Setelah mengonfigurasi kebijakan kontrol akses, Cloud Firewall mencocokkan paket trafik berdasarkan 4-tuple, tipe aplikasi, dan nama domain secara berurutan. 4-tuple meliputi alamat sumber, alamat tujuan, port tujuan, dan protokol lapisan transport. Jika Cloud Firewall tidak dapat mengidentifikasi tipe aplikasi atau nama domain dari trafik, sistem secara otomatis mengizinkan trafik tersebut untuk memastikan operasi bisnis normal. Untuk mencegah izin pada trafik yang tidak teridentifikasi, Anda dapat mengaktifkan mode ketat.
Aturan pencocokan trafik Cloud Firewall
Setelah mengonfigurasi kebijakan kontrol akses, Cloud Firewall mencocokkan paket trafik berdasarkan 4-tuple, tipe aplikasi, dan nama domain secara berurutan saat trafik melewati Cloud Firewall.
Mode Longgar: Saat paket trafik tidak mengandung informasi aplikasi standar atau nama domain, Cloud Firewall mungkin tidak dapat mengidentifikasi tipe aplikasi atau nama domain dari trafik. Dalam kasus ini, Cloud Firewall secara otomatis mengizinkan trafik tersebut.
Tipe aplikasi dalam kebijakan adalah selain ANY.
Nama domain ditentukan, dan Mode Identifikasi Nama Domain disetel ke Resolusi Dinamis Berbasis FQDN (Ekstrak Bidang Host dan SNI) atau Resolusi Dinamis Berbasis FQDN dan DNS.
Mode Ketat: Cloud Firewall tidak langsung mengizinkan trafik yang tipe aplikasi atau nama domainnya tidak teridentifikasi. Sistem terus mencocokkan trafik tersebut dengan kebijakan kontrol akses yang memiliki prioritas lebih rendah hingga sebuah kebijakan kontrol akses tercapai. Lalu, Cloud Firewall melakukan tindakan yang ditentukan dalam kebijakan kontrol akses. Jika tidak ada kebijakan kontrol akses yang tercapai setelah Cloud Firewall mencocokkan trafik dengan semua kebijakan kontrol akses, sistem secara otomatis mengizinkan trafik tersebut.
Jika trafik normal diblokir setelah mode ketat diaktifkan, kami menyarankan Anda menambahkan informasi aplikasi yang diperlukan ke paket permintaan atau menonaktifkan mode ketat.
Secara default, mode ketat diaktifkan untuk firewall VPC baru.
Aktifkan atau nonaktifkan mode ketat mesin kontrol akses
Anda dapat mengonfigurasi mode mesin kontrol akses untuk firewall internet dan firewall NAT. Secara default, mesin kontrol akses berada dalam Loose Mode. Dalam mode ini, trafik yang tipe aplikasi atau nama domainnya diidentifikasi sebagai Tidak Dikenal secara otomatis diizinkan untuk mencegah dampak negatif pada beban kerja Anda. Anda dapat mengubah mode ke Strict Mode jika diperlukan.
Untuk informasi lebih lanjut tentang cara mengubah mode mesin kontrol akses untuk firewall internet, lihat Buat kebijakan kontrol akses untuk firewall internet.
Untuk informasi lebih lanjut tentang cara mengubah mode mesin kontrol akses untuk firewall NAT, lihat Konfigurasikan mode mesin kontrol akses.
FAQ
Bagaimana cara melihat log trafik yang tidak teridentifikasi?
Masuk ke Konsol Cloud Firewall.
Di panel navigasi kiri, pilih .
Pada tab , pilih Access Control untuk Rule Source, pilih Application Unidentified atau Domain Name Unidentified untuk All Pre-match Access Control Policy Statuses, lalu klik Cari.
Lihat log trafik dalam mode ketat. Log tersebut mencakup informasi berikut: waktu, alamat IP sumber, alamat IP tujuan, dan port tujuan.
Referensi
Untuk informasi lebih lanjut tentang cara kerja kebijakan kontrol akses, lihat Ikhtisar kebijakan kontrol akses.
Untuk informasi lebih lanjut, lihat Buat kebijakan kontrol akses arah masuk dan keluar untuk firewall internet.
Untuk informasi lebih lanjut tentang bidang dalam catatan lalu lintas dan cara menanyakan catatan lalu lintas, lihat Audit Log.