Jika instans jaringan Anda (seperti VPC, VBR, dan CCN) terhubung melalui Router transit Edisi Perusahaan, Anda dapat menggunakan firewall VPC untuk melindungi traffic antar instans tersebut dan mengamankan aset Anda. Topik ini menjelaskan cara membuat dan mengelola firewall VPC untuk Router transit Edisi Perusahaan.
Cara kerja
Mekanisme perlindungan
Setelah Anda mengaktifkan firewall VPC, Cloud Firewall menyaring traffic antar VPC dengan menggunakan fitur seperti deep packet inspection (DPI), pencegahan intrusi, intelijen ancaman, pembenahan virtual, dan kebijakan kontrol akses. Berdasarkan hasil inspeksi tersebut, Cloud Firewall menentukan apakah traffic diizinkan atau tidak, sehingga memblokir akses tidak sah dan mengamankan traffic antar aset jaringan pribadi Anda.
Gambar berikut menunjukkan contoh bagaimana firewall VPC melindungi Router transit Edisi Perusahaan.
Untuk informasi lebih lanjut mengenai cakupan perlindungan, lihat Apa itu Cloud Firewall?
Dampak terhadap bisnis Anda
Anda dapat membuat firewall VPC dan menetapkan mode pengalihan traffic (otomatis atau manual) untuk melindungi aset Anda tanpa mengganggu bisnis. Proses pembuatan memerlukan waktu sekitar 5 menit. Kami menyarankan agar Anda mengaktifkan firewall VPC selama jam sepi.
Dalam mode pengalihan lalu lintas otomatis, proses mengaktifkan atau menonaktifkan firewall VPC memerlukan waktu sekitar 5 hingga 30 menit, tergantung pada jumlah entri rute. Hal ini tidak memengaruhi bisnis Anda.
Dalam mode pengalihan lalu lintas manual, durasi dampak terhadap bisnis saat Anda mengaktifkan atau menonaktifkan firewall VPC bergantung pada metode peralihan traffic yang Anda gunakan.
Batasan
Saat Anda mengaktifkan firewall VPC, Cloud Firewall membuat instans VPC baru bernama
Cloud_Firewall_VPC. Pastikan kuota VPC Anda mencukupi. Untuk informasi lebih lanjut mengenai kuota VPC, lihat Batasan dan kuota.Mode pengalihan lalu lintas otomatis tidak mendukung skenario berikut:
Tabel rute Router transit Edisi Perusahaan berisi route statis, kecuali route statis ke blok CIDR
100.64.0.0/10dan subnet-nya.Menggunakan beberapa skenario pengalihan traffic untuk instans VPC, VBR, dan Router transit (TR) secara bersamaan.
Menambahkan Router transit Edisi Dasar ke dalam mode pengalihan traffic.
Router transit memiliki konflik rute.
VPC menggunakan fitur daftar prefiks.
Firewall VPC tidak dapat melindungi traffic dari gerbang VPN (seperti gerbang IPsec-VPN atau SSL-VPN) yang terhubung langsung ke VPC. Namun, firewall VPC dapat melindungi traffic dari koneksi IPsec-VPN yang disambungkan ke router transit. Untuk informasi lebih lanjut, lihat Skenario aplikasi IPsec-VPN (disambungkan ke router transit).
Firewall VPC tidak melindungi traffic IPv6.
Traffic yang ditujukan ke blok CIDR layanan cloud (
100.64.0.0/10) dan rute dengan subnet mask 32-bit tidak dialihkan ke firewall VPC untuk perlindungan.Anda harus memelihara konfigurasi berikut:
Kebijakan routing dalam tabel rute CEN-TR. Misalnya, Anda harus mengonfigurasi dan memelihara kebijakan prioritas rute untuk VBR secara manual dalam tabel rute TR firewall VPC.
Route statis untuk blok CIDR layanan cloud (
100.64.0.0/10).Pembelajaran rute dalam tabel rute sistem.
Buat firewall VPC dan konfigurasikan pengalihan traffic
Prasyarat
Anda telah membeli Cloud Firewall Edisi Perusahaan, Edisi Ultimate, atau Pay-As-You-Go. Untuk informasi lebih lanjut, lihat Pembelian Cloud Firewall.
CatatanHanya Cloud Firewall Edisi Perusahaan, Edisi Ultimate, dan Pay-As-You-Go yang mendukung konfigurasi firewall VPC untuk Router transit Edisi Perusahaan. Edisi Premium tidak mendukung fitur ini.
Anda telah memberikan otorisasi kepada Cloud Firewall untuk mengakses sumber daya cloud Anda. Untuk informasi lebih lanjut, lihat Otorisasi Cloud Firewall untuk mengakses sumber daya cloud lainnya.
Anda telah membeli instans CEN dan menggunakan Router transit Edisi Perusahaan untuk membuat koneksi jaringan antar VPC atau antara jaringan on-premises dan cloud. Untuk informasi lebih lanjut, lihat Hubungkan jaringan on-premises dan cloud dan Hubungkan VPC lintas akun.
CatatanJika VPC dalam instans CEN Anda dimiliki oleh Akun Alibaba Cloud yang berbeda dan akun tersebut belum memberikan otorisasi kepada Cloud Firewall, Anda tidak dapat membuat firewall VPC. Untuk membuat firewall VPC, masuk ke Konsol Cloud Firewall dengan akun yang sesuai untuk memberikan otorisasi. Untuk informasi lebih lanjut, lihat Otorisasi Cloud Firewall untuk mengakses sumber daya cloud lainnya.
Pastikan sumber daya jaringan Anda berada di wilayah yang didukung oleh firewall VPC. Jika tidak, Anda tidak dapat mengaktifkan firewall VPC. Untuk informasi lebih lanjut, lihat Wilayah yang didukung.
Prosedur
Anda tidak dapat memutar balik atau menjeda proses pengaktifan firewall VPC. Jika terjadi pengecualian, sistem akan secara otomatis memutar balik proses tersebut.
Masuk ke Konsol Cloud Firewall. Di panel navigasi kiri, klik Firewall.
Di halaman Firewall, klik VPC Firewall.
Di tab VPC Firewall, klik CEN (Enterprise Edition).
Temukan router transit di bawah instans CEN target, lalu klik Create di kolom Actions.
Jika aset yang ingin Anda lindungi tidak ada dalam daftar aset, klik Synchronize Assets untuk menyinkronkan aset dari Akun Alibaba Cloud Anda dan akun anggotanya.
PentingAutomatic: Jika Cloud Firewall Anda adalah instans Pay-As-You-Go atau instans subscription dengan fitur elastic pay-as-you-go diaktifkan, Cloud Firewall menanggung biaya traffic TR jaringan untuk traffic yang dikembalikan ke Router transit Edisi Perusahaan setelah diproses oleh firewall VPC. Anda tidak dikenai biaya ini, dan proses ini tidak mengurangi kuota VPC Anda.
Manual: Anda akan dikenai biaya traffic TR jaringan untuk traffic yang dikembalikan ke Router transit Edisi Perusahaan setelah diproses oleh firewall VPC.
Automatic (direkomendasikan)
Dalam mode otomatis, Anda dapat membuat skenario pengalihan traffic untuk instans jaringan Anda berdasarkan kebutuhan bisnis. Firewall VPC secara otomatis mengonfigurasi rute pada Router transit Edisi Perusahaan dan membuat antarmuka jaringan elastis untuk mengalihkan traffic ke firewall VPC.
Di panel Create VPC Firewall, konfigurasikan parameter firewall VPC seperti yang dijelaskan dalam tabel berikut. Lalu, klik Check Now. Setelah pemeriksaan selesai, klik Next.
Parameter
Deskripsi
Firewall Basic Information
Firewall Name:Tentukan nama untuk firewall batas VPC. Nama ini digunakan untuk mengidentifikasi instans firewall batas VPC. Disarankan agar Anda memberikan nama yang deskriptif sesuai dengan kondisi bisnis Anda dan memastikan keunikan nama tersebut.
VPC Configurations of Firewall
VPC CIDR Block of Firewall: Tetapkan blok CIDR VPC untuk Cloud Firewall. Untuk memastikan operasi yang tepat, tetapkan blok CIDR dengan subnet mask minimal /27 yang tidak bertentangan dengan paket jaringan Anda.
Configure Zone:
CatatanJika Anda memilih Default (Auto-assigned) untuk zona primer dan sekunder, mode aktif-aktif akan diaktifkan. Mode ini mudah dikonfigurasi dan ideal untuk skenario dengan traffic layanan yang tidak sensitif terhadap latensi.
Jika Anda menentukan zona primer dan zona sekunder, mode aktif-pasif akan digunakan. Mode ini cocok untuk skenario di mana traffic layanan sensitif terhadap latensi dan membantu mengurangi latensi traffic.
Untuk informasi lebih lanjut mengenai mode aktif-aktif dan aktif-pasif serta langkah migrasi, lihat Praktik terbaik untuk migrasi zona firewall VPC.
Primary Zone: Tetapkan zona primer. Cloud Firewall mendukung alokasi default zona vSwitch.
PentingJika layanan Anda sensitif terhadap latensi, kami menyarankan agar Anda menetapkan Primary Zone ke zona tempat layanan Anda dideploy untuk mengurangi latensi.
Secondary Zone: Tetapkan zona sekunder. Secara default, firewall VPC meneruskan traffic melalui antarmuka jaringan elastis (ENI) di zona primer untuk efisiensi. Jika zona primer tidak tersedia, sistem secara otomatis beralih ke ENI di zona sekunder untuk memastikan kelangsungan bisnis.
IPS
Pilih mode operasi dan kebijakan pencegahan intrusi untuk modul Intrusion Prevention System (IPS).
IPS Mode
Monitor Mode: Memantau dan menghasilkan peringatan untuk traffic berbahaya.
Block Mode: Mencegat traffic berbahaya untuk memblokir intrusi.
IPS Capabilities
Basic Rules: Memberikan perlindungan dasar untuk aset Anda, termasuk memblokir serangan brute-force, kerentanan eksekusi perintah, dan koneksi ke server command and control (C&C) setelah infeksi.
Virtual Patching: Memberikan perlindungan real-time terhadap kerentanan aplikasi berisiko tinggi yang populer.
CatatanPengaturan ini berlaku untuk semua instans jaringan di bawah instans CEN yang sama.
Setelah pembuatan selesai, klik Next. Konfigurasikan skenario pengalihan traffic seperti yang dijelaskan dalam tabel berikut.
Anda juga dapat mengonfigurasi skenario pengalihan traffic nanti sesuai kebutuhan bisnis Anda. Di tab CEN (Enterprise Edition), temukan router transit target di bawah instans CEN, klik Configure Now di kolom Firewall Status. Di tab Traffic Redirection Scenario, klik Immediately Create Traffic Redirection Scenario, lalu klik Create Redirection Scenario untuk mengonfigurasinya.
Parameter
Deskripsi
Basic Information
Template Name: Nama templat pengalihan traffic.
Select a scenario
Pilih jenis skenario yang akan dikontrol dan dilindungi oleh firewall VPC.
Instance-Instance: Mengontrol traffic antara dua instans jaringan. Cocok untuk topologi jaringan sederhana.
Instance to Instances: Mengontrol traffic antara satu instans jaringan dan beberapa instans jaringan. Cocok untuk topologi jaringan bintang. Anda dapat memilih ALL untuk sub-instans pengalihan agar mengalihkan seluruh traffic ke instans pengalihan utama melalui Cloud Firewall. Ini setara dengan skenario pengalihan traffic firewall VPC untuk Router transit Edisi Dasar.
PentingSkenario instans-ke-multi-instans tidak didukung jika tabel rute router transit berisi kebijakan rute deny kustom. Gunakan skenario interkoneksi multi-instans sebagai gantinya.
Interconnected Instances: Mengontrol traffic di antara beberapa instans jaringan. Cocok untuk topologi jaringan Full Mesh.
CatatanInstans jaringan adalah instans VPC, instans VBR, atau instans TR yang terhubung melalui Router transit Edisi Perusahaan.
Redirection object
Konfigurasikan Instance Type dan Instance ID untuk pengalihan traffic.
PentingDalam mode otomatis, jumlah VPC yang dilindungi ditentukan oleh jumlah instans jaringan (VPC, TR, dan VBR) yang dikonfigurasi dalam skenario pengalihan traffic.
Klik OK.
Proses konfigurasi pengalihan traffic dapat memakan waktu hingga 30 menit. Setelah proses selesai, traffic antar instans jaringan yang terhubung ke router transit akan dilindungi.
Setelah firewall VPC dibuat, firewall tersebut diaktifkan secara otomatis. Cloud Firewall secara otomatis membuat sumber daya berikut di VPC Anda:
Sumber daya VPC bernama
Cloud_Firewall_VPC.PentingJangan menambahkan sumber daya bisnis lain ke
Cloud_Firewall_VPC. Jika tidak, Anda tidak dapat menghapus sumber daya tersebut saat menghapus firewall VPC. Jangan mengubah atau menghapus sumber daya jaringan di VPC ini secara manual.Sumber daya vSwitch bernama
Cloud_Firewall_VSWITCH.Entri rute kustom dengan keterangan:
Created by cloud firewall. Do not modify or delete it..
CatatanSetelah Anda mengaktifkan firewall VPC, jika Anda menambahkan atau menghapus informasi tabel rute VPC, Cloud Firewall memerlukan waktu 15 hingga 30 menit untuk mempelajari rute tersebut. Kami menyarankan agar Anda menunggu hingga proses pembelajaran rute selesai sebelum memverifikasi efektivitas tabel rute. Jika Anda memiliki pertanyaan, kirim .
Manual
Dalam mode manual, Anda harus membuat antarmuka jaringan elastis untuk firewall VPC pada Router transit Edisi Perusahaan secara manual dan mengonfigurasi rute untuk mengalihkan traffic ke ENI tersebut. Untuk petunjuk lengkap, lihat Lindungi seluruh traffic antar VPC yang terhubung oleh router transit CEN (pengalihan lalu lintas manual), Lindungi sebagian traffic antar VPC yang terhubung oleh router transit CEN (pengalihan lalu lintas manual), dan Lindungi traffic antar VPC lintas wilayah dalam instans CEN (pengalihan lalu lintas manual).
PentingDalam mode manual, Anda juga harus memilih jaringan VPC dan vSwitch yang terhubung ke instans CEN. Jika Anda memilih mode manual, Anda harus memperpanjang instans Cloud Firewall Anda sebelum masa berlakunya habis. Jika tidak, ketika layanan Cloud Firewall tidak tersedia, pengalihan traffic akan gagal dan menyebabkan gangguan jaringan.
Di panel Create VPC Firewall, konfigurasikan firewall VPC.
Parameter
Deskripsi
Firewall Basic Information
Firewall Name: Masukkan nama yang unik dan deskriptif untuk instans firewall VPC.
VPC: Konfigurasikan VPC untuk firewall.
PentingVPC yang dikonfigurasi harus dimiliki oleh akun yang sama dengan CEN-TR. Jika tidak, firewall VPC tidak dapat dibuat.
vSwitch: Konfigurasikan vSwitch untuk firewall.
Intrusion prevention
Pilih mode operasi dan kebijakan pencegahan intrusi untuk modul IPS.
IPS Mode
Monitor Mode: Memantau dan menghasilkan peringatan untuk traffic berbahaya.
Block Mode: Mencegat traffic berbahaya untuk memblokir intrusi.
IPS Capabilities
Basic Rules: Memberikan perlindungan dasar untuk aset Anda, termasuk memblokir serangan brute-force, kerentanan eksekusi perintah, dan koneksi ke server C&C.
Virtual Patching: Memberikan perlindungan real-time terhadap kerentanan aplikasi berisiko tinggi yang populer.
CatatanPengaturan ini berlaku untuk semua instans jaringan di bawah instans CEN yang sama.
Klik Start Creation.
Setelah Anda mengaktifkan firewall VPC, Cloud Firewall secara otomatis menambahkan grup keamanan bernama
Cloud_Firewall_Security_Group. Grup keamanan ini memiliki kebijakan allow yang telah dikonfigurasi sebelumnya (juga dikenal sebagai authorization policy) untuk mengizinkan traffic ke firewall VPC.PentingJangan menghapus grup keamanan
Cloud_Firewall_Security_Groupatau kebijakan allow-nya. Melakukannya akan menyebabkan gangguan traffic.PeringatanSetelah membuat firewall VPC, mengubah vSwitch atau tabel rute di VPC firewall dapat menyebabkan gangguan traffic.
Menonaktifkan atau menghapus firewall VPC untuk Router transit Edisi Perusahaan dalam mode manual dapat menyebabkan gangguan traffic.
Lakukan operasi batch atau sering-sering mengaktifkan/menonaktifkan firewall VPC selama jam sepi untuk meminimalkan dampak terhadap bisnis Anda.
Langkah selanjutnya
Setelah Anda mengaktifkan firewall VPC, Anda dapat menyiapkan kebijakan kontrol akses untuk mengontrol akses antar VPC. Untuk informasi lebih lanjut, lihat Konfigurasikan kebijakan kontrol akses untuk firewall VPC.
Setelah Anda mengaktifkan firewall VPC, Anda dapat menggunakan fitur VPC Access untuk melihat traffic antar VPC Anda. Untuk informasi lebih lanjut, lihat VPC Access.
Setelah Anda mengaktifkan firewall VPC, Anda dapat menggunakan fitur VPC Protection untuk melihat informasi mengenai event anomali antar VPC yang dicegat oleh Cloud Firewall. Untuk informasi lebih lanjut, lihat Lihat event pemblokiran traffic VPC.
Operasi tambahan
Ubah konfigurasi pengalihan otomatis
Untuk memodifikasi atau menghapus konfigurasi mode pengalihan lalu lintas otomatis, temukan router transit target di bawah instans CEN, klik Details di kolom Actions, lalu lakukan operasi berikut di tab Traffic Redirection Scenario pada panel VPC Firewall Details.
Nonaktifkan skenario pengalihan traffic
Klik toggle untuk skenario pengalihan traffic yang diaktifkan.
Di kotak dialog Disable Traffic Redirection Scenario, Anda dapat menonaktifkan skenario dengan menggunakan Route rollback atau Route revocation.
Roll Back Route: Opsi ini cocok jika Anda belum mengubah rute CEN/TR dan ingin segera memulihkan konfigurasi routing yang ada sebelum pengalihan Cloud Firewall. Rollback ini langsung menghapus tabel rute pengalihan Cloud Firewall dan memulihkan tabel rute asli. Proses ini memerlukan waktu sekitar 1 menit.
Withdraw Route: Opsi ini cocok jika Anda telah mengubah rute CEN/TR dan perlu mencabut skenario routing yang dibuat oleh Cloud Firewall. Tindakan ini hanya menghapus entri rute Cloud Firewall dan tidak menghapus tabel rute yang dibuat oleh Cloud Firewall. Waktu yang diperlukan bergantung pada jumlah entri rute.
Klik OK.
PentingTindakan ini tidak dapat dibatalkan. Konfirmasi pilihan Anda sebelum melanjutkan. Setelah Anda menonaktifkan skenario, segera periksa status traffic bisnis Anda.
Hapus skenario pengalihan traffic
Arahkan kursor ke kartu skenario pengalihan traffic target dan klik Delete untuk menghapusnya. Sebelum menghapus skenario pengalihan traffic otomatis, Anda harus menonaktifkannya terlebih dahulu.
Modifikasi skenario pengalihan traffic
Arahkan kursor ke kartu skenario pengalihan traffic target dan klik Edit untuk memodifikasinya.
Lihat detail rute
Arahkan kursor ke kartu skenario pengalihan traffic target dan klik Route Details untuk melihat rute pengalihan traffic untuk firewall VPC.
Edit atau hapus firewall VPC
Untuk memodifikasi atau menghapus firewall VPC, buka tab CEN (Enterprise Edition) di bawah VPC Firewall. Temukan router transit target di bawah instans CEN, lalu klik Edit atau Delete di kolom Actions.
Mode manual: Untuk menghindari gangguan layanan, sebelum menghapus instans firewall, hapus terlebih dahulu rute yang mengarah ke firewall VPC secara manual, lalu hapus firewall VPC.
Mode otomatis: Jika firewall diaktifkan, Anda harus menghapus semua skenario pengalihan traffic saat ini sebelum menghapus firewall VPC.
Modifikasi konfigurasi IPS
Untuk mengubah mode IPS atau kapabilitas, menambahkan alamat IP ke daftar putih, atau mengubah aturan IPS, klik Configure IPS pada kolom Actions untuk instans firewall. Lakukan konfigurasi pengaturan di tab VPC Border pada halaman IPS Configuration. Untuk informasi selengkapnya, lihat Konfigurasi IPS.