Lindungi traffic antar instans jaringan dalam Cloud Enterprise Network yang sama (router transit Edisi Dasar) - Cloud Firewall

Jika instans jaringan Anda, seperti VPC, VBR, dan CCN, terhubung melalui instans Cloud Enterprise Network (CEN) yang menggunakan router transit Edisi Dasar, Anda dapat menggunakan Firewall VPC untuk melindungi traffic antar instans tersebut dan meningkatkan keamanan aset bisnis Anda. Topik ini menjelaskan cara mengonfigurasi Firewall VPC untuk router transit Edisi Dasar.

Pengenalan Fungsi

Cara Kerja

Setelah Anda mengaktifkan Firewall VPC, Cloud Firewall menyaring traffic antar VPC berdasarkan analisis Deep Packet Inspection (DPI), aturan Sistem Pencegahan Intrusi (IPS), intelijen ancaman, pembenahan virtual, dan kebijakan kontrol akses. Cloud Firewall kemudian menentukan apakah traffic tersebut diizinkan atau tidak, sehingga dapat memblokir akses tidak sah dan mengamankan traffic antar aset jaringan pribadi Anda.

Gambar berikut menunjukkan skenario contoh di mana Firewall VPC melindungi router transit Edisi Dasar.

Untuk informasi lebih lanjut mengenai cakupan perlindungan, lihat Apa itu Cloud Firewall?.

Dampak terhadap Bisnis

Saat membuat Firewall VPC, Anda tidak perlu mengubah topologi jaringan. Cukup buat Firewall VPC dan aktifkan mode pengalihan lalu lintas otomatis dengan satu klik untuk melindungi aset bisnis Anda. Operasi ini tidak mengganggu layanan Anda dan memerlukan waktu sekitar 5 menit. Kami menyarankan agar Anda mengaktifkan Firewall VPC selama jam sepi.

Mengaktifkan atau menonaktifkan Firewall VPC memerlukan waktu sekitar 5 hingga 30 menit, tergantung pada jumlah entri rute. Selama proses ini, koneksi persisten mungkin mengalami pemutusan sementara selama beberapa detik, sedangkan koneksi berumur pendek tidak terpengaruh.

Catatan

Sebelum mengaktifkan Firewall VPC, pastikan aplikasi Anda mendukung mekanisme pengiriman ulang TCP otomatis. Anda juga harus memantau status koneksi aplikasi untuk mencegah gangguan yang mungkin terjadi jika mekanisme pengiriman ulang tidak dikonfigurasi.

Batasan

Batas	Deskripsi	Saran
Batasan VPC	Saat Anda mengaktifkan Firewall VPC, sebuah instans VPC bernama Cloud_Firewall_VPC dibuat. Pastikan akun Alibaba Cloud Anda memiliki kuota VPC yang mencukupi. Untuk informasi lebih lanjut mengenai kuota VPC, lihat Batasan dan kuota. Contohnya, kuota default jumlah VPC yang dapat dibuat di suatu wilayah adalah 10. Jika Anda mengaktifkan Firewall VPC, sebuah VPC akan dibuat secara otomatis. Dalam kasus ini, Anda hanya dapat membuat maksimal 9 VPC tambahan.	Jika Anda telah mencapai kuota, Anda dapat mengajukan peningkatan kuota. Untuk informasi lebih lanjut, lihat Kelola kuota VPC.
	Pastikan jumlah instans jaringan, seperti VPC, VBR, dan CCN, yang dapat ditambahkan ke router transit Edisi Dasar di setiap wilayah tidak melebihi kuota. Kuota instans jaringan yang terhubung ke router transit Edisi Dasar mencakup VPC yang dibuat secara otomatis saat Anda mengaktifkan Firewall VPC, yaitu Cloud_Firewall_VPC. Untuk informasi lebih lanjut mengenai jumlah instans jaringan yang didukung oleh router transit Edisi Dasar, lihat Batasan. Contohnya, setiap router transit Edisi Dasar mendukung 10 instans jaringan secara default. Karena pengaktifan Firewall VPC secara otomatis membuat satu VPC yang menggunakan salah satu slot instans tersebut, Anda hanya dapat membuat maksimal 9 VPC tambahan.	Kami menyarankan agar Anda menggunakan router transit edisi perusahaan. Untuk informasi lebih lanjut, Anda dapat membuat tiket untuk menghubungi ahli teknis produk.
	Sebuah instans CEN dapat melindungi maksimal 31 VPC dalam wilayah yang sama.	Tidak ada
Batasan rute	Instans Cloud Enterprise Network (CEN) tidak boleh berisi kebijakan perutean yang policy behavior-nya diatur ke Deny. Pengecualian berlaku untuk kebijakan perutean default dengan prioritas 5000 yang dihasilkan secara otomatis oleh CEN. Jika tidak, gangguan layanan dapat terjadi.	Hapus kebijakan perutean terkait. Anda dapat membuat tiket untuk menghubungi ahli teknis produk.
	Setelah Anda mengaktifkan Firewall VPC, Cloud Firewall secara otomatis menambahkan entri rute kustom ke VPC. Tabel rute VPC mendukung maksimal 200 entri rute kustom. Jika jumlah entri rute kustom dalam tabel rute mencapai batas ini, Anda tidak dapat mengaktifkan Firewall VPC.	Anda dapat meningkatkan kuota VPC. Anda juga dapat mengubah kuota entri rute kustom dalam tabel rute VPC. Untuk informasi lebih lanjut, lihat Kelola kuota.
	Pastikan jumlah entri rute dalam instans CEN tidak melebihi kuota. Jumlah total entri rute mencakup entri yang ditambahkan secara otomatis saat Anda mengaktifkan Firewall VPC. Untuk informasi lebih lanjut mengenai jumlah entri rute yang didukung oleh instans CEN, lihat Batasan.	Kami menyarankan agar Anda membatasi jumlah entri rute yang dipublikasikan hingga 100. Untuk mengajukan peningkatan kuota, Anda dapat membuat tiket untuk menghubungi ahli teknis produk.
	Anda tidak dapat mengaktifkan Firewall VPC jika tabel rute kustom dikaitkan dengan vSwitch di VPC tersebut.	Anda dapat menghapus tabel rute kustom atau memutuskan kaitannya dari vSwitch.
Batasan jenis traffic	Firewall VPC tidak melindungi traffic IPv6. Traffic yang ditujukan ke blok CIDR layanan Alibaba Cloud (100.64.0.0/10) tidak dialihkan ke Firewall VPC untuk perlindungan.	Tidak ada
Batasan lainnya	Jika Anda mengaktifkan Firewall VPC sebelum 1 Mei 2021 dan menggunakan blok CIDR publik sebagai blok CIDR pribadi atau mengalihkan traffic dua arah dari blok CIDR /32, layanan Anda mungkin terpengaruh sebagai berikut: Saat mengakses aset lintas VPC, traffic mungkin hanya melewati Firewall VPC dalam satu arah. Hal ini dapat menyebabkan hilangnya data log traffic serta pengecualian dalam kontrol akses aplikasi Lapisan 4 dan Lapisan 7 serta perlindungan IPS. Saat mengakses aset SLB atau ApsaraDB RDS lintas VPC, kehilangan paket dapat terjadi karena traffic permintaan dan respons mungkin menggunakan jalur yang berbeda. Hal ini dapat menyebabkan layanan SLB dan ApsaraDB RDS menjadi tidak dapat diakses. Catatan Batasan ini tidak berlaku bagi pengguna yang mengaktifkan Firewall VPC pada atau setelah 1 Mei 2021.	Kami menyarankan agar Anda merancang jaringan berdasarkan praktik standar untuk menghindari penggunaan blok CIDR publik sebagai blok CIDR pribadi dan mengalihkan traffic dari blok CIDR /32 dalam instans CEN. Jika Anda memiliki kebutuhan bisnis khusus, Anda dapat membuat tiket untuk menghubungi ahli teknis produk.
Batasan lainnya	Saat Anda mengaktifkan atau menonaktifkan Firewall VPC, koneksi persisten yang telah terbentuk ke beberapa layanan Alibaba Cloud, seperti SLB dan ApsaraDB RDS, mungkin gagal.	Saat mengaktifkan atau menonaktifkan Firewall VPC, konfigurasikan sementara pemeriksaan kesehatan SLB agar mengarah ke server backend di VPC lokal untuk mencegah jitter pemeriksaan kesehatan. Setelah operasi selesai, Anda dapat mengembalikan pengaturan awal. Untuk informasi lebih lanjut, lihat Konfigurasikan dan kelola pemeriksaan kesehatan CLB. Terapkan mekanisme perlindungan koneksi dan mekanisme penyambungan ulang di sisi client.

Buat dan aktifkan firewall VPC

Prasyarat

Anda telah membeli edisi Enterprise, Ultimate, atau bayar sesuai penggunaan Cloud Firewall. Untuk informasi lebih lanjut, lihat Pembelian Cloud Firewall.
Catatan
Anda hanya dapat mengonfigurasi Firewall VPC untuk router transit edisi perusahaan dengan Edisi Perusahaan, Edisi Ultimate, dan Edisi Bayar Sesuai Penggunaan Cloud Firewall. Fitur ini tidak tersedia di Edisi Premium.
Anda telah memberikan izin yang diperlukan kepada Cloud Firewall untuk mengakses sumber daya cloud Anda. Untuk informasi lebih lanjut, lihat Otorisasi Cloud Firewall untuk mengakses sumber daya cloud.
Anda telah membeli instans CEN dan menggunakannya untuk membuat koneksi jaringan antar VPC. Untuk informasi lebih lanjut, lihat Gunakan instans CEN untuk menghubungkan VPC dalam wilayah yang sama (Edisi Dasar) dan Gunakan instans CEN untuk menghubungkan VPC lintas wilayah dan akun (Edisi Dasar).
Catatan
Jika VPC dalam instans CEN dibuat oleh akun Alibaba Cloud yang berbeda dan akun tersebut belum memberikan izin kepada Cloud Firewall, Anda tidak dapat membuat Firewall VPC. Kami menyarankan agar Anda login ke Konsol Cloud Firewall menggunakan akun yang sesuai untuk memberikan izin yang diperlukan sebelum mengaktifkan Firewall VPC. Untuk informasi lebih lanjut, lihat Otorisasi Cloud Firewall untuk mengakses sumber daya cloud.
Pastikan wilayah tempat sumber daya jaringan Anda berada didukung oleh Firewall VPC. Untuk informasi lebih lanjut, lihat Wilayah yang didukung.

Prosedur

Peringatan

Setelah membuat Firewall VPC, jangan mengubah vSwitch dan tabel rute di VPC Cloud Firewall yang dibuat. Modifikasi dapat menyebabkan gangguan traffic.
Jika hanya terdapat satu VBR dalam instans CEN, pembuatan Firewall VPC atau pemotongan jaringan dapat menyebabkan gangguan traffic.
Anda tidak dapat mengembalikan atau menjeda proses pengaktifan Firewall VPC. Jika terjadi pengecualian, sistem akan secara otomatis mengembalikan proses tersebut.

Login ke Konsol Cloud Firewall. Di panel navigasi sebelah kiri, klik Firewall Settings.
Di halaman Firewall Settings, klik tab VPC Firewall.
Di tab VPC Firewall, klik Cloud Enterprise Network (Basic Edition).
Temukan instans CEN tempat Anda ingin membuat Firewall VPC, lalu klik Create di kolom Actions.
Jika aset yang ingin Anda lindungi tidak ada dalam daftar, Anda dapat mengklik Synchronize Assets untuk menyinkronkan informasi aset dari akun Alibaba Cloud Anda dan akun anggotanya.

Di panel Create Firewall, ikuti langkah-langkah dalam wizard untuk mengonfigurasi Firewall VPC.

Anda dapat melakukan pemeriksaan satu klik untuk menentukan apakah router transit Edisi Dasar memenuhi persyaratan pembuatan Firewall VPC. Setelah pemeriksaan selesai, Anda dapat melihat hasilnya di wizard Enable Diagnosis. Jika Anda sudah memahami aturan pembuatan, Anda dapat melewati pemeriksaan diagnostik ini dan langsung membuat firewall.

Tabel berikut menjelaskan konfigurasi Firewall VPC dalam mode koneksi CEN.

Item konfigurasi	Deskripsi
Basic Information	Name: Masukkan nama untuk firewall VPC. Nama ini digunakan untuk mengidentifikasi instans firewall VPC. Kami menyarankan agar Anda memasukkan nama yang unik dan bermakna sesuai kebutuhan.
VPC Configurations of Firewall	Tetapkan blok CIDR untuk VPC dan vSwitch Cloud Firewall yang dibuat secara otomatis. Ini digunakan untuk membuat VPC keamanan firewall (Cloud_Firewall_VPC) guna pengalihan traffic. Blok CIDR subnet dialokasikan dari blok CIDR VPC yang ditetapkan untuk vSwitch VPC Cloud Firewall. Masker subnet dari blok CIDR subnet harus 29 bit atau kurang dan tidak boleh bertentangan dengan blok CIDR dalam paket jaringan Anda. Penting Konfigurasikan pengaturan sesuai kebutuhan. Setelah firewall VPC dibuat, Anda tidak dapat mengubah pengaturan ini. Untuk mengubahnya, Anda harus menghapus firewall dan membuat yang baru. VPC of Firewall: Nilai default adalah 10.0.0.0/8. Anda dapat menyesuaikan blok CIDR VPC firewall. Blok CIDR berikut dan blok CIDR subnet-nya didukung: 10.0.0.0/8, 172.16.0.0/12, dan 192.168.0.0/16. vSwitch CIDR Block: Nilai default adalah 10.219.219.216/29. Jika nilai default bertentangan dengan paket jaringan Anda, Anda dapat menentukan nilai yang berbeda. Configure Zone: Catatan Jika Anda memilih Default (Auto-assigned) untuk zona primer dan sekunder, mode aktif-aktif diaktifkan. Mode ini mudah dikonfigurasi dan ideal untuk skenario dengan traffic layanan yang tidak sensitif terhadap latensi. Jika Anda menentukan zona primer dan zona sekunder, mode aktif-pasif digunakan. Mode ini cocok untuk skenario di mana traffic layanan sensitif terhadap latensi dan dapat mengurangi latensi traffic. Untuk informasi lebih lanjut mengenai mode aktif-aktif dan aktif-pasif serta langkah migrasi, lihat Praktik terbaik untuk migrasi zona firewall VPC. Primary Zone: Menetapkan zona primer untuk vSwitch. Cloud Firewall mendukung alokasi otomatis zona vSwitch. Penting Jika layanan Anda sensitif terhadap latensi, kami menyarankan agar Anda mengatur Primary Zone ke wilayah tempat traffic layanan terjadi dan juga mengatur Zone of the vSwitch required by the service VPC ke wilayah yang sama untuk lebih mengurangi latensi. Secondary Zone: Menentukan zona sekunder untuk vSwitch. Secara default, firewall VPC memprioritaskan penerusan traffic melalui zona primer (AZ) untuk transmisi efisien. Jika zona primer tidak tersedia, sistem secara otomatis beralih ke zona sekunder untuk meneruskan traffic, sehingga memastikan kelangsungan bisnis dalam skenario pemulihan bencana.
Assign vSwitch for Firewall	Konfigurasikan vSwitch VPC layanan tempat Anda ingin mengaktifkan pengalihan traffic. vSwitch ini digunakan oleh elastic network interfaces (ENIs) yang diperlukan untuk pengalihan traffic Cloud Firewall. Cloud Firewall secara otomatis menetapkan vSwitch. Jika layanan Anda sensitif terhadap latensi jaringan, Anda dapat menentukan zona untuk VPC layanan guna mengurangi latensi jaringan. Penting Pengaturan ini ditentukan oleh konfigurasi layanan dan tidak dapat diubah setelah pembuatan. Untuk mengubah pengaturan ini, Anda harus menghapus dan membuat ulang sumber daya. Zone: Pilih zona untuk vSwitch di VPC layanan. Untuk mengurangi latensi, kami menyarankan agar Anda memilih zona yang sama dengan zona primer vSwitch VPC firewall. vSwitch: Pilih instans vSwitch VPC bisnis.
Redirection Configuration	Aktifkan atau nonaktifkan pengalihan traffic dan lihat blok CIDR yang dilindungi.
IPS	Pilih mode dan kebijakan untuk sistem pencegahan intrusi (IPS). IPS Mode Monitor Mode: Saat diaktifkan, memantau traffic berbahaya dan mengirimkan peringatan. Block Mode: Memblokir traffic berbahaya dan mencegah intrusi. IPS Capabilities Basic Rules: Setelah Anda mengaktifkan Kebijakan Dasar, aturan ini menyediakan kemampuan mitigasi dasar untuk aset Anda, termasuk intersepsi serangan brute-force, intersepsi kerentanan eksekusi perintah, dan kontrol atas koneksi pasca-infeksi ke server C&C (Command and Control). Virtual Patching: Memberikan perlindungan real-time terhadap kerentanan aplikasi berisiko tinggi yang populer saat diaktifkan. Catatan Pengaturan ini berlaku untuk semua instans jaringan dalam instans CEN yang sama.

Klik Start Creation.
Di tab Cloud Enterprise Network (Basic Edition), aktifkan sakelar untuk Firewall VPC yang telah Anda buat.
Cloud Firewall hanya dapat melindungi sumber daya jaringan Anda setelah Firewall VPC diaktifkan. Firewall VPC berhasil diaktifkan ketika Firewall Status berubah menjadi Enabled.
Catatan
Setelah Anda mengaktifkan Firewall VPC, jika Anda menambahkan atau menghapus informasi dalam tabel rute VPC, Cloud Firewall memerlukan waktu 15 hingga 30 menit untuk mempelajari rute baru. Kami menyarankan agar Anda menunggu proses pembelajaran rute selesai sebelum memeriksa apakah tabel rute telah berlaku. Jika Anda memiliki pertanyaan, Anda dapat membuat tiket untuk menghubungi ahli teknis produk.
Setelah Firewall VPC dibuat, Cloud Firewall secara otomatis membuat sumber daya berikut:
- Sumber daya VPC bernama Cloud_Firewall_VPC.
  Penting
  Jangan menambahkan sumber daya layanan lain ke Cloud_Firewall_VPC. Jika Anda melakukannya, sumber daya tersebut tidak dapat dihapus saat Anda menghapus Firewall VPC. Jangan mengubah atau menghapus sumber daya jaringan di VPC ini secara manual.
- Sumber daya vSwitch bernama Cloud_Firewall_VSWITCH.
- Entri rute kustom dengan keterangan Created by cloud firewall. Do not modify or delete it..
Setelah Anda mengaktifkan Firewall VPC, grup keamanan bernama Cloud_Firewall_Security_Group secara otomatis ditambahkan ke Cloud_Firewall_VPC dan VPC layanan. Kebijakan izin (authorization policy) secara otomatis dikonfigurasi untuk grup keamanan ini guna mengizinkan traffic ke Firewall VPC.
Penting
Jangan menghapus grup keamanan Cloud_Firewall_Security_Group atau kebijakan izinnya. Jika dihapus, traffic layanan akan terganggu.
Untuk operasi batch atau sering mengaktifkan dan menonaktifkan Firewall VPC, kami menyarankan agar Anda melakukan operasi tersebut selama jam sepi guna menghindari gangguan layanan.

Langkah Selanjutnya

Setelah mengaktifkan Firewall VPC, Anda dapat mengonfigurasi kebijakan kontrol akses untuk Firewall VPC guna mengontrol akses antar VPC. Untuk informasi lebih lanjut, lihat Kebijakan kontrol akses untuk Firewall VPC.
Setelah mengaktifkan Firewall VPC, Anda dapat menggunakan fitur VPC Access untuk melihat traffic antar VPC. Untuk informasi lebih lanjut, lihat VPC Access.
Setelah mengaktifkan Firewall VPC, Anda dapat menggunakan fitur VPC Protection untuk melihat informasi mengenai aktivitas anomali antar VPC yang diblokir oleh Cloud Firewall. Untuk informasi lebih lanjut, lihat VPC Protection.

Operasi Lainnya

Edit firewall VPC

Untuk mengubah konfigurasi Firewall VPC, buka halaman VPC Firewall dan klik tab Cloud Enterprise Network (Basic Edition). Temukan instans jaringan untuk Firewall VPC target, lalu klik Edit di kolom Actions.

Nonaktifkan firewall VPC

Peringatan

Saat Anda menonaktifkan Firewall VPC, traffic mungkin mengalami pemutusan sementara.

Di halaman Firewall Settings, klik tab VPC Firewall.
Di VPC Firewall, di tab Cloud Enterprise Network (Basic Edition), temukan instans CEN untuk Firewall VPC target, lalu matikan sakelar Firewall Settings.
Tunggu hingga Firewall VPC dinonaktifkan. Firewall VPC berhasil dinonaktifkan ketika Firewall Status berubah menjadi Disabled.

Hapus firewall VPC

Jika Anda tidak lagi memerlukan Firewall VPC, buka halaman VPC Firewall dan klik tab Cloud Enterprise Network (Basic Edition). Temukan instans jaringan untuk Firewall VPC target, lalu klik Delete di kolom Actions.

Ubah konfigurasi IPS

Untuk mengubah mode perlindungan atau kemampuan sistem pencegahan intrusi (IPS), menambahkan alamat IP tujuan atau sumber tertentu ke daftar putih, atau mengubah aturan IPS, klik Configure IPS pada kolom Actions di instans Cloud Firewall yang tersedia. Selanjutnya, lakukan konfigurasi pada tab VPC Border di halaman IPS Configuration. Untuk informasi selengkapnya, lihat Konfigurasi IPS.

Cloud Firewall：Konfigurasikan firewall VPC untuk router transit Edisi Dasar