Topik ini menjelaskan masalah yang mungkin terjadi saat menggunakan kebijakan kontrol akses dari Cloud Firewall untuk mengontrol lalu lintas bisnis, serta menyediakan solusi untuk masalah tersebut.
FAQ tentang fitur
FAQ tentang operasi
Jika saya mengaktifkan WAF dalam mode proxy transparan dan Internet firewall, apakah lalu lintas melalui port penerusan dapat dikontrol oleh kebijakan kontrol akses Cloud Firewall?
Jika Anda mengaktifkan Web Application Firewall (WAF) dalam mode proxy transparan dan Internet firewall, Anda dapat menggunakan kebijakan kontrol akses yang dibuat untuk Internet firewall untuk mengontrol lalu lintas melalui port penerusan. Namun, Anda tidak dapat melakukan audit log, analisis log, atau pengumpulan statistik lalu lintas pada lalu lintas melalui port penerusan. Lalu lintas melalui port lainnya tidak terpengaruh.
Apakah saya dapat meningkatkan kuota default untuk kebijakan kontrol akses?
Jika Anda menggunakan Edisi Premium, Edisi Enterprise, dan Edisi Ultimate dari Cloud Firewall yang menggunakan metode penagihan berlangganan, dan kuota untuk kebijakan kontrol akses Internet firewall, firewall NAT, atau firewall virtual private clouds (VPC) tidak dapat memenuhi kebutuhan bisnis Anda, Anda dapat mengonfigurasi parameter Kuota untuk Kebijakan Tambahan pada halaman Halaman Pembelian Cloud Firewall untuk meningkatkan kuota. Untuk informasi lebih lanjut, lihat Berlangganan.
Jika Anda menggunakan Cloud Firewall yang menggunakan metode penagihan bayar sesuai pemakaian, Anda tidak dapat meningkatkan kuota untuk kebijakan kontrol akses. Untuk informasi lebih lanjut, lihat Bayar Sesuai Pemakaian.
Apakah saya dapat meningkatkan bandwidth lalu lintas VPC yang dilindungi?
Ya, jika kemampuan pemrosesan lalu lintas VPC yang dibeli tidak dapat memenuhi kebutuhan bisnis Anda, Anda dapat mengonfigurasi parameter Lalu Lintas VPC yang Dilindungi untuk meningkatkan lalu lintas lintas-VPC puncak yang dapat dilindungi.
Edisi Enterprise: Harga dasar mencakup bandwidth 200 Mbit/s. Nilai valid untuk kuota tambahan: 200 hingga 5000. Unit: Mbit/s.
Edisi Ultimate: Harga dasar mencakup bandwidth 1.000 Mbit/s. Nilai valid untuk kuota tambahan: 1000 hingga 10000. Unit: Mbit/s.
Apakah Cloud Firewall dapat memblokir lalu lintas blok CIDR IPv6?
Ya, Cloud Firewall dapat mengontrol lalu lintas blok CIDR IPv6 setelah Anda membuat kebijakan kontrol akses untuk Internet firewall. Kebijakan ini didukung di semua edisi Cloud Firewall. Untuk informasi lebih lanjut, lihat Buat kebijakan kontrol akses untuk Internet firewall.
Apa perbedaan antara Cloud Firewall dan kelompok keamanan?
Kelompok keamanan adalah firewall host virtual yang disediakan oleh Elastic Compute Service (ECS) untuk mengontrol lalu lintas antara instance ECS.
Cloud Firewall menyediakan Internet firewall untuk mengontrol lalu lintas di batas Internet, firewall NAT untuk mengontrol lalu lintas di batas NAT, firewall VPC untuk mengontrol lalu lintas di batas VPC, dan firewall internal untuk mengontrol lalu lintas antara instance ECS.
Dibandingkan dengan kelompok keamanan, Cloud Firewall menyediakan fitur unik berikut:
Kontrol akses berbasis aplikasi. Anda dapat mengontrol lalu lintas berdasarkan protokol seperti HTTP tanpa perlu menentukan port.
Kontrol akses berbasis nama domain. Misalnya, Anda dapat mengizinkan instance ECS untuk mengirim permintaan hanya ke nama domain tertentu.
Pencegahan intrusi. Cloud Firewall menyediakan langkah-langkah pencegahan terhadap kerentanan sistem umum dan serangan brute-force.
Mode pemantauan kebijakan kontrol akses. Cloud Firewall memantau lalu lintas tetapi tidak memblokir lalu lintas jahat potensial.
Log lalu lintas lengkap dan analisis lalu lintas real-time.
Manajemen keamanan platform terpusat. Kebijakan kontrol akses yang dibuat untuk firewall internal di Konsol Cloud Firewall secara otomatis disinkronkan ke kelompok keamanan ECS. Ini menyederhanakan manajemen keamanan.
Apa prioritas kebijakan kontrol akses dan aturan kelompok keamanan yang digunakan untuk mencocokkan lalu lintas?
Dalam arsitektur keamanan jaringan Alibaba Cloud, lalu lintas masuk pertama kali dicocokkan dengan kebijakan kontrol akses Cloud Firewall dan kemudian aturan kelompok keamanan, sedangkan lalu lintas keluar pertama kali dicocokkan dengan aturan kelompok keamanan dan kemudian kebijakan kontrol akses.
Kebijakan kontrol akses dan aturan kelompok keamanan adalah mekanisme perlindungan independen. Lalu lintas hanya diizinkan jika diizinkan oleh kedua kebijakan kontrol akses dan aturan kelompok keamanan.
Jika lalu lintas diizinkan oleh kebijakan kontrol akses tetapi ditolak oleh aturan kelompok keamanan, lalu lintas ditolak. Jika lalu lintas ditolak oleh kebijakan kontrol akses tetapi diizinkan oleh aturan kelompok keamanan, lalu lintas tetap ditolak.
Apa perbedaan antara kelompok kebijakan umum dan kelompok kebijakan perusahaan?
Kelompok kebijakan yang dikonfigurasi untuk firewall internal antara instance ECS sesuai dengan kelompok keamanan instance ECS. Kelompok kebijakan adalah firewall virtual yang mengontrol lalu lintas masuk dan keluar antara instance ECS. Kelompok kebijakan diklasifikasikan menjadi kelompok kebijakan umum dan kelompok kebijakan perusahaan, yang cocok untuk skenario berbeda.
Kelompok kebijakan umum sesuai dengan kelompok keamanan dasar instance ECS. Sumber daya dalam kelompok keamanan dasar yang sama dapat berkomunikasi satu sama lain. Kelompok kebijakan umum dapat ditentukan sebagai objek otorisasi dalam aturan kelompok keamanan lainnya. Jumlah alamat IP pribadi yang dapat dimuat dalam kelompok kebijakan umum lebih sedikit daripada dalam kelompok kebijakan perusahaan.
Kelompok keamanan perusahaan sesuai dengan kelompok keamanan tingkat lanjut instance ECS. Anda dapat mengonfigurasi kebijakan kontrol akses untuk lebih banyak alamat IP pribadi dalam kelompok kebijakan perusahaan. Namun, sumber daya dalam kelompok keamanan perusahaan yang sama tidak dapat berkomunikasi satu sama lain, atau kelompok kebijakan perusahaan tidak dapat ditentukan sebagai objek otorisasi dalam aturan kelompok keamanan lainnya.
Untuk informasi lebih lanjut, lihat Kelompok keamanan dasar dan kelompok keamanan tingkat lanjut.
Saya mengonfigurasi kebijakan kontrol akses keluar dengan tipe aplikasi HTTP atau HTTPS untuk nama domain. Bagaimana cara memeriksa apakah kebijakan tersebut valid?
Anda dapat menjalankan perintah curl atau memasukkan nama domain di bilah alamat browser untuk memeriksa apakah kebijakan tersebut valid. Misalnya, Anda dapat menjalankan perintah curl -k "https://www.aliyundoc.com", dan kemudian masuk ke Konsol Cloud Firewall untuk melihat jumlah kali kebijakan tersebut terkena dan log audit.
Jangan jalankan perintah telnet untuk memeriksa apakah kebijakan berlaku pada nama domain. Saat Anda menjalankan perintah telnet, seperti perintah telnet example.com 80, hanya lalu lintas jabat tangan TCP yang dihasilkan. Permintaan HTTP atau HTTPS lengkap tidak disimulasikan. Dalam kasus ini, tipe aplikasi lalu lintas diidentifikasi sebagai Tidak Dikenal dan lalu lintas tidak cocok dengan kebijakan yang tipe aplikasinya adalah HTTP atau HTTPS.
Bagaimana cara menyelesaikan kesalahan yang dikembalikan setelah saya menerapkan kebijakan Izin default ke kelompok keamanan?
Kesalahan dilaporkan karena kelompok keamanan yang terkait dengan alamat IP tempat Anda menerapkan kebijakan tidak mendukung kebijakan Izin default karena alasan berikut:
Kelompok keamanan yang terkait dengan alamat IP adalah kelompok keamanan tingkat lanjut.
Kelompok keamanan tingkat lanjut tidak mendukung kebijakan Izin default.
Internet firewall dinonaktifkan untuk alamat IP.
Untuk melindungi aset Anda dengan lebih baik, kami sarankan Anda tidak menerapkan kebijakan Izin default ke sumber daya tempat firewall yang disediakan oleh Cloud Firewall dinonaktifkan. Kami sarankan Anda tidak menonaktifkan firewall untuk sumber daya tempat Anda telah menerapkan kebijakan Izin default.
Ketika saya menerapkan kebijakan Izin default, sistem memberi tahu bahwa konflik konfigurasi tidak dapat diselesaikan. Apa yang harus saya lakukan?
Penyebab yang mungkin
Prioritas, tipe protokol, rentang port, dan objek otorisasi aturan kelompok keamanan untuk kelompok keamanan yang terkait dengan alamat IP sama dengan kebijakan Izin default yang akan diterapkan.
Solusi
Kami sarankan Anda pergi ke halaman Security Groups dari Konsol ECS untuk melihat dan menyesuaikan prioritas aturan yang bertentangan. Untuk informasi lebih lanjut, lihat Ubah aturan kelompok keamanan. Anda juga dapat mengirimkan untuk mendapatkan dukungan teknis.
Mengapa ikon Quick Apply tidak tersedia? Bagaimana cara menyelesaikan kesalahan ini?
Penyebab yang mungkin
Aturan kelompok keamanan yang bertentangan ada.
Solusi
Anda harus menyelesaikan konflik antara aturan dalam kelompok keamanan ECS yang terkait dengan alamat IP tempat Anda mengklik Terapkan sesuai petunjuk sebelum Anda dapat menerapkan kebijakan Izin default. Untuk informasi lebih lanjut, lihat Internet Firewall.
Bagaimana cara menghilangkan positif palsu untuk koneksi keluar mencurigakan yang disebabkan oleh pemindaian berbasis internet?
Penyebab yang mungkin
Jika positif palsu dihasilkan untuk koneksi keluar mencurigakan saat pemindaian port berbasis internet dilakukan, kebijakan kontrol akses masuk lemah. Ketika penyerang memindai port yang dinonaktifkan di server, server mengembalikan paket Protokol Pesan Kontrol Internet (ICMP) yang menunjukkan port tidak dapat diakses. Cloud Firewall menganggap paket ICMP sebagai koneksi keluar yang dimulai oleh klien.
Solusi
Untuk menyelesaikan masalah ini, kami sarankan Anda mengonfigurasi kebijakan kontrol akses masuk untuk hanya mengizinkan lalu lintas melalui port yang diperlukan untuk beban kerja Anda. Untuk informasi lebih lanjut, lihat Buat kebijakan kontrol akses untuk Internet firewall.
Saya mengonfigurasi kebijakan kontrol akses keluar Tolak dengan Sumber diatur ke 0.0.0.0/0 untuk Internet firewall. Namun, beberapa lalu lintas masih diizinkan karena tidak ada kebijakan yang cocok. Mengapa?
Penyebab yang mungkin
Nama domain lalu lintas tidak diidentifikasi.
Anda mengonfigurasi kebijakan kontrol akses berbasis nama domain dengan prioritas tinggi, dan alamat IP sumber, alamat IP tujuan, serta tipe aplikasi lalu lintas diidentifikasi. Namun, nama domain lalu lintas tidak diidentifikasi. Dalam kasus ini, lalu lintas diizinkan. Ini memastikan bahwa nama domain lalu lintas dapat diidentifikasi oleh kebijakan kontrol akses berikutnya.
Tipe aplikasi lalu lintas tidak diidentifikasi.
Anda mengonfigurasi kebijakan kontrol akses berbasis aplikasi dengan prioritas tinggi, dan alamat IP sumber, alamat IP tujuan, serta port lalu lintas diidentifikasi. Namun, tipe aplikasi lalu lintas tidak diidentifikasi. Dalam kasus ini, lalu lintas diizinkan. Ini memastikan bahwa tipe aplikasi lalu lintas dapat diidentifikasi oleh kebijakan kontrol akses berikutnya.
Solusi
Aktifkan mode ketat untuk kebijakan kontrol akses Internet firewall.
Setelah Anda mengaktifkan mode ketat, Cloud Firewall mencocokkan lalu lintas sebelumnya dengan kebijakan kontrol akses lainnya sampai tipe aplikasi atau nama domain lalu lintas diidentifikasi. Jika kebijakan Tolak dikonfigurasi, lalu lintas yang tipe aplikasi atau nama domainnya diidentifikasi sebagai Tidak Dikenal ditolak. Untuk informasi lebih lanjut, lihat Konfigurasikan mode mesin kontrol akses.
Buat hanya kebijakan kontrol akses Lapisan 4. Jangan buat kebijakan kontrol akses Lapisan 7.
Saat Anda membuat kebijakan kontrol akses Lapisan 4, atur parameter Aplikasi ke ANY. Jangan tentukan nama domain untuk Tujuan. Jika Cloud Firewall mencocokkan lalu lintas ke kebijakan kontrol akses Lapisan 4, Cloud Firewall memproses lalu lintas berdasarkan tindakan yang ditentukan dalam kebijakan. Untuk informasi lebih lanjut, lihat Buat kebijakan kontrol akses untuk Internet firewall.
Bagaimana cara mengonfigurasi kebijakan kontrol akses untuk hanya mengizinkan akses ke subdomain tertentu dari nama domain sekunder?
Dalam contoh ini, nama domain xyz.com digunakan. Untuk mengonfigurasi kebijakan kontrol akses untuk hanya mengizinkan akses ke nama domain abc.xyz.com, lakukan operasi berikut:
Buat kebijakan kontrol akses untuk memblokir akses ke nama domain
*.xyz.comdan atur prioritas kebijakan ke Terendah.Buat kebijakan kontrol akses untuk mengizinkan akses ke nama domain
abc.xyz.comdan atur prioritas kebijakan ke Tertinggi.
Pastikan bahwa kebijakan yang mengizinkan akses ke subdomain memiliki prioritas lebih tinggi daripada kebijakan yang menolak akses ke situs web lain. Untuk informasi lebih lanjut, lihat Buat kebijakan kontrol akses untuk Internet firewall.
Bagaimana cara menggunakan Cloud Firewall untuk memperkuat kontrol akses pada nama domain host bastion?
Host Bastion adalah platform manajemen O&M komprehensif, yang menyediakan berbagai fitur seperti autentikasi identitas O&M, manajemen akun, dan audit operasi sistem. Host bastion menyimpan dan mengelola sejumlah besar informasi sensitif seperti informasi akun. Oleh karena itu, host bastion rentan terhadap serangan. Versi baru Host Bastion mendukung akses berbasis nama domain. Dalam kasus ini, pengguna tidak sah mungkin masuk ke host bastion untuk mengakses sejumlah besar aset.
Kami sarankan Anda menggunakan Cloud Firewall untuk melakukan kontrol akses pada nama domain host bastion. Jika Anda membeli Host Bastion dan Cloud Firewall, Host Bastion secara otomatis ditambahkan ke tipe aset Cloud Firewall, dan host bastion yang dibeli secara otomatis disinkronkan ke daftar aset Cloud Firewall. Anda dapat menggunakan Cloud Firewall untuk melakukan kontrol akses, pencegahan intrusi, dan analisis lalu lintas jaringan pada host bastion untuk mengelola dan melindungi alamat IP publik host bastion secara terpusat.
Kontrol akses:
Konfigurasikan kebijakan kontrol akses masuk untuk Internet firewall untuk mengizinkan lalu lintas dari Internet atau Internet di area tertentu ke port terbuka host bastion.
Konfigurasikan kebijakan kontrol akses keluar untuk Internet firewall untuk mengizinkan lalu lintas dari host bastion ke alamat IP publik.
Pencegahan intrusi: Aktifkan firewall untuk host bastion untuk mengarahkan lalu lintas masuk dan keluar host bastion ke Cloud Firewall untuk perlindungan.
Untuk informasi lebih lanjut, lihat Konfigurasikan kebijakan kontrol akses dalam skenario di mana Cloud Firewall diterapkan bersama dengan Host Bastion.
Apakah kebijakan kontrol akses berlaku jika rentang waktu yang ditentukan untuk pengulangan mencakup dua hari kalender?
Saat Anda mengonfigurasi kebijakan kontrol akses, jika rentang waktu yang Anda tentukan untuk parameter Recurrence Cycle mencakup dua hari kalender dan waktu mulai yang ditentukan untuk parameter Tanggal Efektif jatuh dalam rentang waktu tersebut, waktu akhir aktual untuk pengulangan dilanjutkan ke waktu akhir yang ditentukan pada hari berikutnya.
Sebagai contoh, jika Anda mengatur parameter Recurrence Cycle ke Setiap Selasa dari 18:00 - 08:00 (+1) dan mengatur parameter Effective Date ke 2024.08.20 - 2024.08.22, kebijakan kontrol akses berlaku dari 18:00 pada 20 Agustus 2024 hingga 08:00 pada 21 Agustus 2024.
Apa yang harus saya lakukan jika lalu lintas satu arah pada firewall VPC yang dibuat untuk router transit Edisi Perusahaan dari instance CEN diblokir ketika saya mengubah skenario pengalihan lalu lintasnya?
Penyebab yang mungkin
Anda mengonfigurasi kebijakan kontrol akses yang mengizinkan lalu lintas dari VPC 1 ke VPC 2 dan kebijakan Tolak default. Saat Anda mengaktifkan atau menonaktifkan skenario pengalihan lalu lintas, masalah perutean satu arah terjadi, menyebabkan paket respons lalu lintas ICMP dan UDP diperlakukan sebagai lalu lintas awal dan dialihkan ke Cloud Firewall. Lalu lintas TCP tidak terpengaruh. Dalam kasus ini, alamat IP sumber dan tujuan lalu lintas dibalik. Lalu lintas tidak dapat memenuhi kebijakan Izin, dan kemudian diblokir oleh kebijakan Tolak.
Solusi
Jika guncangan bisnis jangka pendek tidak dapat diterima, kami sarankan Anda mengonfigurasi kebijakan Izin 0.0.0.0/0 dengan prioritas tertinggi untuk firewall VPC yang dibuat untuk router transit Edisi Perusahaan dari Cloud Enterprise Network (CEN) sebelum Anda mengaktifkan atau menonaktifkan firewall VPC. Dalam kasus ini, lalu lintas balik diizinkan saat Anda mengubah skenario pengalihan lalu lintas. Setelah firewall VPC diaktifkan atau dinonaktifkan, Anda dapat menghapus kebijakan tersebut.