All Products
Search
Document Center

Cloud Firewall:Internet firewall

Last Updated:Jun 22, 2026

Internet firewall menyediakan kontrol detail halus terhadap traffic antara aset publik Anda dan Internet, mengurangi eksposur publik serta memitigasi risiko keamanan. Mengaktifkan internet firewall tidak memerlukan perubahan pada topologi jaringan Anda. Anda dapat melindungi sumber daya hanya dengan satu klik, dan perlindungan tersebut berlaku dalam hitungan detik. Fitur ini memungkinkan Anda menerapkan visualisasi lalu lintas, pencegahan serangan, kontrol akses, dan audit log untuk traffic ke dan dari Internet secara cepat.

Fitur

Cara kerja

Setelah Anda mengaktifkan internet firewall untuk aset publik, Cloud Firewall menyaring seluruh traffic inbound dan outbound. Firewall ini menggunakan analisis traffic Deep Packet Inspection (DPI), aturan sistem pencegahan intrusi (IPS), intelijen ancaman, pembenahan virtual, dan kebijakan kontrol akses untuk menentukan apakah traffic diizinkan atau diblokir, sehingga mengamankan koneksi antara aset publik Anda dan Internet.

Internet firewall melindungi traffic inbound dan outbound untuk aset seperti: ECS, EIP (termasuk EIP Layer 2), Server Load Balancer, Bastionhost, NAT Gateway, HaVip, dan EIP GA untuk IPv4 maupun IPv6.

Klik untuk melihat daftar lengkap jenis aset yang didukung

IPv4

IPv6

  • ALB EIP

  • Bastionhost outbound IP address

  • Bastionhost IP address

  • Bastionhost inbound IP address

  • EIP

  • ECS EIP

  • ECS public IP address

  • ENI EIP

  • GA EIP

    Catatan
    • Instans GA tempat IP akselerasi tersebut berada harus merupakan Standard Instance.

    • Tipe IP akselerasi harus berupa Elastic IP Address.

    • Wilayah akselerasi IP akselerasi tersebut tidak boleh merupakan Titik Kehadiran (POP) Alibaba Cloud.

      Untuk memeriksa apakah suatu wilayah akselerasi merupakan POP Alibaba Cloud, lihat ListAvailableBusiRegions.

  • HaVip

  • NAT EIP

  • NAT public IP address

  • NLB EIP

  • SLB EIP

  • SLB public IP address

  • AI gateway public IP address

  • API gateway public IP address

  • Simple Application Server public IP address

  • Wuying Workspace (Enterprise Edition) public IP address

  • ALB IPv6

  • ECS IPv6

  • ENI EIP IPv6

  • GA EIP IPv6

    Catatan
    • Instans GA tempat IP akselerasi tersebut berada harus merupakan Standard Instance.

    • Tipe IP akselerasi harus berupa Elastic IP Address.

    • Wilayah akselerasi IP akselerasi tersebut tidak boleh merupakan Titik Kehadiran (POP) Alibaba Cloud.

      Untuk memeriksa apakah suatu wilayah akselerasi merupakan POP Alibaba Cloud, lihat ListAvailableBusiRegions.

  • NLB IPv6

  • SLB IPv6

  • AI gateway public IPv6 address

  • API gateway public IPv6 address

Dampak terhadap layanan

Membuat, mengaktifkan, atau menonaktifkan internet firewall tidak mengubah topologi jaringan Anda atau mengganggu layanan Anda. Anda dapat melindungi atau berhenti melindungi sumber daya hanya dengan satu klik dalam hitungan detik. Kami merekomendasikan agar Anda mengaktifkan internet firewall pada jam sepi.

Spesifikasi perlindungan

Mulai 15 Oktober 2025, Cloud Firewall akan memperkenalkan Metode Penagihan 2.0. Pengguna baru akan menggunakan Metode Penagihan 2.0 secara default, sedangkan pengguna yang sudah ada akan tetap menggunakan Metode Penagihan 1.0. Spesifikasi perlindungan untuk internet firewall berbeda antara kedua metode penagihan tersebut.

Metode Penagihan 2.0

Spesifikasi

Deskripsi

Edisi langganan

Edisi pay-as-you-go

Jumlah instans firewall

Jumlah wilayah yang dapat Anda lindungi. Setiap wilayah yang dilindungi menggunakan satu instans firewall.

Tergantung pada jumlah instans dan bandwidth yang Anda beli. Untuk detail instans dan bandwidth yang disediakan oleh edisi berbeda, lihat Langganan 2.0. Jika kuota Anda tidak mencukupi, Anda dapat meningkatkan spesifikasi Anda. Untuk informasi lebih lanjut, lihat Periksa status perlindungan aset.

Ditagih berdasarkan jumlah aktual instans firewall dan total traffic yang diproses.

Bandwidth puncak maksimum yang didukung adalah 10 Gbps. Untuk spesifikasi yang lebih tinggi, hubungi manajer bisnis atau arsitek Anda. Untuk informasi penagihan detail, lihat Pay-as-you-go 2.0.

Kemampuan pemrosesan traffic publik

Total maksimum traffic Internet yang diproses oleh firewall. Penagihan didasarkan pada jumlah bandwidth traffic inbound dan outbound.

Metode Penagihan 1.0

Spesifikasi

Deskripsi

Edisi langganan

Edisi pay-as-you-go

Jumlah alamat IP publik yang dapat dilindungi

Jumlah alamat IP publik yang dapat Anda lindungi dengan internet firewall.

Tergantung pada jumlah alamat IP publik yang dapat dilindungi yang Anda beli dan puncak total traffic yang diproses. Jika kuota Anda tidak mencukupi, Anda dapat meningkatkan spesifikasi Anda.

Edisi Cloud Firewall yang berbeda memiliki batas kuota IP publik yang berbeda. Untuk detailnya, lihat Langganan 1.0.

Catatan

Jika traffic Anda melebihi kapasitas yang dibeli, Service Level Agreement (SLA) tidak dijamin. Hal ini dapat memicu penurunan layanan, seperti menonaktifkan fitur keamanan (ACL, IPS, dan audit log), mematikan firewall untuk aset dengan traffic tinggi, atau menerapkan pembatasan laju dan kehilangan paket.

Jika Anda memperkirakan bahwa traffic Anda mungkin melebihi batas, kami merekomendasikan penggunaan fitur traffic elastis pasca-bayar untuk instansi langganan. Untuk informasi lebih lanjut, lihat Pay-as-you-go untuk traffic elastis pada langganan.

Ditagih berdasarkan jumlah aktual alamat IP publik yang dilindungi dan puncak total traffic yang diproses. Tidak ada batas kuota. Untuk informasi penagihan detail, lihat Pay-as-you-go 1.0.

Kemampuan pemrosesan traffic publik

Total maksimum traffic Internet yang diproses. Anda ditagih berdasarkan bandwidth traffic inbound atau outbound yang lebih tinggi.

Status perlindungan aset

Cloud Firewall melacak jumlah instans firewall saat ini dan alamat IP publik yang belum dilindungi. Anda dapat melindungi aset publik Anda sesuai kebutuhan.

Catatan

Untuk keamanan maksimal, kami merekomendasikan agar Anda melindungi semua aset publik di Akun Alibaba Cloud Anda dengan internet firewall.

  1. Masuk ke Konsol Cloud Firewall.

  2. Di panel navigasi kiri, klik Firewall.

  3. Di tab Internet Firewall, lihat status perlindungan aset publik Anda.

    Bagian Firewall Overview di sebelah kiri menampilkan Total Instances dan Available Quotas. Bagian Internet Border di sebelah kanan menunjukkan jumlah instans internet firewall dan Alamat IP publik yang Dilindungi. Anda dapat mengklik Enable All untuk mengaktifkan perlindungan untuk semua aset, atau mengklik View Protection Details untuk melihat informasi perlindungan aset tertentu.

  4. (Opsional) Jika Available Quotas Anda tidak mencukupi, klik Upgrade untuk meningkatkan kapasitas Anda. Untuk informasi lebih lanjut, lihat Langganan 2.0.

Aktifkan Internet firewall

Perlindungan manual

Jika Automatic Protection for New Assets dinonaktifkan, Anda dapat melindungi aset publik Anda secara manual.

  1. Masuk ke Konsol Cloud Firewall.

  2. Di panel navigasi kiri, klik Firewall.

  3. Di tab Internet Firewall, klik tab IPv4 atau IPv6 untuk mengaktifkan perlindungan secara manual untuk aset publik.

    Jika aset yang diinginkan tidak ada dalam daftar, klik Synchronize Assets di pojok kanan atas daftar. Tindakan ini menyinkronkan informasi aset dari Akun Alibaba Cloud Anda dan akun anggotanya. Proses sinkronisasi mungkin memerlukan waktu 1 hingga 2 menit.

    • Aktifkan perlindungan untuk satu aset: Temukan aset dalam daftar dan klik Enable Protection di kolom Actions.

    • Aktifkan perlindungan untuk beberapa aset: Pilih kotak centang aset yang ingin Anda lindungi, lalu klik Enable Protection di bawah daftar.

Perlindungan otomatis

Setelah Anda mengaktifkan Automatic Protection for New Assets, Cloud Firewall secara otomatis melindungi setiap aset publik baru yang ditambahkan ke Akun Alibaba Cloud Anda atau akun anggotanya.

  1. Masuk ke Konsol Cloud Firewall.

  2. Di panel navigasi kiri, klik Firewall.

  3. Aktifkan fitur Automatic Protection for New Assets: Di tab Internet Firewall, aktifkan sakelar di samping Automatic Protection for New Assets.

  4. Pilih jenis aset untuk perlindungan otomatis: Klik Automatic Protection for New Assets. Di panel konfigurasi yang muncul, pilih jenis aset dan wilayah untuk perlindungan otomatis. Setelah dikonfigurasi, klik Save untuk menerapkan perubahan.

    Di tab Internet Firewall, opsi Automatic Protection for New Assets dan Synchronize Assets terletak di area kanan atas di atas daftar aset. Untuk menyinkronkan informasi aset terbaru secara manual, klik Synchronize Assets.

Langkah selanjutnya

Setelah membuat internet firewall, Anda dapat mengonfigurasi kebijakan kontrol akses, melihat log untuk aset publik, dan melakukan tindakan lainnya untuk mengelola traffic antara aset publik Anda dan Internet dengan lebih baik.

Konfigurasi kebijakan kontrol akses

Secara default, Cloud Firewall mengizinkan seluruh traffic jika tidak ada kebijakan kontrol akses yang dikonfigurasi. Anda dapat membuat kebijakan kontrol akses untuk internet firewall guna mengelola traffic antara aset publik Anda dan Internet dengan kontrol detail halus.

Di halaman Firewall > Internet Firewall, temukan internet firewall target dan klik Configure Policy di kolom Actions untuk mengonfigurasi kebijakan kontrol akses arah keluar atau arah masuk untuk aset publik. Untuk informasi lebih lanjut, lihat Konfigurasi kebijakan kontrol akses untuk Internet firewall.

Kueri log audit

Di halaman Detection & Response > Log Auditing, di tab Traffic Logs > Internet Boundary, atur kondisi filter untuk melihat log akses antara aset publik dan internet. Untuk informasi lebih lanjut, lihat Log Auditing.

Lihat analisis traffic

  • Di halaman Traffic Analysis > Outbound Connection, lihat data traffic untuk koneksi keluar dari aset bisnis Anda ke internet. Data tersebut mencakup sumber traffic keluar anomali, alamat internet tujuan yang diakses aset Anda, koneksi keluar dari aset publik, dan koneksi keluar dari aset privat. Informasi ini membantu Anda menyelidiki aset mencurigakan dan memastikan keamanan bisnis. Untuk informasi lebih lanjut, lihat Outbound Connection.

  • Di halaman Traffic Analysis > Internet Exposure, Anda dapat melihat bagaimana aset bisnis Anda diekspos ke internet. Halaman ini menampilkan data seperti sumber traffic masuk anomali, alamat IP publik yang terekspos, port terbuka, aplikasi yang terekspos, dan jumlah alamat IP publik untuk produk cloud Anda. Informasi ini membantu Anda menyelidiki aset mencurigakan dan memastikan keamanan bisnis Anda. Untuk informasi lebih lanjut, lihat Internet Exposure.

Lihat data perlindungan serangan

Di halaman Firewall > Internet firewall, di kolom Actions internet firewall target, klik View Attacks dan pilih untuk melihat data perlindungan serangan untuk traffic keluar atau masuk aset publik. Untuk informasi lebih lanjut, lihat Intrusion Prevention.

Melihat status pemrosesan trafik publik

Di panel navigasi kiri, klik Overview. Di halaman Overview, di bagian Asset Protection, Anda dapat melihat jumlah instans firewall, traffic yang dibeli, dan bandwidth puncak terbaru.

Operasi lainnya

Kebijakan grup keamanan default

Catatan

Internet firewall melindungi traffic ke dan dari Internet. Anda harus memastikan bahwa aset publik yang dilindungi dikonfigurasi untuk mengizinkan traffic Internet. Untuk informasi lebih lanjut, rujuk dokumentasi resmi untuk aset publik yang sesuai.

Saat melindungi aset ECS (termasuk alamat IP publik ECS dan EIP ECS), Anda dapat menerapkan Kebijakan izin default untuk traffic Internet hanya dengan satu klik di Konsol Cloud Firewall. Hal ini memungkinkan Anda mengelola aturan secara terpusat melalui Cloud Firewall tanpa mengubah konfigurasi grup keamanan di Konsol ECS.

Cara kerja

Cloud Firewall menambahkan empat aturan dengan prioritas terendah (100) ke grup keamanan yang terkait dengan aset ECS Anda. Aturan-aturan ini mengizinkan akses Internet untuk aset ECS.

Untuk aturan dengan prioritas yang sama, grup keamanan ECS mencocokkan aturan Deny terlebih dahulu. Oleh karena itu, jika Anda memiliki aturan Deny yang sudah ada dengan prioritas 100, kebijakan Allow yang diterapkan oleh Cloud Firewall tidak akan menggantikannya.

Catatan penggunaan

  • Kebijakan satu klik ini memengaruhi semua sumber daya dalam grup keamanan terkait. Sebelum menerapkannya, aktifkan perlindungan Cloud Firewall dan konfigurasikan kebijakan kontrol akses inbound yang tepat untuk semua sumber daya terkait. Jika tidak, Anda dapat mengekspos sumber daya Anda ke Internet.

    Kami menyarankan agar tidak menerapkan kebijakan ini pada sumber daya yang tidak dilindungi. Demikian pula, kami menyarankan agar tidak menonaktifkan perlindungan Cloud Firewall untuk sumber daya tempat kebijakan ini telah diterapkan.

  • Saat layanan Cloud Firewall Anda kedaluwarsa, empat kebijakan Allow yang ditambahkan oleh Cloud Firewall tetap aktif dalam grup keamanan. Jika Anda tidak lagi menggunakan layanan Cloud Firewall, kami merekomendasikan agar Anda menghapus keempat kebijakan Allow default ini secara manual. Untuk petunjuknya, lihat Hapus aturan grup keamanan.

Batasan

  • Fitur penerapan kebijakan Allow default untuk grup keamanan hanya mendukung aturan inbound untuk alamat IP publik ECS dan EIP ECS.

  • Penerapan kebijakan Allow default tidak didukung untuk grup keamanan enterprise.

Terapkan kebijakan Allow

  1. Masuk ke Konsol Cloud Firewall.

  2. Di panel navigasi kiri, klik Firewall.

  3. Di tab Internet Firewall, klik tab IPv4 atau IPv6.

  4. Di daftar aset publik, temukan aset ECS tempat Anda ingin menerapkan kebijakan default, lalu klik Apply di kolom Default Allow Policies.

  5. (Opsional) Jika aturan dalam grup keamanan saat ini bertentangan dengan aturan yang akan diterapkan, Anda harus menyesuaikan kebijakan terlebih dahulu.

    • Konflik yang dapat disesuaikan: Aturan dalam grup keamanan memiliki prioritas yang sama dengan aturan yang akan diterapkan, tetapi tipe protokol, range port, atau objek otorisasi berbeda.

      Di kotak dialog Default Allow Policies, klik Quick Modify untuk menyelesaikan konflik dengan meningkatkan prioritas aturan grup keamanan yang sudah ada.

    • Konflik yang tidak dapat disesuaikan: Aturan dalam grup keamanan memiliki prioritas, tipe protokol, range port, dan objek otorisasi yang sama dengan aturan yang akan diterapkan.

      Kami merekomendasikan agar Anda membuka halaman Security Group di Konsol ECS untuk melihat dan menyesuaikan prioritas aturan yang bertentangan. Untuk petunjuk detail, lihat Ubah aturan grup keamanan. Atau, Anda dapat mengajukan tiket untuk berkonsultasi dengan pakar teknis kami.

  6. Di kolom Actions untuk grup keamanan, klik Quick Apply. Tinjau empat kebijakan Allow yang akan diterapkan, lalu klik OK.

    Jika sebuah instance ECS menggunakan beberapa grup keamanan, Anda harus menerapkan kebijakan ke semuanya agar perubahan berlaku.

    Keempat kebijakan yang akan diterapkan memiliki prioritas 100, berlaku untuk antarmuka jaringan privat, dan menggunakan protokol ALL. Kebijakan tersebut terdiri dari tiga aturan Deny untuk alamat sumber 192.168.0.0/16, 172.16.0.0/12, dan 10.0.0.0/8, serta satu aturan Allow untuk alamat sumber 0.0.0.0/0.

Setelah Anda mengonfigurasi aturan izin grup keamanan, Anda dapat melihat status penerapan kebijakan izin grup keamanan default di halaman Firewall > Internet Firewall untuk menentukan apakah kebijakan berhasil diterapkan dan segera memecahkan masalah jika terjadi kegagalan penerapan.

Status penerapan yang mungkin terjadi:

  • Applied: Kebijakan Allow default telah diterapkan ke semua grup keamanan yang terkait dengan aset ECS.

  • Not Applied: Kebijakan Allow default belum diterapkan ke satu atau beberapa grup keamanan terkait, atau terdapat konflik konfigurasi.

  • -: Penerapan satu klik kebijakan Allow default tidak didukung untuk jenis aset ini.

Daftar aset publik

Anda dapat mengunduh daftar aset publik sebagai file CSV.

  1. Masuk ke Konsol Cloud Firewall.

  2. Di panel navigasi kiri, klik Firewall.

  3. Di tab Internet Firewall, klik tab IPv4 atau IPv6.

  4. Di pojok kanan atas daftar aset publik, klik ikon image.png.

  5. Di pojok kanan atas tab Internet Firewall, klik Download Task Management untuk memeriksa progres pengunduhan. Setelah tugas selesai, klik Download di kolom Actions.

Perlindungan internet firewall

Peringatan

Menonaktifkan perlindungan internet firewall menghentikan Cloud Firewall dari mengelola traffic aset, yang dapat mengeksposnya terhadap risiko seperti serangan jahat dan kebocoran data. Lakukan dengan hati-hati.

  1. Masuk ke Konsol Cloud Firewall.

  2. Di panel navigasi kiri, klik Firewall.

  3. Di tab Internet Firewall, klik tab IPv4 atau IPv6. Di daftar aset publik, temukan aset yang ingin Anda hapus perlindungannya dan klik Disable Protection di kolom Actions.