全部产品
Search

搜索本产品

    Cloud Firewall:Konfigurasi firewall VPC untuk router transit Edisi Perusahaan

    文档中心

    Cloud Firewall:Konfigurasi firewall VPC untuk router transit Edisi Perusahaan

    更新时间:Nov 10, 2025

    Jika instans jaringan Anda—seperti VPC, VBR, dan VPN—terhubung melalui router transit Edisi Perusahaan dari Cloud Enterprise Network (CEN), Anda dapat menggunakan Firewall VPC untuk melindungi lalu lintas antar instans jaringan tersebut dan meningkatkan keamanan aset bisnis Anda. Topik ini menjelaskan cara membuat dan mengelola Firewall VPC untuk router transit Edisi Perusahaan.

    Pengenalan fungsi

    Prinsip perlindungan

    Setelah membuat Firewall VPC, Cloud Firewall menyaring lalu lintas antar VPC berdasarkan analisis Pemeriksaan Paket Mendalam (DPI), aturan sistem pencegahan intrusi (IPS), intelijen ancaman, Patch Virtual, dan kebijakan kontrol akses. Cloud Firewall kemudian menentukan apakah lalu lintas tersebut diteruskan atau diblokir guna mencegah akses tidak sah dan memastikan keamanan aset jaringan pribadi Anda.

    Gambar berikut menunjukkan contoh skenario perlindungan Firewall VPC yang digunakan bersama router transit Edisi Perusahaan.

    Untuk informasi lebih lanjut tentang cakupan perlindungan, lihat Apa itu Cloud Firewall?.

    Dampak terhadap bisnis

    Pembuatan Firewall VPC tidak memerlukan perubahan pada topologi jaringan yang ada. Anda dapat membuat Firewall VPC dengan satu klik serta mengatur mode pengalihan lalu lintas menjadi otomatis atau manual, sehingga melindungi aset bisnis tanpa mengganggu operasional. Proses pembuatan memerlukan waktu sekitar 5 menit. Disarankan untuk membuat Firewall VPC di luar jam sibuk.

    Dalam mode pengalihan lalu lintas otomatis, pembuatan atau penghapusan Firewall VPC memerlukan waktu sekitar 5 hingga 30 menit, tergantung pada jumlah rute, dan tidak memengaruhi bisnis Anda.

    Dalam mode pengalihan lalu lintas manual, durasi pembuatan atau penghapusan Firewall VPC serta dampaknya terhadap bisnis bergantung pada metode peralihan lalu lintas yang digunakan.

    Batasan

    • Saat membuat Firewall VPC, sebuah instansi terhubung-VPC bernama Cloud_Firewall_VPC akan dibuat. Pastikan akun Alibaba Cloud Anda memiliki kuota VPC yang mencukupi. Untuk informasi selengkapnya tentang kuota VPC, lihat Batasan dan kuota.

    • Mode pengalihan lalu lintas otomatis tidak mendukung skenario berikut:

      • Tabel rute router transit Edisi Perusahaan berisi route statis, kecuali route statis dalam blok CIDR 100.64.0.0/10 dan subnet-nya.

      • Lalu lintas dialihkan secara bersamaan dari instansi terhubung-VPC, instansi terhubung-VBR, dan instansi terhubung-TR.

      • Router transit Edisi Dasar digunakan untuk pengalihan lalu lintas.

      • Router transit mengalami konflik rute.

      • Fitur daftar prefiks digunakan untuk VPC.

    • Firewall VPC tidak mendukung perlindungan untuk skenario di mana Gateway VPN—seperti IPsec-VPN atau SSL VPN—terhubung langsung ke VPC. Namun, Firewall VPC mendukung perlindungan untuk skenario di mana IPsec-VPN disambungkan ke router transit. Untuk informasi selengkapnya, lihat Skenario aplikasi IPsec-VPN (disambungkan ke router transit).

    • Firewall VPC tidak melindungi lalu lintas IPv6.

    • Firewall VPC tidak mengalihkan atau melindungi lalu lintas yang ditujukan ke blok CIDR layanan cloud (100.64.0.0/10) atau rute dengan masker subnet 32-bit.

    • Anda harus memelihara secara manual hal-hal berikut:

      • Kebijakan routing dalam tabel rute router transit CEN. Misalnya, Anda harus mengonfigurasi dan memelihara kebijakan prioritas rute untuk VBR secara manual dalam tabel rute router transit Firewall VPC.

      • Route statis untuk blok CIDR layanan cloud (100.64.0.0/10).

      • Pembelajaran rute dalam tabel rute sistem.

    Buat firewall VPC dan atur mode pengalihan lalu lintas

    Prasyarat

    • Anda telah membeli Edisi Perusahaan, Edisi Ultimate, atau Edisi Bayar Sesuai Penggunaan Cloud Firewall. Untuk informasi selengkapnya, lihat Pembelian Cloud Firewall.

      Catatan

      Hanya edisi Perusahaan, Ultimate, dan Bayar Sesuai Penggunaan Cloud Firewall yang mendukung Firewall VPC untuk router transit Edisi Perusahaan. Edisi Premium tidak mendukung fitur ini.

    • Anda telah memberikan otorisasi kepada Cloud Firewall untuk mengakses sumber daya cloud Anda. Untuk informasi selengkapnya, lihat Otorisasi Cloud Firewall untuk mengakses sumber daya cloud.

    • Anda telah membeli instans CEN dan menggunakan router transit Edisi Perusahaan untuk membangun koneksi jaringan antar VPC atau antara pusat data lokal dan cloud. Untuk informasi selengkapnya, lihat Menghubungkan jaringan lokal dan cloud dan Menghubungkan VPC lintas akun.

      Catatan

      Jika VPC dalam instans CEN Anda dibuat menggunakan akun Alibaba Cloud yang berbeda dan akun tersebut belum memberikan otorisasi kepada Cloud Firewall, Anda tidak dapat membuat Firewall VPC. Disarankan agar Anda masuk ke Konsol Cloud Firewall menggunakan akun yang sesuai untuk memberikan otorisasi yang diperlukan sebelum membuat Firewall VPC. Untuk informasi selengkapnya, lihat Otorisasi Cloud Firewall untuk mengakses sumber daya cloud.

    • Sumber daya jaringan Anda harus berada di wilayah yang mendukung Firewall VPC. Jika tidak, Anda tidak dapat membuat Firewall VPC. Untuk informasi selengkapnya, lihat Wilayah yang didukung.

    Prosedur

    Penting

    Anda tidak dapat memutar balik atau menjeda proses pengaktifan Firewall VPC. Jika terjadi pengecualian, sistem akan secara otomatis memutar balik proses tersebut.

    1. Masuk ke Konsol Cloud Firewall. Di panel navigasi sebelah kiri, klik Firewall Settings.

    2. Di halaman Firewall Settings, klik VPC Firewall.

    3. Di tab VPC Firewall, klik Cloud Enterprise Network (Enterprise Edition).

    4. Temukan router transit yang terkait dengan instans CEN target. Di kolom Actions, klik Create.

      Jika aset yang ingin Anda lindungi tidak ada dalam daftar aset, klik Synchronize Assets untuk menyinkronkan informasi aset akun Alibaba Cloud Anda dan akun anggotanya.

      Penting

      • Automatic: Jika Anda menggunakan Edisi Bayar Sesuai Penggunaan atau edisi langganan dengan fitur bayar sesuai penggunaan diaktifkan, Cloud Firewall menanggung biaya lalu lintas router transit untuk lalu lintas yang diproses Firewall VPC dan dikirim kembali ke router transit Edisi Perusahaan. Anda tidak perlu membayar biaya ini, dan lalu lintas tersebut tidak mengurangi kuota VPC Anda.

      • Manual: Lalu lintas yang diproses oleh Firewall VPC dan dikirim kembali ke router transit Edisi Perusahaan akan dikenai biaya lalu lintas router transit.

      Automatic (recommended)

      Dalam mode pengalihan lalu lintas otomatis, Anda dapat membuat skenario pengalihan lalu lintas untuk setiap instans jaringan sesuai kebutuhan. Firewall VPC secara otomatis mengonfigurasi rute pada router transit Edisi Perusahaan dan membuat elastic network interfaces (ENIs) untuk Firewall VPC guna mengalihkan lalu lintas.

      1. Di panel Create VPC Firewall, konfigurasikan Firewall VPC berdasarkan tabel berikut. Kemudian, klik Check Now. Setelah pemeriksaan selesai, klik Next.

        Item Konfigurasi

        Deskripsi

        Firewall Basic Information

        Firewall Name: Nama firewall VPC. Nama ini digunakan untuk mengidentifikasi instans firewall VPC. Kami menyarankan agar Anda memasukkan nama yang bermakna sesuai kebutuhan bisnis Anda dan memastikan nama tersebut unik.

        VPC Configurations of Firewall

        • VPC CIDR Block of Firewall: Tetapkan blok CIDR VPC untuk Cloud Firewall. Untuk memastikan Cloud Firewall berfungsi dengan baik, tetapkan blok CIDR dengan masker subnet minimal 27 bit yang tidak bertentangan dengan perencanaan jaringan Anda.

        • Konfigurasi zona:

          Catatan

          • Jika Anda memilih Default (Auto-assigned) untuk zona primer dan sekunder, mode aktif-aktif diaktifkan. Mode ini mudah dikonfigurasi dan ideal untuk skenario dengan lalu lintas layanan yang tidak sensitif terhadap latensi.

          • Jika Anda menentukan zona primer dan zona sekunder, mode aktif-pasif digunakan. Mode ini cocok untuk skenario di mana lalu lintas layanan sensitif terhadap latensi dan dapat mengurangi latensi lalu lintas.

          • Untuk informasi selengkapnya tentang mode aktif-aktif dan aktif-pasif serta langkah-langkah migrasi, lihat Praktik terbaik untuk migrasi zona firewall VPC.

          • Primary Zone: Tetapkan zona primer. Cloud Firewall mendukung penetapan zona vSwitch secara default.

            Penting

            Jika bisnis Anda sensitif terhadap latensi, kami menyarankan agar Anda menetapkan Zona Primer sebagai wilayah tempat lalu lintas layanan terjadi untuk mengurangi latensi.

          • Secondary Zone: Tetapkan zona sekunder. Firewall VPC meneruskan lalu lintas melalui ENI di zona primer secara default untuk transmisi yang efisien. Ketika zona primer tidak tersedia, sistem secara otomatis beralih ke ENI di zona sekunder untuk meneruskan lalu lintas. Hal ini memastikan kelangsungan bisnis dalam skenario pemulihan bencana.

        Intrusion Prevention

        Pilih mode operasi dan kebijakan untuk modul sistem pencegahan intrusi (IPS).

        • IPS Mode

          • Monitor Mode: Setelah Anda mengaktifkan mode pemantauan, lalu lintas berbahaya dipantau dan peringatan dihasilkan.

          • Block Mode: Setelah Anda mengaktifkan mode blok, lalu lintas berbahaya diblokir untuk mencegah intrusi.

        • IPS Capabilities

          • Basic Rules: Setelah Anda mengaktifkan kebijakan dasar, perlindungan dasar diberikan untuk aset Anda. Ini termasuk memblokir serangan brute-force dan kerentanan eksekusi perintah, serta mengelola koneksi ke server command and control (C&C) setelah infeksi.

          • Virtual Patching: Setelah Anda mengaktifkan pembenahan virtual, perlindungan real-time terhadap kerentanan aplikasi berisiko tinggi yang populer diberikan.

        Catatan

        Pengaturan ini berlaku untuk semua instans jaringan dalam instans CEN yang sama.

      2. Setelah firewall dibuat, klik Next. Kemudian, konfigurasikan skenario pengalihan lalu lintas berdasarkan tabel berikut.

        Anda juga dapat mengonfigurasi skenario pengalihan lalu lintas nanti. Untuk melakukannya, di tab Cloud Enterprise Network (Enterprise Edition), temukan router transit yang terkait dengan instans CEN target dan klik Configure Now di kolom Firewall Status. Di tab Traffic Redirection Scenario, klik Create Traffic Redirection Scenario Now lalu klik Create Traffic Redirection Scenario.

        Item Konfigurasi

        Deskripsi

        Basic Information

        Template Name: Tetapkan nama templat pengalihan lalu lintas.

        Scenario Type

        Pilih jenis skenario yang ingin Anda kendalikan dan lindungi dengan firewall VPC.

        • Point-to-point: Lalu lintas antara dua elemen jaringan melewati Cloud Firewall untuk dikendalikan. Jenis ini cocok untuk topologi jaringan sederhana.

        • Point-to-multipoint: Lalu lintas antara satu elemen jaringan dan beberapa elemen jaringan diarahkan melalui Cloud Firewall untuk dikendalikan. Ini cocok untuk topologi jaringan bintang. Anda dapat memilih ALL untuk sub-instans pengalihan lalu lintas guna mengalihkan seluruh lalu lintas yang ditujukan ke instans pengalihan lalu lintas utama melalui Cloud Firewall. (Ini setara dengan skenario pengalihan lalu lintas firewall VPC untuk Router Transit Edisi Dasar).

          Penting

          Jika tabel rute router transit berisi rute deny kustom, skenario pengalihan lalu lintas titik-ke-multi-titik tidak didukung. Kami menyarankan agar Anda menggunakan skenario pengalihan lalu lintas interkoneksi multi-titik sebagai gantinya.

        • Multi-point Interconnection: Lalu lintas antara beberapa elemen jaringan melewati Cloud Firewall untuk dikendalikan. Jenis ini cocok untuk topologi jaringan Full-mesh.

        Catatan

        Elemen jaringan adalah instans jaringan yang dihubungkan melalui router transit Edisi Perusahaan, termasuk instansi terhubung-VPC, instansi terhubung-VBR, dan instansi terhubung-TR.

        Traffic Redirection Object

        Konfigurasikan Traffic Redirection Instance Type dan Traffic Redirection Instance ID.

        Penting

        Dalam mode pengalihan lalu lintas otomatis, jumlah VPC yang dilindungi ditentukan oleh jumlah elemen jaringan—seperti VPC, router transit, VBR, dan gateway VPN—yang dikonfigurasi dalam skenario pengalihan lalu lintas.

      3. Klik OK.

        Konfigurasi pengalihan lalu lintas memerlukan waktu lama dan diperkirakan selesai dalam waktu 30 menit. Setelah konfigurasi selesai, lalu lintas antar instans jaringan yang terhubung ke router transit dilindungi.

      Setelah Firewall VPC dibuat, firewall tersebut diaktifkan secara otomatis. Cloud Firewall secara otomatis membuat sumber daya berikut:

      • Sumber daya VPC bernama Cloud_Firewall_VPC.

        Penting

        Jangan menambahkan sumber daya bisnis lain ke `Cloud_Firewall_VPC`. Jika Anda melakukannya, sumber daya tersebut tidak dapat dihapus saat Anda menghapus Firewall VPC. Jangan memodifikasi atau menghapus sumber daya jaringan dalam VPC ini secara manual.

      • Sumber daya vSwitch bernama Cloud_Firewall_VSWITCH.

      • Rute kustom dengan keterangan Dibuat oleh cloud firewall. Jangan modifikasi atau hapus..

      Catatan

      Jika Anda menambahkan atau menghapus rute dalam tabel rute VPC setelah membuat Firewall VPC, Anda harus menunggu 15 hingga 30 menit agar Cloud Firewall mempelajari rute baru tersebut. Disarankan untuk menunggu hingga Cloud Firewall menyelesaikan pembelajaran rute sebelum memeriksa tabel rute. Jika Anda memiliki pertanyaan, Anda dapat mengajukan tiket untuk berkonsultasi dengan ahli teknis produk.

      Manual

      Dalam mode pengalihan lalu lintas manual, Anda harus membuat ENI secara manual untuk Firewall VPC pada router transit Edisi Perusahaan dan mengonfigurasi rute untuk mengalihkan lalu lintas ke ENI tersebut. Untuk informasi selengkapnya, lihat Lindungi seluruh lalu lintas antar VPC yang terhubung ke router transit CEN (pengalihan lalu lintas manual), Lindungi sebagian lalu lintas antar VPC yang terhubung ke router transit CEN (pengalihan lalu lintas manual), dan Lindungi lalu lintas antar VPC yang terhubung ke router transit CEN dalam skenario lintas wilayah (pengalihan lalu lintas manual).

      Penting

      Dalam mode pengalihan lalu lintas manual, Anda juga harus memilih VPC dan vSwitch yang terhubung ke instans CEN. Jika Anda memilih mode ini, Anda harus memperpanjang instans Cloud Firewall sebelum masa berlakunya habis. Jika tidak, layanan Cloud Firewall menjadi tidak tersedia dan pengalihan lalu lintas untuk Firewall VPC gagal, yang menyebabkan gangguan jaringan.

      1. Di panel Create VPC Firewall, konfigurasikan Firewall VPC.

        Item Konfigurasi

        Deskripsi

        Firewall Basic Information

        • Firewall Name: Tentukan nama untuk firewall VPC. Nama ini digunakan untuk mengidentifikasi instans firewall VPC. Kami menyarankan agar Anda memasukkan nama yang bermakna sesuai kebutuhan dan memastikan nama tersebut unik.

        • VPC: Konfigurasikan VPC untuk firewall.

          Penting

          VPC yang dikonfigurasi harus dimiliki oleh akun yang sama dengan CEN-TR. Jika tidak, firewall VPC tidak dapat dibuat.

        • vSwitch: Konfigurasikan vSwitch untuk firewall.

        Intrusion Prevention

        Pilih mode operasi dan kebijakan untuk modul sistem pencegahan intrusi (IPS).

        • IPS Mode

          • Monitor Mode: Setelah Anda mengaktifkan mode pemantauan, lalu lintas berbahaya dipantau dan peringatan dihasilkan.

          • Block Mode: Setelah Anda mengaktifkan mode blok, lalu lintas berbahaya diblokir untuk mencegah intrusi.

        • IPS Capabilities

          • Basic Rules: Setelah Anda mengaktifkan kebijakan dasar, perlindungan dasar diberikan untuk aset Anda. Ini termasuk memblokir serangan brute-force dan kerentanan eksekusi perintah, serta mengelola koneksi ke server command and control (C&C) setelah infeksi.

          • Virtual Patching: Setelah Anda mengaktifkan pembenahan virtual, perlindungan real-time terhadap kerentanan aplikasi berisiko tinggi yang populer diberikan.

        Catatan

        Pengaturan ini berlaku untuk semua instans jaringan dalam instans CEN yang sama.

      2. Klik Start Creation.

      Setelah Anda membuat Firewall VPC, grup keamanan bernama `Cloud_Firewall_Security_Group` ditambahkan secara otomatis. Grup keamanan ini dikonfigurasi dengan Authorization Policy untuk mengizinkan lalu lintas ke Firewall VPC.

      Penting

      Jangan menghapus grup keamanan `Cloud_Firewall_Security_Group` atau kebijakan otorisasinya. Jika dihapus, lalu lintas akan terputus.

      Peringatan

      • Setelah membuat Firewall VPC, mengubah vSwitch dan tabel rute dalam `Cloud_Firewall_VPC` dapat menyebabkan gangguan lalu lintas.

      • Menonaktifkan atau menghapus Firewall VPC dalam mode pengalihan lalu lintas manual untuk router transit Edisi Perusahaan dapat menyebabkan gangguan lalu lintas.

      Untuk melakukan operasi batch atau sering mengaktifkan/menonaktifkan Firewall VPC, disarankan agar Anda melakukannya di luar jam sibuk guna meminimalkan dampak terhadap bisnis Anda.

    Langkah selanjutnya

    • Setelah membuat Firewall VPC, Anda dapat mengonfigurasi kebijakan kontrol akses untuk mengendalikan lalu lintas antar VPC. Untuk informasi selengkapnya, lihat Konfigurasi kebijakan kontrol akses untuk Firewall VPC.

    • Setelah membuat Firewall VPC, Anda dapat menggunakan fitur Akses VPC untuk melihat lalu lintas antar VPC. Untuk informasi selengkapnya, lihat Akses VPC.

    • Setelah membuat Firewall VPC, Anda dapat menggunakan fitur perlindungan VPC untuk melihat aktivitas anomali antar VPC yang diblokir oleh Cloud Firewall. Untuk informasi selengkapnya, lihat Lihat event pemblokiran VPC.

    Operasi lainnya

    Ubah konfigurasi mode pengalihan lalu lintas otomatis

    Jika Anda ingin memodifikasi konfigurasi mode pengalihan lalu lintas otomatis atau jika bisnis Anda tidak lagi memerlukan mode ini, temukan router transit target yang terkait dengan instans CEN, klik Details di kolom Actions, lalu lakukan operasi berikut di tab Traffic Redirection Scenario pada panel VPC Firewall Details.

    Nonaktifkan skenario pengalihan lalu lintas

    1. Klik sakelar yang diaktifkan untuk skenario pengalihan lalu lintas.

    2. Di kotak dialog Disable Traffic Redirection Scenario, Anda dapat menonaktifkan skenario pengalihan lalu lintas menggunakan Pemulihan Rute atau Pencabutan Rute.

      • Route Rollback: Opsi ini cocok jika Anda ingin menonaktifkan Cloud Firewall, belum memodifikasi rute router transit CEN, dan perlu memulihkan cepat skenario routing yang digunakan sebelum lalu lintas dialihkan ke Cloud Firewall. Operasi pemulihan ini langsung menghapus tabel rute untuk pengalihan lalu lintas Cloud Firewall, dan layanan dipulihkan ke tabel rute aslinya. Proses ini memerlukan waktu sekitar 1 menit.

      • Route Revocation: Opsi ini cocok jika Anda ingin menonaktifkan Cloud Firewall, telah memodifikasi rute router transit CEN, dan perlu mencabut skenario routing yang dibuat oleh Cloud Firewall. Operasi ini hanya menghapus entri rute Cloud Firewall dan tidak menghapus tabel rute yang dibuat oleh Cloud Firewall. Waktu yang diperlukan untuk proses ini bergantung pada jumlah entri rute. Semakin banyak entri rute, semakin lama prosesnya.

    3. Klik OK.

      Penting

      Operasi penonaktifan tidak dapat dibatalkan. Konfirmasi tindakan Anda dengan hati-hati sebelum melanjutkan. Setelah menonaktifkan skenario, segera periksa status lalu lintas layanan Anda.

    Hapus skenario pengalihan lalu lintas

    Arahkan pointer ke kartu skenario pengalihan lalu lintas yang ingin Anda hapus dan klik Delete. Sebelum menghapus skenario pengalihan lalu lintas otomatis, Anda harus menonaktifkannya terlebih dahulu.

    Modifikasi skenario pengalihan lalu lintas

    Arahkan pointer ke kartu skenario pengalihan lalu lintas yang ingin Anda modifikasi dan klik Edit.

    Lihat detail rute

    Arahkan pointer ke kartu skenario pengalihan lalu lintas yang ingin Anda lihat dan klik Route Details untuk melihat detail rute pengalihan lalu lintas Firewall VPC.

    Edit atau hapus firewall VPC

    Jika Anda ingin memodifikasi konfigurasi Firewall VPC atau jika bisnis Anda tidak lagi memerlukan Firewall VPC tersebut, buka tab VPC Firewall Cloud Enterprise Network (Enterprise Edition). Kemudian, temukan router transit yang terkait dengan instans CEN target dan klik Edit atau Delete di kolom Actions.

    Penting

    • Mode manual: Jika Anda ingin menghapus instans firewall, Anda harus terlebih dahulu menghapus rute yang mengarah ke Firewall VPC secara manual, lalu menghapus Firewall VPC. Hal ini mencegah gangguan layanan.

    • Mode otomatis: Jika firewall diaktifkan, Anda harus terlebih dahulu menghapus semua skenario pengalihan lalu lintas, lalu menghapus Firewall VPC.

    Modifikasi konfigurasi IPS

    Untuk memodifikasi mode perlindungan sistem pencegahan intrusi (IPS) atau kemampuannya, menambahkan alamat IP tujuan atau sumber tertentu ke daftar putih, atau memodifikasi aturan IPS, Anda dapat mengklik Configure IPS di kolom Actions instans Cloud Firewall yang ada. Kemudian, konfigurasikan pengaturan di tab VPC Border pada halaman IPS Configuration. Untuk informasi selengkapnya, lihat Konfigurasi IPS.

    Referensi