffic.

        • Untuk informasi lebih lanjut mengenai mode aktif-aktif dan aktif-pasif serta langkah migrasi, lihat Praktik terbaik untuk migrasi zona firewall VPC.

        • Primary Zone: Tetapkan zona ketersediaan primer untuk vSwitch. Cloud Firewall juga mendukung penugasan otomatis zona ketersediaan vSwitch.

          Penting

          Jika layanan Anda sensitif terhadap latensi, kami menyarankan agar Anda mengatur Primary Zone ke zona ketersediaan yang menampung sebagian besar layanan Anda. Kemudian, tentukan zona ketersediaan yang sama untuk vSwitch VPC layanan guna lebih mengurangi latensi.

        • Secondary Zone: Tetapkan zona ketersediaan sekunder untuk vSwitch. Firewall vpc akan memprioritaskan pengiriman traffic melalui zona primer untuk transmisi efisien. Saat zona primer tidak tersedia, sistem secara otomatis mengalihkan traffic ke zona sekunder untuk memastikan kelangsungan bisnis dalam skenario pemulihan bencana.

      Assign vSwitch for Firewall

      Konfigurasikan vSwitch di VPC layanan yang memerlukan perlindungan traffic. vSwitch ini menampung antarmuka jaringan elastis (ENI) yang digunakan Cloud Firewall untuk pengalihan traffic. Cloud Firewall dapat menetapkan vSwitch secara otomatis. Jika layanan Anda sensitif terhadap latensi, Anda dapat menyesuaikan zona ketersediaan VPC layanan untuk mengurangi latensi jaringan.

      Penting

      Pengaturan ini bergantung pada konfigurasi layanan Anda dan tidak dapat diubah setelah pembuatan. Untuk melakukan perubahan, Anda harus menghapus dan membuat ulang firewall.

      • Zone: Pilih zona ketersediaan untuk vSwitch VPC layanan. Untuk mengurangi latensi, kami menyarankan agar Anda mengaturnya sama dengan zona ketersediaan primer vSwitch VPC firewall.

      • vSwitch: Pilih instans vSwitch VPC layanan.

      Redirection Configuration

      Aktifkan atau nonaktifkan sakelar pengalihan dan lihat blok CIDR yang dilindungi.

      IPS

      Pilih mode operasi dan kebijakan untuk modul intrusion prevention system (IPS).

      • IPS Mode

        • Monitor Mode: Memantau dan menghasilkan peringatan untuk traffic berbahaya.

        • Block Mode: Memblokir traffic berbahaya dan mencegat aktivitas intrusif.

      • IPS Capabilities

        • Basic Rules: Memberikan perlindungan dasar untuk aset Anda, termasuk pencegatan serangan brute-force dan eksploitasi kerentanan eksekusi perintah, serta kontrol terhadap koneksi pasca-infeksi ke server Command and Control (C&C).

        • Virtual Patching: Memberikan perlindungan real-time terhadap kerentanan aplikasi berisiko tinggi yang populer.

      Catatan

      Pengaturan ini diterapkan ke semua instans jaringan di bawah instans CEN yang sama.

    6. Klik Start Creation untuk membuat firewall VPC.

    7. Di tab Cloud Enterprise Network (Basic Edition), aktifkan sakelar untuk firewall VPC yang telah Anda buat.

      Firewall VPC harus diaktifkan untuk melindungi sumber daya jaringan Anda. Firewall VPC berhasil diaktifkan saat Firewall Status berubah menjadi Enabled.

      Catatan

      Setelah Anda mengaktifkan firewall VPC, Cloud Firewall memerlukan waktu 15 hingga 30 menit untuk mempelajari rute baru jika Anda menambah atau menghapus entri rute VPC. Kami menyarankan agar Anda menunggu hingga proses pembelajaran rute selesai, lalu verifikasi bahwa tabel rute telah diperbarui. Jika Anda memiliki pertanyaan, .

      Setelah firewall VPC dibuat, Cloud Firewall secara otomatis membuat sumber daya berikut di Virtual Private Cloud (VPC) Anda:

      • Sumber daya VPC bernama Cloud_Firewall_VPC.

        Penting

        Jangan menambahkan sumber daya layanan lain ke Cloud_Firewall_VPC. Jika Anda melakukannya, sumber daya tersebut tidak akan dihapus secara otomatis saat Anda menghapus firewall VPC. Jangan memodifikasi atau menghapus sumber daya jaringan di VPC ini secara manual.

      • Sumber daya vSwitch bernama Cloud_Firewall_VSWITCH.

      • Entri tabel rute kustom dengan keterangan: Created by cloud firewall. Do not modify or delete it..

      Setelah Anda mengaktifkan firewall VPC, grup keamanan bernama Cloud_Firewall_Security_Group secara otomatis ditambahkan ke Cloud_Firewall_VPC dan VPC layanan. Kebijakan otorisasi juga dikonfigurasi untuk grup keamanan ini guna mengizinkan traffic ke firewall VPC.

      Penting

      Jangan menghapus grup keamanan Cloud_Firewall_Security_Group atau kebijakan otorisasinya. Menghapus salah satunya akan mengganggu traffic layanan.

      Untuk operasi batch atau aktivasi dan deaktivasi firewall VPC yang sering, kami menyarankan melakukannya pada jam sepi guna menghindari dampak terhadap layanan Anda.

    Langkah selanjutnya

    • Setelah mengaktifkan firewall VPC, Anda dapat mengonfigurasi kebijakan access control untuk mengontrol akses antar VPC. Untuk informasi lebih lanjut, lihat Kebijakan access control untuk firewall VPC.

    • Setelah mengaktifkan firewall VPC, Anda dapat menggunakan fitur VPC Access untuk melihat traffic antar VPC. Untuk informasi lebih lanjut, lihat VPC Access.

    • Setelah mengaktifkan firewall VPC, Anda dapat menggunakan fitur VPC Protection untuk melihat event anomali antar VPC yang dicegat oleh Cloud Firewall. Untuk informasi lebih lanjut, lihat VPC Protection.

    Operasi lainnya

    Edit firewall VPC

    Untuk memodifikasi konfigurasi firewall VPC, di halaman VPC Firewall, buka tab Cloud Enterprise Network (Basic Edition), temukan instans CEN target, lalu klik Edit di kolom Actions.

    Nonaktifkan firewall VPC

    Peringatan

    Menonaktifkan firewall VPC dapat menyebabkan gangguan traffic sementara.

    1. Di halaman Firewall, klik VPC Firewall.

    2. Di halaman VPC Firewall, buka tab Cloud Enterprise Network (Basic Edition), temukan instans CEN target, lalu matikan sakelar Firewall.

      Setelah Anda mematikan sakelar, harap tunggu. Firewall VPC berhasil dinonaktifkan saat Firewall Status berubah menjadi Disabled.

    Hapus firewall VPC

    Jika layanan Anda tidak lagi memerlukan firewall VPC, di halaman VPC Firewall, buka tab Cloud Enterprise Network (Basic Edition), temukan instans CEN target, lalu klik Delete di kolom Actions.

    Modifikasi konfigurasi IPS

    Untuk mengubah mode atau kapabilitas IPS, menambahkan alamat IP ke daftar putih, atau memodifikasi aturan IPS, klik Configure IPS pada kolom Actions untuk instans firewall. Lakukan konfigurasi pengaturan pada tab VPC Border di halaman IPS Configuration. Untuk informasi selengkapnya, lihat IPS Configuration.

    Referensi