Lindungi lalu lintas akses antar instans jaringan yang terhubung melalui koneksi peering VPC atau Express Connect - Cloud Firewall

Anda dapat menggunakan firewall VPC untuk melindungi lalu lintas antar instans jaringan yang terhubung melalui koneksi peering VPC atau Express Connect, sehingga meningkatkan keamanan aset bisnis Anda. Topik ini menjelaskan cara mengonfigurasi firewall VPC untuk Express Connect.

Pengenalan fungsi

Topologi jaringan untuk perlindungan

Untuk informasi lebih lanjut tentang cakupan perlindungan, lihat Apa itu Cloud Firewall?.

Dampak terhadap layanan

Anda dapat membuat firewall VPC untuk melindungi aset bisnis tanpa mengubah topologi jaringan saat ini. Proses pembuatan memerlukan waktu sekitar 5 menit dan tidak memengaruhi layanan Anda. Kami menyarankan agar Anda mengaktifkan firewall VPC selama jam non-sibuk.

Mengaktifkan atau menonaktifkan firewall VPC memerlukan waktu sekitar 5 hingga 30 menit, tergantung pada jumlah rute. Selama proses ini, koneksi persisten mungkin mengalami gangguan sementara selama beberapa detik, sedangkan koneksi berumur pendek tidak terpengaruh.

Catatan

Sebelum mengaktifkan firewall VPC, pastikan aplikasi Anda mendukung pengiriman ulang TCP otomatis. Pantau status koneksi aplikasi secara ketat untuk mencegah gangguan akibat mekanisme pengiriman ulang yang tidak tersedia.

Batasan

Batasan	Deskripsi	Saran
Batasan jenis lalu lintas	Firewall VPC tidak mendukung perlindungan lalu lintas IPv6. Lalu lintas yang ditujukan ke blok CIDR layanan Alibaba Cloud (100.64.0.0/10) tidak dialihkan ke firewall VPC untuk perlindungan.	Tidak ada
Batasan rute	Rute dengan mask subnet 32-bit tidak dilindungi dalam Express Connect. Jika suatu rute memiliki mask subnet 32-bit, mengaktifkan firewall VPC akan mengganggu akses jaringan ke blok CIDR tersebut.	Ubah panjang mask blok CIDR menjadi 30 atau kurang sebelum Anda mengaktifkan firewall VPC. Jika Anda memiliki pertanyaan, silakan membuat tiket untuk menghubungi ahli teknis produk guna mendapatkan bantuan.

Membuat dan mengaktifkan firewall VPC

Prasyarat

Anda telah mengaktifkan Cloud Firewall Edisi Perusahaan, Edisi Ultimate, atau bayar sesuai penggunaan. Untuk informasi lebih lanjut, lihat Pembelian Cloud Firewall.
Catatan
Hanya Cloud Firewall Edisi Perusahaan, Edisi Ultimate, dan bayar sesuai penggunaan yang mendukung firewall VPC untuk router transit edisi perusahaan. Edisi Pro tidak didukung.
Anda telah memberikan izin yang diperlukan kepada Cloud Firewall untuk mengakses sumber daya cloud Anda. Untuk informasi lebih lanjut, lihat Memberikan izin kepada Cloud Firewall.
Anda telah membeli instans Express Connect dan menggunakan Express Connect atau koneksi peering VPC untuk menetapkan konektivitas jaringan antar VPC. Untuk informasi lebih lanjut, lihat Menggunakan koneksi peering VPC untuk mengaktifkan konektivitas privat antar VPC.
Pastikan sumber daya jaringan Anda berada di wilayah yang mendukung firewall VPC. Untuk informasi lebih lanjut, lihat Wilayah yang didukung.

Peringatan

Setelah membuat firewall VPC, mengubah vSwitch atau tabel rute di VPC yang dikelola oleh Cloud Firewall dapat menyebabkan gangguan lalu lintas.
Anda tidak dapat memutar balik atau menjeda proses pengaktifan firewall VPC. Jika terjadi pengecualian, sistem akan secara otomatis memutar balik proses tersebut.

Prosedur

Masuk ke Konsol Cloud Firewall. Di panel navigasi sebelah kiri, klik Firewall Settings.
Di tab VPC Firewall, klik Express Connect.
Di tab Express Connect, klik Sync Asset. Ini akan menyinkronkan informasi aset untuk akun Anda dan akun anggotanya.
Proses ini memerlukan waktu 1 hingga 2 menit.
Temukan instans Express Connect tempat Anda ingin membuat firewall VPC, lalu klik Create di kolom Operation.
Jika Anda memiliki banyak instans Express Connect, Anda dapat memfilternya berdasarkan wilayah atau instansi terhubung-VPC menggunakan opsi di atas daftar.

Di kotak dialog Create VPC Firewall, konfigurasikan parameter. Tabel berikut menjelaskan parameter tersebut.

Item Konfigurasi	Deskripsi
Instance Name	Masukkan nama untuk firewall VPC. Nama ini mengidentifikasi instans firewall. Gunakan nama yang deskriptif dan unik.
Peering Method	Konfirmasi metode peering. Metode peering adalah cara VPC berkomunikasi satu sama lain atau dengan pusat data. Nilai ini tetap diatur sebagai Express Connect dan tidak perlu diatur secara manual.
VPC	Konfirmasi wilayah dan instans VPC. Pilih Route Table yang akan dilindungi dan masukkan Destination CIDR Block. Route Table Saat Anda membuat VPC, sistem secara otomatis membuat tabel rute default untuk mengelola lalu lintas dengan menambahkan rute sistem. VPC mendukung pembuatan beberapa tabel rute sesuai kebutuhan. Untuk informasi lebih lanjut, lihat Ringkasan tabel rute. Saat Anda membuat firewall VPC di Konsol Cloud Firewall, Cloud Firewall secara otomatis membaca informasi tabel rute VPC Anda. Express Connect mendukung beberapa tabel rute. Oleh karena itu, Anda dapat melihat dan memilih tabel rute VPC yang ingin dilindungi saat membuat firewall VPC untuk Express Connect. Destination CIDR Block Saat Anda memilih rute dari daftar drop-down Route Table, blok CIDR tujuan default dari tabel rute akan ditampilkan secara otomatis. Untuk melindungi blok CIDR lainnya, Anda dapat memodifikasi blok CIDR tujuan secara manual. Anda dapat menambahkan beberapa blok CIDR, dipisahkan dengan koma (,). Penting Setelah Anda mengaktifkan firewall VPC, Anda harus menambahkan blok CIDR baru yang ingin dilindungi secara manual.
Peer VPC	Konfirmasi wilayah dan instans VPC peer. Pilih Route Table yang akan dilindungi dan masukkan Destination CIDR Block. Penting Setelah Anda mengaktifkan firewall VPC, Anda harus menambahkan blok CIDR baru yang ingin dilindungi secara manual.
Intrusion Prevention	Pilih kebijakan pencegahan intrusi yang akan diaktifkan. Opsi yang tersedia adalah: IPS Defense Mode Monitor Mode: Saat mode pemantauan diaktifkan, lalu lintas berbahaya dipantau dan peringatan dihasilkan. Block Mode: Saat mode blok diaktifkan, lalu lintas berbahaya diblokir untuk menghentikan intrusi. Tiga mode blok didukung: Block Mode - Loose Blocking Mode - Medium Block Mode - Strict IPS Defense Capability Basic Policies: Saat kebijakan dasar diaktifkan, kebijakan ini memberikan perlindungan dasar untuk aset Anda. Ini mencakup pemblokiran serangan brute-force, kerentanan eksekusi perintah, dan koneksi ke server command and control (C&C) dari host yang terinfeksi. Virtual Patches: Saat patch virtual diaktifkan, patch ini memberikan perlindungan real-time terhadap kerentanan aplikasi populer dan penting.
Enable VPC Firewall	Jika Anda mengaktifkan sakelar ini, firewall VPC akan diaktifkan secara otomatis setelah dibuat.

Klik Submit dan konfirmasi tindakan tersebut.
Catatan
Setelah Anda mengaktifkan firewall VPC, jika Anda menambahkan atau menghapus informasi tabel rute untuk VPC, Cloud Firewall memerlukan waktu 15 hingga 30 menit untuk mempelajari rute baru. Tunggu hingga proses pembelajaran rute selesai sebelum memeriksa apakah tabel rute telah berlaku. Jika Anda memiliki pertanyaan, silakan membuat tiket untuk menghubungi ahli teknis produk guna mendapatkan bantuan.
Setelah firewall VPC dibuat, Cloud Firewall secara otomatis membuat sumber daya berikut di virtual private cloud (VPC) Anda:
Entri rute kustom: Keterangan berupa Created by cloud firewall. Do not modify or delete it..
Setelah Anda mengaktifkan firewall VPC, grup keamanan bernama Cloud_Firewall_Security_Group akan ditambahkan secara otomatis, dan kebijakan allow (suatu Authorization Policy) dikonfigurasi secara otomatis untuk grup keamanan ini guna mengizinkan lalu lintas menuju firewall VPC.
Penting
Jangan menghapus grup keamanan Cloud_Firewall_Security_Group atau kebijakan otorisasinya. Jika dihapus, lalu lintas tidak dapat mengalir ke firewall VPC.
Untuk melakukan operasi batch atau sering mengaktifkan dan menonaktifkan firewall VPC, lakukan operasi tersebut selama jam non-sibuk agar tidak memengaruhi layanan Anda.
Di tab Express Connect, aktifkan sakelar untuk firewall VPC yang telah Anda buat.
Cloud Firewall hanya dapat melindungi sumber daya jaringan Anda saat firewall VPC diaktifkan. Firewall berhasil diaktifkan ketika Firewall Status berubah menjadi Enabled.

Operasi lainnya

Menonaktifkan firewall VPC

Peringatan

Menonaktifkan firewall VPC dapat menyebabkan gangguan koneksi sementara.

Untuk menonaktifkan firewall VPC, buka tab Express Connect, temukan instans firewall VPC yang dituju, lalu matikan Firewall Switch.

Firewall berhasil dinonaktifkan ketika Firewall Status berubah menjadi Disabled.

Menghapus firewall VPC

Peringatan

Menghapus firewall VPC dapat menyebabkan gangguan koneksi sementara.

Jika Anda tidak lagi memerlukan firewall VPC, buka tab Express Connect, temukan instans firewall VPC yang dituju, lalu klik Delete di kolom Operation.

Mengedit firewall VPC

Untuk memodifikasi konfigurasi firewall VPC, buka tab Express Connect, temukan instans firewall VPC yang dituju, lalu klik Edit di kolom Operation.

Memodifikasi konfigurasi IPS

Untuk memodifikasi mode atau kemampuan perlindungan sistem pencegahan intrusi (IPS), menambahkan alamat IP tujuan atau sumber tertentu ke daftar putih, atau memodifikasi aturan IPS, Anda dapat mengklik Configure IPS di kolom Actions instans Cloud Firewall yang sudah ada. Kemudian, konfigurasikan pengaturan di tab VPC Border pada halaman IPS Configuration. Untuk informasi lebih lanjut, lihat Konfigurasi IPS.

Referensi

Setelah Anda mengaktifkan firewall VPC, Anda dapat mengonfigurasi kebijakan kontrol akses untuk firewall VPC guna mengontrol akses antar VPC.
Setelah Anda mengaktifkan firewall VPC, Anda dapat menggunakan fitur VPC Access untuk melihat lalu lintas antar VPC.
Setelah Anda mengaktifkan firewall VPC, Anda dapat menggunakan fitur VPC Protection untuk melihat informasi mengenai aktivitas anomali antar VPC yang diblokir oleh Cloud Firewall.