Topik ini menjawab pertanyaan umum terkait pengaktifan dan penonaktifan firewall di Cloud Firewall, termasuk dampaknya serta perubahan pada rute dan lalu lintas jaringan setelah aktivasi.
Apa dampak dari mengaktifkan firewall?
Jenis Firewall | Dampak |
Firewall internet | Ketika Anda membuat, mengaktifkan, atau menonaktifkan Firewall internet, Anda dapat menambahkan sumber daya ke Firewall internet untuk perlindungan atau menghapus sumber daya dari Firewall internet dalam hitungan detik. Anda tidak perlu mengubah topologi jaringan saat ini. Beban kerja Anda tidak terpengaruh. |
Firewall NAT |
|
Firewall virtual private cloud (VPC) yang dibuat untuk sirkuit Express Connect Firewall VPC yang dibuat untuk Router Transit Edisi Dasar |
|
Firewall VPC yang dibuat untuk Router Transit Edisi Enterprise | Pengalihan lalu lintas otomatis
Pengalihan lalu lintas manual
|
Bagaimana cara melepaskan Cloud Firewall?
Jika Anda tidak lagi memerlukan Cloud Firewall, Anda dapat melepaskannya dengan merujuk ke Lepaskan Cloud Firewall untuk mencegah biaya yang tidak perlu.
Mengapa saya tidak dapat mengaktifkan Cloud Firewall untuk akun saya?
Penyebab
Ketika Anda masuk ke Konsol Cloud Firewall, pesan Your account cannot be used to activate Cloud Firewall. muncul. Masalah ini mungkin terjadi dalam skenario berikut:
Akun Anda adalah akun Alibaba Cloud dan ditambahkan sebagai anggota untuk manajemen terpusat.
Akun Anda adalah Pengguna Resource Access Management (RAM) dan tidak memiliki izin yang diperlukan.
Solusi
Anda dapat mengarahkan pointer ke foto profil di sudut kanan atas Konsol Cloud Firewall untuk melihat jenis akun Anda.
Jika akun Anda adalah akun Alibaba Cloud, Anda harus menggunakan akun tersebut untuk masuk ke Konsol Cloud Firewall dan mengaktifkan Cloud Firewall. Kemudian, aktifkan perlindungan untuk aset cloud yang dimiliki oleh akun tersebut. Untuk informasi lebih lanjut, lihat Pembelian Cloud Firewall.
Jika akun Anda adalah pengguna RAM, Anda harus melampirkan kebijakan berikut ke pengguna RAM menggunakan akun Alibaba Cloud tempat pengguna RAM tersebut berada: createSlr, AliyunYundunCloudFirewallReadOnlyAccess, dan AliyunYundunCloudFirewallFullAccess. Untuk informasi lebih lanjut, lihat Berikan izin kepada pengguna RAM.
createSlr adalah kebijakan kustom yang perlu Anda buat. Contoh kode berikut memberikan contoh isi kebijakan tersebut. Untuk informasi lebih lanjut, lihat Buat kebijakan kustom.
{ "Statement": [ { "Action": [ "ram:CreateServiceLinkedRole" ], "Resource": "acs:ram:*:166032244439****:role/*", "Effect": "Deny", "Condition": { "StringEquals": { "ram:ServiceName": [ "cloudfw.aliyuncs.com" ] } } } ], "Version": "1" }CatatanAnda harus menentukan nilai parameter Resource dalam format berikut:
acs:ram:*:ID akun Alibaba Cloud:role/*. ID adalah ID akun Alibaba Cloud tempat pengguna RAM tersebut berada.
Apa tujuan dari Firewall internet?
Anda dapat menambahkan beberapa jenis aset yang menghadap Internet ke Firewall internet untuk perlindungan, termasuk alamat IP publik dari instance Elastic Compute Service (ECS), alamat IP publik dari instance SLB, dan EIP. Setelah Anda mengaktifkan Firewall internet, sistem meneruskan lalu lintas masuk dan keluar di perbatasan Internet ke Cloud Firewall. Kemudian, Cloud Firewall memfilter lalu lintas dan hanya mengizinkan lalu lintas yang memenuhi kondisi tertentu. Untuk informasi lebih lanjut, lihat Firewall Internet.
Apakah Firewall internet dapat melindungi alamat IPv6?
Ya, Cloud Firewall mendukung perlindungan penuh untuk alamat IPv6 mulai 8 Januari 2025.
Untuk informasi lebih lanjut, lihat topik berikut:
Untuk informasi lebih lanjut tentang aset cloud yang dapat dilindungi oleh Firewall internet, lihat Ruang Lingkup Perlindungan.
Apakah lalu lintas jaringan terpengaruh setelah saya mengaktifkan Firewall internet?
Jika Anda mengaktifkan Firewall internet tetapi tidak mengonfigurasi kebijakan kontrol akses atau kebijakan untuk sistem pencegahan intrusi (IPS), Cloud Firewall memantau lalu lintas dan menghasilkan peringatan untuk lalu lintas yang mencurigakan tetapi tidak memblokir lalu lintas yang mencurigakan.
Secara default, Firewall internet diaktifkan setelah Anda mengaktifkan Cloud Firewall.
Apa dampak dari menonaktifkan Firewall internet?
Jika Anda menonaktifkan Firewall internet, lalu lintas jaringan tidak melewati firewall, dan masalah berikut mungkin terjadi:
Kemampuan perlindungan Firewall internet menjadi tidak valid. Misalnya, kebijakan kontrol akses yang Anda buat menjadi tidak valid, dan pencegahan intrusi dinonaktifkan.
Statistik lalu lintas di perbatasan Internet tidak diperbarui, termasuk laporan analisis lalu lintas jaringan dan log lalu lintas.
Ketika saya mengaktifkan Firewall internet, sistem memberi tahu pembatasan jaringan terkait instance SLB. Mengapa?
Penyebab
Ketika Anda mengaktifkan Firewall internet, pesan "Anda tidak dapat mengaktifkan firewall untuk alamat IP karena jaringan instance SLB tidak mendukung operasi ini" muncul. Penyebabnya mungkin bahwa instance SLB hanya memiliki alamat IP pribadi dan tidak mendukung Cloud Firewall.
Solusi
Jika aset Anda adalah instance SLB internal-facing, kami sarankan Anda mengaitkan EIP dengan instance tersebut untuk mengarahkan ulang lalu lintas ke Cloud Firewall. Untuk informasi lebih lanjut, lihat Kaitkan EIP dengan Instance CLB Internal-Facing.
Mengapa alamat IP publik saya tidak ditampilkan setelah saya melakukan sinkronisasi aset di Edisi Gratis Cloud Firewall?
Edisi Gratis Cloud Firewall hanya dapat menyinkronkan EIP. Informasi tentang EIP baru ditampilkan di Cloud Firewall satu hari kemudian. Edisi Gratis Cloud Firewall tidak dapat menyinkronkan alamat IP publik dari instance ECS atau instance SLB.
Apakah aturan grup keamanan di ECS terpengaruh setelah Firewall VPC diaktifkan?
Tidak, aturan grup keamanan tidak terpengaruh.
Setelah Anda mengaktifkan Firewall VPC, grup keamanan bernama Cloud_Firewall_Security_Group dan kebijakan kontrol akses secara otomatis dibuat untuk mengizinkan lalu lintas ke Firewall VPC Anda. Grup keamanan hanya mengontrol lalu lintas antar-VPC. Aturan grup keamanan yang ada tidak terpengaruh. Anda tidak perlu memigrasi atau memodifikasi aturan grup keamanan di ECS.
Mengapa saya diberi tahu bahwa instance jaringan yang tidak sah ada ketika saya membuat Firewall VPC?
Penyebab
Instance CEN Anda terkait dengan VPC yang dimiliki oleh akun Alibaba Cloud lain, dan Cloud Firewall tidak diizinkan untuk mengakses sumber daya cloud yang dimiliki oleh akun Alibaba Cloud dari VPC tersebut.
Solusi
Masuk ke Konsol Cloud Firewall dengan akun Alibaba Cloud, dan otorisasi Cloud Firewall untuk mengakses sumber daya cloud dalam akun tersebut menggunakan peran terkait layanan seperti yang diperingatkan. Untuk informasi lebih lanjut, lihat Otorisasi Cloud Firewall untuk Mengakses Sumber Daya Cloud Lainnya.
Saya mengaktifkan Firewall VPC untuk Router Transit Edisi Dasar. Mengapa kebijakan rute dengan Routing Policy Action diatur ke Deny ditambahkan ke tabel rute router transit tersebut?
Setelah Anda membuat dan mengaktifkan Firewall VPC untuk VPC bernama VPC-test yang terhubung ke Router Transit Edisi Dasar, fitur Firewall VPC membuat VPC bernama Cloud_Firewall_VPC dan mengiklankan rute statis untuk mengarahkan ulang lalu lintas VPC lain yang terhubung ke router transit dan tidak dilindungi oleh firewall ke Cloud Firewall.
Cloud Firewall juga menambahkan rute statis dengan hop berikutnya yang menunjuk ke ENI yang dibuat untuk Cloud_Firewall_VPC ke tabel rute Cloud_Firewall_VPC dan membuat kebijakan rute dengan Routing Policy Action diatur ke Deny. Dengan cara ini, VPC-test tidak mempelajari rute yang diiklankan oleh CEN. Lalu lintas keluar VPC-test dialihkan ke Cloud Firewall berdasarkan rute statis.
Jangan modifikasi atau hapus kebijakan rute atau tabel rute. Jika tidak, kemampuan pengalihan lalu lintas Cloud Firewall terpengaruh, dan beban kerja Anda terganggu.
Mengapa Cloud Firewall membuat tabel rute dan menambahkan rute statis 0.0.0.0/0 ke tabel rute setelah saya mengaktifkan Firewall NAT?
Setelah Anda mengaktifkan Firewall NAT, Cloud Firewall secara otomatis membuat tabel rute kustom Cloud_Firewall_ROUTE_TABLE dan menambahkan rute statis 0.0.0.0/0 yang menunjuk ke gateway NAT terlibat yang dilindungi oleh Cloud Firewall ke tabel rute kustom. Selain itu, Cloud Firewall mengubah hop berikutnya dari rute statis 0.0.0.0/0 di tabel rute sistem ke ENI dari Firewall NAT. Dengan cara ini, lalu lintas keluar gateway NAT dialihkan ke Cloud Firewall.
Jangan modifikasi atau hapus tabel rute. Jika tidak, kemampuan pengalihan lalu lintas Cloud Firewall terpengaruh, dan beban kerja Anda terganggu.
Bagaimana Cloud Firewall mencocokkan lalu lintas keluar terhadap kebijakan kontrol akses dari Firewall internet, Firewall NAT, dan Firewall DNS?
Ketika instance ECS mengakses nama domain, lalu lintas dicocokkan dalam prosedur berikut jika Firewall internet, Firewall NAT, dan Domain Name System (DNS) firewall diaktifkan:
Instance ECS memulai permintaan DNS. Permintaan DNS melewati Firewall DNS dan dicocokkan terhadap kebijakan kontrol akses yang dibuat untuk Firewall DNS.
Lalu lintas jaringan pribadi yang berasal dari instance ECS melewati Firewall NAT dan dicocokkan terhadap kebijakan kontrol akses yang dibuat untuk Firewall NAT.
Lalu lintas jaringan pribadi yang diizinkan melewati gateway NAT, dan alamat IP sumber dari lalu lintas pribadi dikonversi ke alamat IP publik dari gateway NAT.
Lalu lintas Internet diteruskan oleh gateway NAT ke Firewall internet dan dicocokkan terhadap kebijakan kontrol akses yang dibuat untuk Firewall internet.
Lalu lintas dicocokkan terhadap aturan intelijen ancaman, kebijakan perlindungan dasar, aturan pertahanan intelijen, dan aturan pembenahan virtual Cloud Firewall secara berurutan.
Jika lalu lintas tidak mengenai kebijakan Deny dalam prosedur di atas, lalu lintas mencapai nama domain. Jika lalu lintas mengenai kebijakan Deny, lalu lintas ditolak dan tidak dapat mencapai nama domain.
Setelah saya mengonfigurasi kebijakan kontrol akses untuk Firewall NAT saya, instance ECS terkait masih dapat menjalankan perintah telnet untuk mengakses nama domain lainnya. Mengapa?
EIP dikaitkan dengan entri SNAT, Firewall NAT diaktifkan untuk EIP, dan kebijakan kontrol akses yang mengizinkan instance ECS terkait untuk menggunakan aplikasi HTTP atau HTTPS untuk mengakses nama domain tertentu melalui TCP dikonfigurasi. Namun, instance ECS masih dapat menjalankan perintah telnet untuk mengakses nama domain lainnya.
Penyebab: Ketika Anda menjalankan perintah telnet untuk melakukan tes, Cloud Firewall tidak dapat mengidentifikasi aplikasi lalu lintas menggunakan inspeksi paket mendalam (DPI) karena perintah telnet tidak memiliki fitur aplikasi seperti HTTP dan HTTPS. Dalam hal ini, tipe aplikasi lalu lintas adalah Tidak Dikenal, dan lalu lintas tidak mengenai kebijakan HTTP atau HTTPS. Dalam mode longgar, jika nama domain atau tipe aplikasi lalu lintas tidak diidentifikasi ketika Cloud Firewall mencocokkan lalu lintas terhadap kebijakan kontrol akses berbasis aplikasi atau berbasis domain, Cloud Firewall secara otomatis mengizinkan lalu lintas tersebut. Jika Anda ingin mencocokkan kebijakan berikutnya, aktifkan mode ketat.
PentingMode ketat dikonfigurasi secara global. Setelah Anda mengaktifkan mode ketat, logika pencocokan semua lalu lintas terpengaruh. Lanjutkan dengan hati-hati.
Solusi: Kami sarankan Anda menjalankan perintah curl untuk melakukan tes alih-alih perintah telnet.
Bagaimana cara mengaktifkan dan mengonfigurasi kebijakan kontrol akses untuk Firewall internet secara efisien?
Komputasi awan telah menjadi pilihan tak terhindarkan untuk transformasi digital perusahaan. Berbagai solusi berbasis awan yang lebih luas membentuk arsitektur bisnis yang lebih kompleks, dan batas keamanan menjadi semakin kabur. Perusahaan dapat menggunakan Cloud Firewall untuk memberikan perlindungan di perbatasan jaringan awan. Namun, jika sejumlah besar alamat IP publik digunakan, konfigurasi kebijakan kontrol akses menjadi rumit.
Cloud Firewall menyediakan kebijakan cerdas. Cloud Firewall secara otomatis mempelajari karakteristik lalu lintas dalam 30 hari terakhir dan akses serta koneksi keluar layanan cloud dan alamat IP dan secara otomatis merekomendasikan kebijakan kontrol akses yang sesuai untuk setiap alamat IP tujuan atau nama domain. Ini mengurangi eksposur Internet dan risiko intrusi, serta memblokir alamat IP keluar dan nama domain jahat.
Untuk informasi lebih lanjut tentang cara menerapkan kebijakan kontrol akses cerdas ke Firewall internet, lihat Buat Kebijakan Kontrol Akses untuk Firewall Internet.
Apa perbedaan antara versi lama dan baru dari Firewall VPC yang dapat dibuat untuk Router Transit Edisi Enterprise?
Cloud Firewall menyesuaikan kemampuan tertentu dari Firewall VPC yang dapat dibuat untuk Router Transit Edisi Enterprise. Setelah Firewall VPC dibuat, VPC firewall secara otomatis dibuat. Jika Firewall VPC dibuat dalam mode pengalihan lalu lintas otomatis, pemilik VPC berubah dari akun pengguna menjadi akun layanan. Daftar berikut menjelaskan perbedaan spesifik:
Pemilik VPC Firewall: Di versi baru, VPC firewall tidak lagi dimiliki oleh akun pengguna. VPC firewall dimiliki oleh akun layanan Cloud Firewall. Anda tidak dapat melihat atau memodifikasi sumber daya dan konfigurasi VPC firewall, dan VPC firewall tidak menghabiskan kuota VPC Anda di wilayah tertentu.
Metode Penagihan: Di versi lama, Anda dikenakan biaya untuk transfer lalu lintas antara router transit Anda dan VPC layanan serta antara router transit Anda dan VPC firewall selama pengalihan lalu lintas. Di versi baru, VPC firewall dimiliki oleh Cloud Firewall. Oleh karena itu, biaya untuk transfer lalu lintas antara router transit Anda dan VPC firewall termasuk dalam tagihan Cloud Firewall. Anda tidak perlu membayar biaya tersebut.
Pengaktifan Firewall VPC: Ketika Anda membuat Firewall VPC, Anda tidak perlu menentukan 3 blok CIDR untuk vSwitch. Anda hanya perlu menentukan 1 blok CIDR yang setidaknya 27 bit panjangnya dan tidak bertentangan dengan rencana jaringan Anda. Subnet secara otomatis dialokasikan ke vSwitch yang diperlukan untuk membuat Firewall VPC. Untuk informasi lebih lanjut tentang cara mengonfigurasi Firewall VPC untuk Router Transit Edisi Enterprise, lihat Konfigurasikan Firewall VPC untuk Router Transit Edisi Enterprise.
Aktifkan Firewall VPC versi baru untuk Router Transit Edisi Enterprise
PentingHanya mode pengalihan lalu lintas otomatis yang didukung. Pastikan bahwa Cloud Firewall menggunakan metode penagihan bayar sesuai pemakaian. Jika Cloud Firewall menggunakan metode penagihan langganan, pastikan bahwa fitur lalu lintas terproteksi burstable diaktifkan.
Jika tidak ada Firewall VPC yang dibuat, lakukan langkah-langkah berikut: Aktifkan fitur lalu lintas terproteksi burstable, dan kemudian buat Firewall VPC. Jika Cloud Firewall Anda menggunakan metode penagihan bayar sesuai pemakaian, Anda tidak perlu mengaktifkan fitur tersebut.
PeringatanAnda harus secara ketat melakukan langkah-langkah di atas dalam urutan ini.
Jika Firewall VPC dibuat, lakukan langkah-langkah berikut:
Hapus skenario pengalihan lalu lintas yang dibuat untuk Firewall VPC dan kemudian hapus Firewall VPC.
Aktifkan fitur lalu lintas terproteksi burstable.
Buat Firewall VPC dan skenario pengalihan lalu lintas.
Untuk informasi lebih lanjut tentang cara mengaktifkan fitur lalu lintas terproteksi burstable, lihat Lalu Lintas Terproteksi Burstable.
Apakah latensi ada ketika saya menambahkan aset ke Firewall VPC?
Ya, latensi ada ketika Anda menambahkan aset ke Firewall VPC.
Jika aset dan Firewall VPC berada di zona yang berbeda di wilayah yang sama, latensi 4 hingga 8 milidetik ada. Jika aset dan Firewall VPC berada di zona yang sama, latensi 2 hingga 3 milidetik ada.