Cloud Firewall：Buat kebijakan kontrol akses untuk firewall VPC

Prosedur

Untuk mengelola lalu lintas antara dua VPC, Anda dapat menggunakan mode daftar hitam atau mode daftar putih. Dalam mode daftar hitam, konfigurasikan kebijakan untuk menolak lalu lintas yang tidak tepercaya atau tidak diperlukan dalam beban kerja Anda serta kebijakan untuk mengizinkan lalu lintas lainnya. Dalam mode daftar putih, konfigurasikan kebijakan untuk mengizinkan lalu lintas yang tepercaya atau diperlukan dalam beban kerja Anda serta kebijakan untuk menolak lalu lintas lainnya. Untuk contoh konfigurasi kebijakan kontrol akses untuk firewall VPC, lihat Konfigurasikan kebijakan kontrol akses.

1. Masuk ke Konsol Cloud Firewall.

2. Di panel navigasi sebelah kiri, pilih Prevention Configuration > Access Control > VPC Border.

3. Di halaman VPC Border, klik Beralih untuk memilih instance jaringan yang ingin Anda konfigurasikan kebijakan.

   

4. Klik Create Policy. Kemudian, konfigurasikan parameter kebijakan sesuai tabel berikut dan klik OK.

   Parameter	Deskripsi
   Source Type	Penginisiasi koneksi jaringan. Anda harus memilih jenis sumber dan memasukkan alamat sumber dari mana lalu lintas jaringan dimulai berdasarkan jenis sumber yang dipilih. Jika Anda mengatur Jenis Sumber ke IP, tentukan satu atau lebih blok CIDR, seperti 192.168.0.0/16. Anda dapat menentukan hingga 2.000 blok CIDR. Pisahkan beberapa blok CIDR dengan koma (,). Jika Anda memasukkan beberapa blok CIDR sekaligus, Cloud Firewall secara otomatis membuat buku alamat yang mencakup blok CIDR yang dimasukkan. Saat Anda menyimpan kebijakan kontrol akses, Cloud Firewall akan meminta Anda untuk menentukan nama untuk buku alamat ini. Jika Anda mengatur Jenis Sumber ke Address Book, pastikan bahwa buku alamat IP dikonfigurasi. Untuk informasi lebih lanjut tentang cara membuat buku alamat, lihat Mengelola buku alamat.
   Source
   Destination Type	Penerima lalu lintas jaringan. Anda harus memilih jenis tujuan dan memasukkan alamat tujuan ke mana lalu lintas jaringan dikirim berdasarkan jenis tujuan yang dipilih. Jika Anda mengatur Jenis Sumber ke IP, tentukan satu atau lebih blok CIDR, seperti 192.168.0.0/16. Anda dapat menentukan hingga 2.000 blok CIDR. Pisahkan beberapa blok CIDR dengan koma (,). Jika Anda memasukkan beberapa blok CIDR sekaligus, Cloud Firewall secara otomatis membuat buku alamat yang mencakup blok CIDR yang dimasukkan. Saat Anda menyimpan kebijakan kontrol akses, Cloud Firewall akan meminta Anda untuk menentukan nama untuk buku alamat ini. Jika Anda mengatur Jenis Sumber ke Address Book, Anda dapat memilih buku alamat IPv4 atau domain yang Anda buat. Jika Anda belum membuat buku alamat, klik Create Address Book untuk membuat buku alamat IPv4 atau domain. Untuk informasi lebih lanjut tentang buku alamat, lihat Mengelola buku alamat. Jika Anda mengatur Jenis Tujuan ke Domain Name, pilih mode identifikasi nama domain. Nilai valid: FQDN-based Resolution (Extract Host or SNI Field in Packets): Jika Anda ingin mengelola lalu lintas HTTP, HTTPS, SMTP, SMTPS, SSL, POPS, dan IMAPS, kami sarankan Anda memilih mode ini. DNS-based Dynamic Resolution: Jika Anda ingin mengelola lalu lintas selain HTTP, HTTPS, SMTP, SMTPS, SSL, POPS, dan IMAPS, kami sarankan Anda memilih mode ini. Penting Mode ini tidak mendukung nama domain wildcard atau buku alamat nama domain wildcard. Resolusi Dinamis Berbasis FQDN dan DNS: Jika Anda ingin mengelola lalu lintas HTTP, HTTPS, SMTP, SMTPS, SSL, POPS, dan IMAPS tetapi lalu lintas tertentu atau semua lalu lintas tidak mengandung bidang HOST atau SNI, kami sarankan Anda menggunakan mode ini. Penting Mode ini hanya berlaku jika mode ACL Engine Management adalah Ketat. Mode ini tidak mendukung nama domain wildcard atau buku alamat nama domain wildcard.
   Destination
   Protocol Type	Protokol lapisan transport. Nilai valid: TCP, UDP, ICMP, dan ANY. Jika Anda tidak mengetahui jenis protokol, pilih ANY.
   Port Type	Jenis port dan nomor port tujuan. Jika Anda mengatur Jenis Port ke Port, masukkan rentang port. Tentukan rentang port dalam format Nomor Port/Nomor Port. Contoh: 22/22 atau 80/88. Pisahkan beberapa rentang port dengan koma (,). Anda dapat memasukkan hingga 2.000 rentang port. Jika Anda memasukkan beberapa rentang port, Cloud Firewall secara otomatis membuat buku alamat yang mencakup rentang port yang dimasukkan. Saat Anda menyimpan kebijakan kontrol akses, Cloud Firewall akan meminta Anda untuk menentukan nama untuk buku alamat ini. Jika Anda mengatur Port Type ke Address Book, pastikan bahwa buku alamat port dikonfigurasi. Untuk informasi lebih lanjut tentang cara membuat buku alamat, lihat Mengelola buku alamat.
   Port
   Application	Jenis aplikasi dari lalu lintas. Anda dapat memilih beberapa jenis aplikasi. Jika Anda mengatur Protocol Type ke TCP: Destination Type diatur ke IP atau IP Address Book: Anda dapat memilih semua aplikasi. Destination Type diatur ke Domain Name atau Nama Domain Address Book: Jika Anda mengatur Domain Name Identification Mode ke FQDN-based Resolution (Extract Host or SNI Field in Packets, Anda hanya dapat memilih HTTP, HTTPS, SMTP, SMTPS, SSL, POPS, atau IMAPS. Jika Anda mengatur Domain Name Identification Mode ke DNS-based Dynamic Resolution, Anda dapat memilih semua aplikasi. Jika Anda mengatur Protocol Type ke UDP, pilihan yang tersedia adalah ANY atau DNS. Jika Anda mengatur Protocol Type ke ICMP atau ANY, Anda hanya dapat memilih ANY. Catatan Cloud Firewall mengidentifikasi jenis aplikasi berdasarkan karakteristik paket daripada nomor port. Jika Cloud Firewall tidak dapat mengidentifikasi jenis aplikasi dalam paket, Cloud Firewall mengizinkan paket tersebut. Jika Anda ingin memblokir lalu lintas yang jenis aplikasinya tidak diketahui, kami sarankan Anda mengaktifkan mode ketat untuk firewall internet. Untuk informasi lebih lanjut, lihat Konfigurasikan mode mesin kontrol akses.
   Action	Tindakan pada lalu lintas jika lalu lintas memenuhi kondisi yang Anda tentukan untuk kebijakan kontrol akses. Nilai valid: Allow: Lalu lintas diizinkan. Deny: Lalu lintas ditolak, dan tidak ada notifikasi yang dikirim. Monitor: Lalu lintas dicatat dan diizinkan. Anda dapat memfilter log lalu lintas dengan menentukan bidang terkait dan mengamati lalu lintas selama periode waktu tertentu. Kemudian, ubah tindakan kebijakan menjadi Allow atau Deny berdasarkan kebutuhan bisnis Anda.
   Description	Deskripsi kebijakan kontrol akses. Masukkan deskripsi yang dapat membantu mengidentifikasi kebijakan.
   Priority	Prioritas kebijakan kontrol akses. Nilai default: Lowest. Nilai valid: Highest: Kebijakan kontrol akses memiliki prioritas tertinggi. Lowest: Kebijakan kontrol akses memiliki prioritas terendah.
   Policy Validity Period	Masa berlaku kebijakan kontrol akses. Kebijakan dapat digunakan untuk mencocokkan lalu lintas hanya dalam masa berlaku. Nilai valid: Selalu. Rentang Waktu Tunggal: Jika Anda memilih opsi ini, tentukan rentang waktu tunggal. Siklus Berulang: Jika Anda memilih opsi ini, tentukan rentang waktu dan tanggal saat Anda ingin kebijakan mulai berlaku. Catatan Tanggal mulai harus lebih awal dari tanggal akhir. Kebijakan memerlukan waktu 3 hingga 5 menit untuk mulai berlaku. Jika Anda memilih Indefinite Recurrence, tanggal akhir secara otomatis diatur ke 31 Desember 2099. Pertanyaan Umum: Apakah kebijakan kontrol akses berlaku jika rentang waktu yang ditentukan untuk pengulangan mencakup dua hari kalender?
   Enabling Status	Tentukan apakah akan mengaktifkan kebijakan. Jika Anda mematikan Status saat membuat kebijakan kontrol akses, Anda dapat mengaktifkan kebijakan dalam daftar kebijakan kontrol akses.

Lihat detail hit tentang kebijakan kontrol akses