All Products
Search

This Product

    Cloud Firewall:FAQ tentang pengaturan Cloud Firewall

    Document Center

    Cloud Firewall:FAQ tentang pengaturan Cloud Firewall

    Last Updated:Apr 02, 2026

    Topik ini menjawab pertanyaan umum mengenai pengaktifan atau penonaktifan Cloud Firewall, mencakup dampak terhadap layanan Anda serta perubahan yang terjadi pada rute dan lalu lintas jaringan.

    Dampak mengaktifkan firewall

    Jenis firewall

    Dampak

    Internet firewall

    Anda dapat membuat, mengaktifkan, atau menonaktifkan internet firewall tanpa mengubah topologi jaringan Anda. Perlindungan aset dapat ditambahkan atau dihapus dalam hitungan detik tanpa memengaruhi layanan Anda.

    NAT firewall

    • Pembuatan atau penghapusan NAT firewall tidak memengaruhi layanan Anda.

      Waktu pembuatan bergantung pada jumlah elastic IP addresses (EIPs) yang terkait dengan gerbang NAT. Setiap EIP tambahan menambah waktu pembuatan sekitar 2 hingga 5 menit.

    • Mengaktifkan atau menonaktifkan NAT firewall memerlukan waktu sekitar 10 detik. Selama proses ini, koneksi berdurasi panjang mungkin mengalami gangguan singkat selama 1 hingga 2 detik, sedangkan koneksi berdurasi pendek tidak terpengaruh.

    VPC firewall untuk Express Connect

    VPC firewall untuk router transit Edisi Dasar

    • Pembuatan atau penghapusan VPC firewall tidak memengaruhi layanan Anda.

      Proses pembuatan memerlukan waktu sekitar 5 menit.

    • Mengaktifkan atau menonaktifkan VPC firewall memerlukan waktu sekitar 5 hingga 30 menit, tergantung pada jumlah entri rute. Selama proses ini, koneksi berdurasi panjang mungkin mengalami gangguan singkat, sedangkan koneksi berdurasi pendek tidak terpengaruh.

      Catatan

      Sebelum mengaktifkan VPC firewall, pastikan aplikasi Anda mendukung retransmisi TCP otomatis. Pantau status koneksi aplikasi secara ketat untuk mencegah gangguan jika aplikasi tidak memiliki mekanisme retransmisi.

    VPC firewall untuk router transit Edisi Perusahaan

    Pengalihan lalu lintas otomatis

    • Pembuatan atau penghapusan VPC firewall tidak memengaruhi layanan Anda.

      Proses pembuatan memerlukan waktu sekitar 5 menit.

    • Mengaktifkan atau menonaktifkan VPC firewall memerlukan waktu sekitar 5 hingga 30 menit, tergantung pada jumlah entri rute. Proses ini tidak memengaruhi layanan Anda.

    Pengalihan lalu lintas manual

    • Pembuatan atau penghapusan VPC firewall tidak memengaruhi layanan Anda.

      Proses pembuatan memerlukan waktu sekitar 5 menit.

    • Durasi dampak terhadap layanan saat mengaktifkan atau menonaktifkan VPC firewall bervariasi tergantung pada metode pemindahan lalu lintas.

    Bagaimana cara menonaktifkan Cloud Firewall?

    Jika layanan Anda tidak lagi memerlukan perlindungan Cloud Firewall, Anda dapat melepaskan instans untuk menghindari biaya lebih lanjut.

    Menangani kelebihan traffic

    Jika lalu lintas layanan Anda melebihi spesifikasi bandwidth yang dibeli, service level agreement (SLA) tidak dijamin. Kelebihan ini dapat memicu penurunan layanan, yang mencakup tetapi tidak terbatas pada: fitur keamanan yang dinonaktifkan seperti access control, IPS, dan Log Audit; bypass firewall untuk aset berlalu lintas tinggi; serta kehilangan paket akibat rate limiting.

    Mengapa saya tidak dapat mengaktifkan Cloud Firewall untuk akun saya?

    Penyebab

    Saat Anda login ke Konsol Cloud Firewall, muncul pesan Your account cannot be used to activate Cloud Firewall. Hal ini dapat terjadi karena alasan berikut:

    • Akun Alibaba Cloud Anda adalah akun anggota yang dikelola oleh akun Alibaba Cloud lainnya.

    • Anda adalah Pengguna RAM tanpa izin yang diperlukan.

    Solusi

    Anda dapat mengarahkan kursor ke gambar profil di pojok kanan atas konsol untuk memeriksa jenis akun Anda.

    • Jika akun tersebut adalah Akun Alibaba Cloud:

      Anda harus menggunakan akun administrator yang mengelola terpusat akun anggota ini untuk login ke Konsol Cloud Firewall, mengaktifkan layanan, lalu mengaktifkan perlindungan untuk aset cloud akun anggota tersebut. Untuk informasi lebih lanjut, lihat Pembelian Cloud Firewall.

    • Jika akun tersebut adalah Pengguna RAM (sub-akun), Anda harus menggunakan akun induk Alibaba Cloud (akun utama) untuk memberikan izin createSlr, AliyunYundunCloudFirewallReadOnlyAccess, dan AliyunYundunCloudFirewallFullAccess kepada Pengguna RAM tersebut. Untuk informasi lebih lanjut, lihat Manage RAM user permissions.

      Di sini, createSlr adalah kebijakan izin kustom. Anda harus membuat kebijakan ini. Skripnya sebagai berikut. Untuk informasi lebih lanjut, lihat Create a custom permission policy.

      {
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:166032244439****:role/*",
            "Effect": "Deny",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "cloudfw.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}
      Catatan

      Format parameter Resource adalah acs:ram:*:ID akun Alibaba Cloud:role/*, di mana ID akun Alibaba Cloud adalah ID akun root yang memiliki Pengguna RAM tersebut.

    Kegagalan pengaktifan firewall

    Pesan error

    Solusi

    Instans Cloud Enterprise Network (CEN) Anda tidak dikaitkan dengan VPC cross-account, Cloud Firewall tidak diizinkan mengakses VPC cross-account tersebut, atau edisi Cloud Firewall Anda bukan Edisi Ultimate.

    Gunakan akun yang sesuai untuk login ke Cloud Firewall dan berikan izin yang diperlukan sebelum mengaktifkan VPC firewall. Untuk informasi lebih lanjut tentang otorisasi, lihat Authorize Cloud Firewall to access cloud resources. Untuk meningkatkan ke Cloud Firewall Edisi Ultimate, lihat Renewal.

    Instans CEN tempat Anda ingin mengaktifkan firewall berisi VPC yang terhubung ke Express Connect dan sudah memiliki firewall yang diaktifkan.

    Untuk bantuan teknis, kirimkan .

    Wilayah tempat VPC dalam instans CEN berada tidak didukung oleh VPC firewall.

    Untuk informasi selengkapnya, lihat Wilayah yang Didukung.

    Firewall yang dibuat dalam mode manual sudah ada di wilayah yang sama dengan instans CEN.

    Untuk bantuan teknis, kirimkan .

    Instans CEN hanya memiliki satu instance jaringan atau tidak memiliki VPC.

    Anda tidak dapat membuat instans Cloud Firewall jika instans CEN tidak memiliki VPC atau hanya memiliki satu VPC. Tambahkan lebih banyak VPC ke instans CEN dan coba lagi.

    Jumlah VPC yang dapat diaktifkan firewall-nya di wilayah yang sama telah mencapai kuota.

    Kami menyarankan Anda menggunakan router transit CEN. Untuk informasi lebih lanjut, kirimkan untuk bantuan teknis.

    Akun pengelola untuk instans CEN cross-account belum membeli Cloud Firewall.

    Gunakan akun pengelola untuk membeli Cloud Firewall.

    Jumlah rute kustom untuk instans VPC melebihi kuota.

    Buka Konsol VPC dan pilih O&M and Monitoring > Quota Management. Di halaman Quota Management, tingkatkan kuota rute kustom untuk tabel rute di bawah akun Anda.

    Kuota VPC firewall penuh.

    Kami menyarankan Anda meningkatkan kuota firewall Anda.

    Terdeteksi konfigurasi Blok CIDR duplikat. Hanya Blok CIDR virtual border router (VBR) yang boleh diduplikasi. Blok CIDR VPC yang berbeda atau antara VPC dan VBR tidak boleh diduplikasi.

    Untuk bantuan teknis, kirimkan .

    Kuota prioritas rute berbasis kebijakan tidak mencukupi.

    Untuk bantuan teknis, kirimkan .

    Instans CEN berisi kebijakan rute tipe Deny, kecuali kebijakan rute sistem default dengan prioritas 5000.

    Kami menyarankan Anda menghapus kebijakan rute terkait atau mengirimkan untuk bantuan teknis.

    Jumlah VPC di suatu wilayah harus kurang dari kuota VPC karena VPC firewall mengonsumsi satu slot kuota.

    Jika kuota penuh, buka Konsol VPC dan pilih halaman Quota Management untuk meningkatkan kuota VPC. Jika kuota VPC tidak dapat ditingkatkan, kirimkan untuk bantuan teknis.

    Blok CIDR yang diiklankan oleh instans CEN berisi rentang IP publik, kecuali 0.0.0.0/0. Hal ini dapat menyebabkan akses satu arah ke SLB memicu pemutusan koneksi.

    Untuk bantuan teknis, kirimkan .

    Gagal memverifikasi rute yang mengarah ke border router (BR).

    Untuk bantuan teknis, kirimkan .

    VPC dalam instans CEN memiliki tabel rute kustom yang dikaitkan dengan vSwitch.

    Anda dapat menghapus tabel rute kustom terkait atau memutuskan kaitan vSwitch dari tabel rute kustom tersebut.

    Mengaktifkan firewall untuk instans CEN akan menyebabkan jumlah rute melebihi kuota.

    Kami menyarankan Anda mengurangi jumlah rute yang diiklankan menjadi 100 atau kurang, atau meningkatkan ke arsitektur CEN-TR. Jika diperlukan, kirimkan untuk bantuan teknis.

    Wilayah tempat router transit berada tidak didukung.

    Wilayah tempat router transit dalam instans CEN berada tidak didukung oleh VPC firewall. Untuk informasi lebih lanjut, lihat Supported regions.

    Router transit memiliki koneksi VPN.

    Untuk bantuan teknis, kirimkan .

    Tabel rute router transit berisi daftar awalan (prefix list).

    Kami menyarankan Anda mengiklankan rute di VPC alih-alih menggunakan daftar awalan.

    Tabel rute router transit berisi rute blackhole.

    Untuk bantuan teknis, kirimkan .

    Tabel rute router transit berisi rute statis.

    Kami menyarankan Anda mengiklankan rute di VPC alih-alih menggunakan rute statis.

    Tabel rute router transit memiliki konflik rute.

    Kami menyarankan Anda memeriksa adanya rute deny yang mungkin menyebabkan konflik tersebut.

    Tabel rute router transit memiliki konflik kebijakan rute sistem.

    Periksa apakah jenis instance sumber dan tujuan dalam kondisi pencocokan kebijakan rute sistem dengan prioritas 5000 mencakup CEN, VBR, VPN, atau ECR. Jika tidak, kirimkan untuk bantuan teknis.

    Tabel rute router transit berisi rute IPv6.

    Fitur ini saat ini tidak didukung oleh Cloud Firewall.

    VPC firewall tidak diaktifkan untuk edisi bayar sesuai penggunaan Cloud Firewall.

    Anda dapat membuka Konsol Cloud Firewall untuk mengaktifkan VPC firewall. Untuk informasi lebih lanjut, lihat Pay-as-you-go 2.0.

    Edisi Cloud Firewall saat ini tidak mendukung VPC firewall.

    Kami menyarankan Anda meningkatkan edisi Cloud Firewall Anda. Untuk informasi lebih lanjut, lihat Upgrade and downgrade.

    Sinkronisasi aset untuk VPC firewall belum selesai.

    Buka Konsol Cloud Firewall. Di panel navigasi kiri, pilih Firewall > VPC firewall. Di halaman VPC firewall, klik Synchronize Assets dan tunggu 5 hingga 10 menit.

    Apa tujuan internet firewall?

    Internet firewall dapat melindungi berbagai jenis aset publik, seperti alamat IP publik dari instance ECS, instance SLB, dan EIP. Setelah Anda mengaktifkan internet firewall, lalu lintas jaringan ke dan dari aset-aset ini di perbatasan internet dialihkan ke Cloud Firewall. Cloud Firewall memeriksa dan menyaring lalu lintas tersebut, hanya mengizinkan lalu lintas yang memenuhi kondisi tertentu untuk dilewatkan. Untuk informasi lebih lanjut, lihat Internet firewall.

    Apakah internet firewall melindungi aset IPv6?

    Ya. Mulai 8 Januari 2025, Cloud Firewall sepenuhnya mendukung perlindungan aset IPv6.

    Untuk cakupan aset yang dapat dilindungi oleh internet firewall, lihat Protection scope.

    Apakah internet firewall memengaruhi network traffic?

    Jika Anda hanya mengaktifkan internet firewall tanpa mengonfigurasi kebijakan access control atau intrusion prevention apa pun, Cloud Firewall hanya memeriksa dan menghasilkan peringatan untuk lalu lintas jaringan. Firewall tidak memblokir lalu lintas apa pun.

    Saat Anda membeli Cloud Firewall, internet firewall diaktifkan secara default untuk semua aset.

    Apa dampak dari menonaktifkan internet firewall?

    Jika Anda menonaktifkan internet firewall, seluruh lalu lintas jaringan melewatinya, yang berakibat sebagai berikut:

    • Fitur perlindungan internet firewall menjadi tidak aktif. Ini mencakup kebijakan kontrol akses untuk lalu lintas inbound dan outbound di perbatasan internet serta Pencegahan Intrusi.

    • Statistik lalu lintas untuk perbatasan internet, termasuk laporan analisis lalu lintas jaringan dan log, tidak lagi dihasilkan.

    Error pembatasan jaringan SLB saat mengaktifkan internet firewall

    Penyebab

    Saat Anda mengaktifkan internet firewall, Anda mungkin melihat pesan: Anda tidak dapat mengaktifkan firewall untuk alamat IP karena jaringan instance SLB tidak mendukung operasi ini. Hal ini dapat terjadi jika aset SLB hanya memiliki alamat IP pribadi, yang tidak mendukung perlindungan Cloud Firewall.

    Solusi

    Untuk aset yang hanya memiliki alamat IP pribadi, Anda dapat mengaktifkan perlindungan Cloud Firewall dengan mengaitkan EIP ke aset tersebut untuk mengalihkan lalu lintasnya ke firewall. Untuk informasi lebih lanjut, lihat Associate and manage an EIP for an internal-facing CLB instance.

    Mengapa IP publik hilang setelah menyinkronkan aset di Edisi Gratis?

    Cloud Firewall Edisi Gratis hanya dapat menyinkronkan aset EIP. Aset yang baru ditambahkan muncul di Cloud Firewall setelah penundaan 24 jam (hari T+1). Edisi ini tidak dapat menyinkronkan alamat IP publik dari instance ECS atau SLB.

    Mengapa status aset internet firewall 'Protection abnormal'?

    Penyebab

    • Aset tersebut merupakan bagian dari migrasi dari jaringan klasik ke VPC.

    • Saat instance Classic Load Balancer (CLB) yang menghadap publik dilepas, alamat IP publiknya dikonversi menjadi EIP dan dipertahankan.

    Solusi

    Klik Disable lalu Enable untuk memulihkan status normal.

    Apakah mengaktifkan VPC firewall memengaruhi aturan security group ECS?

    Tidak.

    Saat Anda mengaktifkan VPC firewall, Cloud Firewall secara otomatis membuat security group bernama Cloud_Firewall_Security_Group dan kebijakan allow terkait untuk mengizinkan lalu lintas melewati VPC firewall. Security group ini hanya mengelola lalu lintas dalam VPC tersebut. Aturan security group ECS yang sudah ada tetap berlaku.

    Mengapa muncul error 'instance jaringan tidak sah' saat membuat VPC firewall?

    Penyebab

    Instans CEN Anda berisi VPC yang dimiliki oleh akun Alibaba Cloud lain, dan akun tersebut belum memberikan otorisasi kepada Cloud Firewall untuk mengakses sumber daya cloud-nya.

    Solusi

    Login ke Konsol Cloud Firewall dengan akun Alibaba Cloud yang tidak sah tersebut dan ikuti petunjuk di layar untuk memberikan otorisasi kepada peran layanan Cloud Firewall. Untuk informasi lebih lanjut, lihat Authorize Cloud Firewall to access cloud resources.

    Kebijakan rute deny untuk router transit Edisi Dasar

    Setelah Anda mengaktifkan VPC firewall untuk VPC (misalnya, VPC-test) yang terhubung melalui router transit Edisi Dasar, Cloud Firewall membuat VPC baru bernama Cloud_Firewall_VPC di bawah router transit tersebut. Firewall juga mengiklankan rute statis untuk mengalihkan lalu lintas dari VPC lain yang tidak dilindungi di bawah router transit yang sama ke Cloud Firewall.

    Pada saat yang sama, Cloud Firewall menambahkan rute statis dalam VPC-test yang mengarah ke antarmuka jaringan elastis (ENI) firewall, mengalihkan lalu lintas keluar dari VPC-test ke firewall. Firewall juga membuat kebijakan rute deny untuk mencegah VPC-test mempelajari rute yang diiklankan oleh instans CEN.

    Penting

    Jangan mengubah atau menghapus kebijakan rute dan tabel rute yang dijelaskan di atas. Melakukannya akan mengganggu pengalihan lalu lintas Cloud Firewall dan menyebabkan gangguan layanan.

    Mengapa NAT firewall membuat tabel rute dan rute 0.0.0.0/0

    Saat Anda mengaktifkan NAT firewall, Cloud Firewall secara otomatis membuat tabel rute kustom bernama Cloud_Firewall_ROUTE_TABLE dan menambahkan rute 0.0.0.0/0 yang mengarah ke gerbang NAT. Firewall juga memodifikasi entri rute 0.0.0.0/0 di tabel rute sistem, mengubah lompatan berikutnya (next hop) menjadi antarmuka jaringan elastis (ENI) firewall. Hal ini memastikan bahwa lalu lintas keluar dari gerbang NAT dialihkan ke Cloud Firewall.

    Penting

    Jangan mengubah atau menghapus tabel rute ini atau entri rutennya. Melakukannya akan mengganggu pengalihan lalu lintas Cloud Firewall dan menyebabkan gangguan layanan.

    Pencocokan outbound traffic dengan beberapa firewall

    Saat instance ECS memulai permintaan lalu lintas keluar ke domain dan ketiga firewall diaktifkan, lalu lintas tersebut dicocokkan sebagai berikut:

    1. Instance ECS mengirim permintaan DNS, yang melewati DNS firewall dan dicocokkan dengan kebijakan kontrol aksesnya.

    2. Lalu lintas jaringan pribadi dari instance ECS melewati NAT firewall dan dicocokkan dengan kebijakan kontrol aksesnya.

    3. Lalu lintas pribadi yang diizinkan melewati gerbang NAT, yang menerjemahkan alamat IP sumber pribadi menjadi alamat IP publik.

    4. Gerbang NAT mengirim lalu lintas publik ke internet firewall, di mana lalu lintas tersebut dicocokkan dengan kebijakan kontrol akses internet firewall.

    5. Lalu lintas tersebut kemudian dicocokkan dengan aturan intelijen ancaman, perlindungan dasar, pertahanan cerdas, dan pembenahan virtual Cloud Firewall.

    Jika lalu lintas tidak cocok dengan kebijakan deny selama proses ini, lalu lintas berhasil mencapai domain tersebut. Jika lalu lintas cocok dengan kebijakan deny apa pun, lalu lintas tersebut diblokir dan tidak dapat mengakses domain tersebut.

    Mengapa telnet masih berfungsi setelah mengonfigurasi kebijakan NAT firewall?

    EIP dikaitkan dengan entri SNAT, NAT firewall diaktifkan, dan kebijakan kontrol akses dikonfigurasi untuk mengizinkan instance ECS mengakses domain tertentu hanya melalui TCP menggunakan HTTP atau HTTPS. Namun, instance ECS masih dapat menggunakan perintah telnet untuk mengakses domain lain.

    • Penyebab: Saat Anda menguji dengan perintah telnet, perintah tersebut tidak memiliki fitur protokol lapisan aplikasi (seperti HTTP atau HTTPS). Akibatnya, Deep Packet Inspection (DPI) Cloud Firewall tidak dapat mengidentifikasi aplikasi spesifik, dan aplikasi tersebut diberi label "Unknown." Lalu lintas ini tidak cocok dengan kebijakan HTTP atau HTTPS. Dalam mode longgar, saat mencocokkan kebijakan aplikasi atau domain, Cloud Firewall secara default mengizinkan lalu lintas dengan aplikasi atau domain yang tidak teridentifikasi. Untuk memastikan lalu lintas tersebut dicocokkan dengan kebijakan berikutnya, Anda harus mengaktifkan mode ketat.

      Penting

      Mode ketat adalah pengaturan global. Mengaktifkannya akan memengaruhi logika pencocokan untuk seluruh lalu lintas. Harap berhati-hati sesuai kebutuhan bisnis Anda.

    • Solusi: Kami tidak menyarankan menggunakan telnet untuk pengujian. Gunakan perintah curl sebagai gantinya.

    Mengapa sebagian traffic router transit melewati NAT firewall?

    Masalah ini biasanya terjadi ketika koneksi VPC dari router transit (TR) dikaitkan dengan vSwitch khusus yang dibuat secara otomatis oleh NAT firewall.

    Cara kerjanya:

    NAT firewall bergantung pada konfigurasi rute tertentu untuk mengelola lalu lintas. Dalam pengaturan standar, prosesnya sebagai berikut:

    1. Pengalihan lalu lintas layanan: Tabel rute vSwitch layanan di VPC Anda mengarahkan lalu lintas yang menuju internet ke NAT firewall sebagai next hop. Hal ini memastikan seluruh lalu lintas menjalani pemeriksaan keamanan terlebih dahulu.

    2. Penerusan lalu lintas firewall: Setelah NAT firewall memeriksa lalu lintas, tabel rute vSwitch khususnya meneruskan lalu lintas ke gerbang NAT sebagai next hop, yang kemudian mengirimnya ke internet.

    Dampak konfigurasi salah
    Jika Anda mengaitkan titik koneksi TR ke vSwitch khusus NAT firewall, lalu lintas yang menuju internet dari TR akan langsung memasuki vSwitch ini. Lalu lintas tersebut akan mencocokkan entri rute yang next hop-nya adalah gerbang NAT, sehingga melewati pemeriksaan keamanan NAT firewall. Hal ini menyebabkan sebagian lalu lintas tidak terpantau.

    Konfigurasi yang direkomendasikan
    Untuk memastikan seluruh lalu lintas yang menuju internet diproses oleh NAT firewall, ikuti praktik terbaik berikut:

    • Isolasi vSwitch: vSwitch khusus NAT firewall tidak boleh digunakan untuk tujuan lain, termasuk sebagai titik koneksi untuk TR.

    • Perencanaan independen: Alokasikan vSwitch terpisah dan khusus untuk koneksi VPC TR.

    • Verifikasi rute: Pastikan semua tabel rute terkait, termasuk yang dikaitkan dengan vSwitch koneksi TR, dikonfigurasi dengan benar untuk mengarahkan rute yang menuju internet ke NAT firewall sebagai next hop.

    Bagaimana cara mengaktifkan dan mengonfigurasi kebijakan kontrol akses batas internet Cloud Firewall secara efisien?

    Saat komputasi cloud menjadi penting untuk transformasi digital, arsitektur bisnis semakin kompleks dan perimeter keamanan semakin kabur. Perusahaan dapat menggunakan Cloud Firewall untuk melindungi perimeter jaringan cloud mereka. Namun, mengonfigurasi kebijakan kontrol akses bisa rumit jika Anda memiliki banyak alamat IP publik.

    Cloud Firewall menyediakan kebijakan cerdas yang secara otomatis menganalisis lalu lintas dari 30 hari terakhir, serta cara aset IP cloud dan layanan Anda diakses dan melakukan koneksi keluar. Berdasarkan analisis ini, Cloud Firewall menyarankan kebijakan kontrol akses yang sesuai untuk internet firewall untuk setiap alamat IP tujuan atau domain. Hal ini membantu mengurangi attack surface internet Anda, memblokir alamat IP dan domain internal-ke-eksternal yang berbahaya, serta menurunkan risiko intrusi layanan.

    Untuk informasi tentang cara menerapkan kebijakan kontrol akses cerdas untuk internet firewall, lihat Configure access control policies for the internet firewall.

    VPC firewall untuk TR Edisi Perusahaan: perbedaan versi

    Cloud Firewall telah menyesuaikan beberapa fungsi VPC firewall untuk router transit Edisi Perusahaan. Untuk firewall yang dibuat dengan pengalihan lalu lintas otomatis, kepemilikan VPC firewall telah berubah dari akun Anda ke akun layanan terkelola. Perbedaan utamanya sebagai berikut:

    1. Kepemilikan VPC firewall: Di versi baru, VPC firewall tidak lagi dimiliki oleh akun Anda, melainkan oleh akun latar belakang Cloud Firewall. Anda tidak dapat melihat atau mengubah sumber daya dan konfigurasi VPC firewall tersebut. VPC firewall juga tidak mengonsumsi kuota VPC regional Anda.

    2. Penagihan: Di arsitektur lama, Anda dikenai biaya transfer lalu lintas antara router transit dan VPC layanan Anda, serta antara router transit dan VPC firewall. Di versi baru, karena VPC firewall dimiliki oleh Cloud Firewall, biaya transfer lalu lintas antara router transit dan VPC firewall juga ditanggung oleh Cloud Firewall.

    3. Mengaktifkan VPC firewall: Saat membuat VPC firewall, Anda tidak perlu lagi memasukkan tiga Blok CIDR vSwitch. Anda hanya perlu memasukkan satu Blok CIDR minimal /27 yang tidak bertentangan dengan paket jaringan Anda. Blok CIDR ini akan digunakan untuk mengalokasikan vSwitch yang diperlukan selama pembuatan firewall. Untuk mengonfigurasi VPC firewall Edisi Perusahaan, lihat Configure a VPC firewall for an Enterprise Edition transit router.

    Mengaktifkan VPC firewall TR Edisi Perusahaan versi baru

    Penting

    Persyaratan: Fitur ini hanya mendukung pengalihan lalu lintas otomatis. Edisi Cloud Firewall Anda harus berupa bayar sesuai penggunaan atau edisi langganan dengan fitur bayar sesuai penggunaan untuk lalu lintas elastis yang diaktifkan.

    • Jika Anda belum membuat VPC firewall: Pertama, aktifkan fitur lalu lintas terlindungi burstable (langkah ini dapat dilewati untuk pelanggan bayar sesuai penggunaan), lalu buat VPC firewall.

      Peringatan

      Anda harus mengikuti urutan ini secara ketat.

    • Jika Anda sudah membuat VPC firewall:

      • Hapus skenario pengalihan lalu lintas dan VPC firewall yang ada.

      • Aktifkan fitur lalu lintas terlindungi burstable (langkah ini dapat dilewati untuk pelanggan bayar sesuai penggunaan).

      • Buat ulang VPC firewall dan skenario pengalihan lalu lintas.

    • Untuk langkah-langkah spesifik mengaktifkan fitur lalu lintas terlindungi burstable, lihat Pay-as-you-go for elastic traffic with a subscription.

    Apakah terdapat latensi dengan VPC firewall?

    Ya.

    VPC firewall menambahkan latensi 4 hingga 8 ms untuk lalu lintas antar zona dalam wilayah yang sama dan 2 hingga 3 ms untuk lalu lintas dalam zona yang sama.