Buat kebijakan kontrol akses untuk firewall internal untuk mengontrol trafik arah masuk dan arah keluar dari instance ECS - Cloud Firewall

Firewall internal dapat mengontrol trafik arah masuk dan arah keluar dari instance Elastic Compute Service (ECS) untuk memblokir akses tidak sah. Kebijakan kontrol akses yang Anda konfigurasi dan publikasikan di Konsol Cloud Firewall disinkronkan dengan kelompok keamanan ECS. Topik ini menjelaskan cara membuat kebijakan kontrol akses untuk firewall internal.

Diagram firewall internal

Manfaat

Kebijakan kontrol akses untuk firewall internal memiliki keunggulan dibandingkan aturan kelompok keamanan ECS dalam aspek berikut:

Anda dapat mempublikasikan beberapa kebijakan sekaligus.
Cloud Firewall membuat kelompok keamanan berdasarkan kelompok aplikasi.
Anda dapat mengelola kebijakan kontrol akses di Konsol Cloud Firewall tanpa perlu beralih antar wilayah berbeda dari instance ECS.

Secara default, Anda dapat membuat hingga 500 kelompok kebijakan dan 500 kebijakan dalam setiap kelompok. Kebijakan tersebut mencakup yang disinkronkan dari kelompok keamanan ECS ke Cloud Firewall dan yang dibuat di Konsol Cloud Firewall. Jika Anda memerlukan lebih banyak kebijakan, kami sarankan Anda menghapus kebijakan yang tidak diperlukan atau mengonfigurasi kebijakan kontrol akses untuk firewall VPC (Virtual Private Cloud).

Jenis kelompok kebijakan

Kelompok kebijakan diklasifikasikan menjadi kelompok kebijakan umum dan kelompok kebijakan perusahaan.

Skenario

Kelompok kebijakan umum sesuai dengan kelompok keamanan dasar instance ECS dan berfungsi sebagai firewall virtual untuk menyediakan inspeksi paket data stateful (SPI) dan kemampuan penyaringan paket data. Anda dapat menggunakan kelompok kebijakan umum untuk mengisolasi domain keamanan di cloud. Anda dapat mengonfigurasi kelompok kebijakan umum untuk mengizinkan atau memblokir trafik arah masuk dan arah keluar antara instance ECS dalam kelompok kebijakan umum. Kelompok kebijakan umum cocok untuk bisnis dengan persyaratan tinggi untuk kontrol jaringan pada jumlah koneksi jaringan yang moderat.
Kelompok kebijakan perusahaan sesuai dengan kelompok keamanan tingkat lanjut instance ECS dan mendukung lebih banyak instance ECS daripada kelompok kebijakan umum. Anda dapat mengonfigurasi kebijakan kontrol akses untuk jumlah alamat IP pribadi yang tidak terbatas. Kelompok kebijakan perusahaan sangat cocok untuk perusahaan yang memerlukan O&M efisien pada jaringan skala besar.

Perbedaan

Untuk informasi lebih lanjut tentang perbedaan antara kelompok keamanan dasar dan kelompok keamanan tingkat lanjut, lihat Kelompok keamanan dasar dan kelompok keamanan tingkat lanjut.

Prasyarat

Cloud Firewall Edisi Perusahaan atau Edisi Ultimate telah dibeli. Untuk informasi lebih lanjut, lihat Pembelian Cloud Firewall.

Konfigurasikan kebijakan kontrol akses untuk firewall internal

Sebelum mengonfigurasi kebijakan kontrol akses untuk firewall internal, buat kelompok kebijakan yang berisi kebijakan kontrol akses default. Kemudian, konfigurasikan kebijakan kontrol akses arah masuk dan arah keluar dalam kelompok kebijakan. Setelah mengonfigurasi kebijakan kontrol akses dalam kelompok kebijakan, publikasikan kebijakan tersebut agar disinkronkan ke kelompok keamanan ECS dan mulai berlaku.

Langkah 1: Buat kelompok kebijakan

Masuk ke Konsol Cloud Firewall.
Di panel navigasi sisi kiri, pilih Prevention Configuration > Access Control > Internal Border.
Di halaman Internal Border, klik Create Policy Group.

Di kotak dialog Create Policy Group, konfigurasikan parameter berikut dan klik Confirm.

Parameter	Deskripsi
Policy Group Type	Pilih jenis untuk kelompok kebijakan. Nilai valid: Common Policy Group Enterprise Policy Group
Policy Group Name	Masukkan nama untuk kelompok kebijakan. Kami sarankan Anda memasukkan nama yang informatif untuk identifikasi yang mudah.
VPC	Pilih VPC tempat Anda ingin menerapkan kelompok kebijakan dari daftar drop-down VPC. Kelompok kebijakan hanya dapat diterapkan ke satu VPC.
Instance ID	Pilih satu atau lebih instance ECS tempat Anda ingin menerapkan kelompok kebijakan dari daftar drop-down Instance ID. Catatan Daftar drop-down ID Instance hanya berisi instance ECS dalam VPC yang dipilih.
Description	Masukkan deskripsi untuk kelompok kebijakan.
Template	Pilih template yang ingin Anda gunakan dari daftar drop-down Template. default-accept-login: mengizinkan trafik arah masuk yang ditujukan ke port TCP 22 dan 3389 dan semua trafik arah keluar. default-accept-all: mengizinkan semua trafik arah masuk dan arah keluar. default-drop-all: menolak semua lalu lintas arah masuk dan arah keluar. Catatan Kelompok kebijakan perusahaan tidak mendukung template default-drop-all.

Langkah 2: Buat kebijakan dalam kelompok kebijakan

Di halaman Internal Border, temukan kelompok kebijakan yang ingin Anda kelola dan klik Configure Policy di kolom Actions.
Di tab Inbound atau Outbound, klik Create Policy.

Di kotak dialog Create Policy, konfigurasikan parameter berikut dan klik Submit.

Parameter	Deskripsi
NIC Type	Nilai default adalah Internal Network. Nilai ini menentukan bahwa kebijakan mengontrol trafik arah masuk dan arah keluar dari instance ECS.
Direction	Arah trafik tempat Anda ingin menerapkan kebijakan. Nilai valid: Inbound: trafik dari instance ECS lain ke instance ECS yang ditentukan dalam kelompok kebijakan. Outbound: trafik dari instance ECS yang ditentukan dalam kelompok kebijakan ke instance ECS lain.
Policy Type	Jenis kebijakan. Nilai valid: Allow: mengizinkan trafik yang memenuhi kebijakan. Deny: menolak lalu lintas yang memenuhi kebijakan. Jika lalu lintas ditolak, paket data dibuang tanpa tanggapan. Jika dua kebijakan memiliki konfigurasi yang sama tetapi jenis kebijakan berbeda, kebijakan dengan tipe Deny akan berlaku. Catatan Kelompok kebijakan perusahaan tidak mendukung tipe kebijakan Deny.
Protocol Type	Jenis protokol trafik tempat Anda ingin menerapkan kebijakan. Jika Anda memilih ANY, kebijakan diterapkan ke semua trafik. Jika Anda tidak tahu jenis protokolnya, pilih ANY.
Port Range	Rentang port tujuan trafik tempat Anda ingin menerapkan kebijakan. Jika Anda memasukkan rentang port, kebijakan berlaku untuk semua port dalam rentang port tersebut. Misalnya, jika Anda memasukkan 1/200, kebijakan berlaku untuk port 1 hingga 200. Jika Anda memasukkan port, kebijakan hanya berlaku untuk port tersebut. Misalnya, jika Anda memasukkan 80/80, kebijakan berlaku untuk port 80.
Priority	Prioritas kebijakan. Prioritas harus berupa bilangan bulat dalam rentang 1 hingga 100. Nilai yang lebih kecil menunjukkan prioritas yang lebih tinggi. Kebijakan yang berbeda dapat memiliki prioritas yang sama. Jika kebijakan Allow dan kebijakan Deny memiliki prioritas yang sama, kebijakan Deny akan diutamakan.
Source Type dan Source	Sumber trafik. Jika Anda mengatur Arah ke Inbound, Anda harus mengonfigurasi parameter ini. Anda dapat mengonfigurasi Sumber berdasarkan nilai Jenis Sumber. Jenis sumber valid: CIDR Block Jika Anda memilih jenis ini, Anda harus memasukkan blok CIDR sumber di Source. Anda hanya dapat memasukkan satu blok CIDR. Policy Group Jika Anda memilih tipe ini, Anda harus memilih kelompok kebijakan dari daftar drop-down Source sebagai sumber trafik. Trafik dari semua Instance ECS dalam kelompok kebijakan dikelola. Catatan Kelompok kebijakan perusahaan tidak mendukung tipe Policy Group. Prefix List Jika Anda memilih jenis ini, Anda harus memilih daftar awalan dari daftar drop-down Source. Lalu, Cloud Firewall mengontrol trafik dari semua instance ECS dalam kelompok keamanan yang terkait dengan daftar awalan tersebut. Untuk informasi lebih lanjut tentang daftar awalan, lihat Gunakan daftar awalan dan daftar port untuk mengelola aturan kelompok keamanan secara efisien.
Destination	Tujuan trafik. Jika Anda mengatur Arah ke Inbound, Anda harus mengonfigurasi parameter ini. Nilai valid: All ECS Instances: semua instance ECS yang ditentukan dalam kelompok kebijakan saat ini. CIDR Block: Jika Anda memilih opsi ini, Anda harus memasukkan blok CIDR. Instance ECS yang sesuai dengan blok CIDR tersebut adalah tujuan trafik. Cloud Firewall hanya mengontrol trafik arah masuk dari instance ECS yang sesuai dengan blok CIDR tersebut.
Select Source	Jenis sumber trafik. Jika Anda mengatur Arah ke Outbound, Anda harus mengonfigurasi parameter ini. Nilai valid: All ECS Instances: semua instance ECS yang ditentukan dalam kelompok kebijakan saat ini. CIDR Block: Jika Anda memilih opsi ini, Anda harus memasukkan alamat IP sumber atau blok CIDR. Instance ECS yang sesuai dengan alamat IP atau blok CIDR tersebut adalah sumber trafik.
Destination Type dan Destination	Jenis tujuan trafik dan alamat tujuan. Jika Anda mengatur Arah ke Outbound, Anda harus mengonfigurasi parameter ini. Jenis tujuan valid: CIDR Block Jika Anda memilih jenis ini, Anda harus memasukkan blok CIDR tujuan. Anda hanya dapat memasukkan satu blok CIDR. Policy Group Jika Anda memilih tipe ini, Anda harus memilih kelompok kebijakan. Trafik yang ditujukan untuk semua Instance ECS dalam kelompok kebijakan dikelola. Catatan Kelompok kebijakan perusahaan tidak mendukung tipe Policy Group. Prefix List Jika Anda memilih jenis ini, Anda harus memilih daftar awalan dari daftar drop-down Sumber. Trafik dari semua instance ECS dalam kelompok keamanan yang terkait dengan daftar awalan tersebut dikelola. Untuk informasi lebih lanjut tentang daftar awalan, lihat Gunakan daftar awalan dan daftar port untuk mengelola aturan kelompok keamanan secara efisien.
Description	Deskripsi kebijakan.

Tunggu hingga kebijakan dibuat. Lalu, Anda dapat melihat kebijakan di daftar kebijakan firewall internal.

Langkah 3: Publikasikan kebijakan dalam kelompok kebijakan

Masuk ke Konsol Cloud Firewall.
Di panel navigasi sisi kiri, pilih Prevention Configuration > Access Control > Internal Border.
Di halaman Internal Border, temukan kelompok kebijakan yang ingin Anda publikasikan dan klik Publish di kolom Actions.
Di kotak dialog Publish Policy, konfigurasikan Remarks, konfirmasi policy changes, lalu klik OK.
Kebijakan disinkronkan ke kelompok keamanan ECS dan mulai berlaku hanya setelah Anda mempublikasikan kebijakan. Anda dapat masuk ke Konsol ECS dan pilih Network & Security > Security Groups untuk melihat kebijakan yang Anda publikasikan di Konsol Cloud Firewall. Nama default kelompok kebijakan yang dibuat oleh Cloud Firewall di Konsol ECS adalah Cloud_Firewall_Security_Group.

Sinkronkan aturan kelompok keamanan ECS

Sinkronisasi manual: Di halaman Internal Border, klik Synchronize Security Group untuk menyinkronkan aturan kelompok keamanan dari ECS ke Cloud Firewall. Proses ini memerlukan waktu 2 hingga 3 menit untuk selesai.
Sinkronisasi otomatis: Cloud Firewall secara otomatis menyinkronkan informasi tentang aturan kelompok keamanan ECS setiap 2 jam.

Apa yang Harus Dilakukan Selanjutnya

Anda dapat melakukan operasi berikut pada kelompok kebijakan:

Edit: Ubah instance ECS yang ditentukan dalam kelompok kebijakan dan modifikasi deskripsi kelompok kebijakan.
Delete: Hapus kelompok kebijakan.
Peringatan
Setelah Anda menghapus kelompok kebijakan, kebijakan kontrol aksesnya menjadi tidak valid. Lanjutkan dengan hati-hati. Kelompok kebijakan yang dihapus tetap ada di daftar, tetapi Anda tidak dapat lagi melakukan operasi pada kelompok tersebut.
Jika Anda ingin menghapus kelompok kebijakan yang tidak lagi diperlukan, Anda dapat menyetel sumber kelompok kebijakan ke Custom untuk memeriksa semua kelompok kebijakan kustom dan menentukan apakah akan menghapusnya.