全部产品
Search

搜索本产品

    Cloud Firewall:Firewall internet

    文档中心

    Cloud Firewall:Firewall internet

    更新时间:Jan 30, 2026

    Gunakan firewall internet untuk mengontrol secara detail lalu lintas antara aset publik Anda dan Internet. Fitur ini mengurangi eksposur Internet dari aset publik Anda serta menurunkan risiko keamanan terhadap lalu lintas layanan Anda. Saat Anda mengaktifkan firewall internet, topologi jaringan saat ini tidak perlu diubah. Perlindungan dapat diterapkan hanya dalam beberapa detik melalui satu klik, memungkinkan Anda segera menggunakan fitur seperti analitik visual, pencegahan serangan, kontrol akses, dan audit log untuk lalu lintas Internet masuk dan keluar.

    Fitur

    Cara kerja

    Setelah Anda mengaktifkan firewall internet untuk aset publik Anda, Cloud Firewall menyaring lalu lintas masuk dan keluar menggunakan teknologi seperti analisis traffic deep packet inspection (DPI), aturan sistem pencegahan intrusi (IPS), intelijen ancaman, pembenahan virtual, dan kebijakan kontrol akses. Proses ini menentukan apakah lalu lintas diizinkan, secara efektif memblokir akses berbahaya, serta memastikan keamanan lalu lintas antara aset publik Anda dan Internet.

    Aset publik yang dilindungi (masuk dan keluar): Aset seperti ECS, EIP (termasuk L2 EIP), load balancing, Bastionhost, NAT Gateway, HaVip, dan GA EIP, yang mendukung IPv4 maupun IPv6.

    Klik untuk melihat jenis aset terperinci yang dapat dilindungi

    IPv4

    IPv6

    • ALB EIP

    • Bastionhost outbound IP address

    • Bastionhost IP address

    • Bastionhost inbound IP address

    • EIP

    • ECS EIP

    • ECS public IP address

    • ENI EIP

    • GA EIP

      Catatan

      • Instans GA tempat alamat IP yang dipercepat berada harus berupa Standard instance.

      • Alamat IP yang dipercepat harus berupa elastic IP address (EIP).

      • Wilayah akselerasi dari alamat IP yang dipercepat tidak boleh merupakan titik kehadiran (POP) Alibaba Cloud.

        Untuk memeriksa apakah wilayah akselerasi merupakan POP Alibaba Cloud, lihat ListAvailableBusiRegions.

    • HAVIP

    • NAT EIP

    • NAT public IP address

    • NLB EIP

    • SLB EIP

    • SLB public IP address

    • ALB IPv6

    • ECS IPv6

    • ENI EIP IPv6

    • GA EIP IPv6

      Catatan

      • Instans GA tempat alamat IP yang dipercepat berada harus berupa Standard instance.

      • Alamat IP yang dipercepat harus berupa elastic IP address (EIP).

      • Wilayah akselerasi dari alamat IP yang dipercepat tidak boleh merupakan titik kehadiran (POP) Alibaba Cloud.

        Untuk memeriksa apakah wilayah akselerasi merupakan POP Alibaba Cloud, lihat ListAvailableBusiRegions.

    • NLB IPv6

    • SLB IPv6

    Gambar berikut menunjukkan contoh skenario perlindungan firewall internet.

    image

    Dampak terhadap layanan

    Pembuatan, pengaktifan, atau penonaktifan firewall internet tidak memerlukan perubahan pada topologi jaringan Anda. Anda dapat mengaktifkan atau menonaktifkan perlindungan untuk sumber daya dengan satu klik dalam hitungan detik tanpa memengaruhi layanan Anda. Kami merekomendasikan agar Anda mengaktifkan firewall internet selama jam sepi.

    Spesifikasi perlindungan

    Mulai 15 Oktober 2025, Cloud Firewall akan merilis Metode Penagihan 2.0. Pengguna baru menggunakan Metode Penagihan 2.0 secara default. Pengguna yang sudah ada tetap menggunakan Metode Penagihan 1.0. Spesifikasi perlindungan untuk firewall internet berbeda antara kedua metode penagihan tersebut.

    Metode Penagihan 2.0

    Spesifikasi perlindungan

    Deskripsi

    Langganan Cloud Firewall (Edisi Premium, Enterprise, dan Ultimate)

    Cloud Firewall Pay-As-You-Go

    Jumlah instans firewall

    Jumlah wilayah yang dapat dilindungi. Setiap wilayah yang dilindungi sesuai dengan satu instans firewall internet.

    Tergantung pada jumlah instans dan bandwidth yang dibeli. Untuk informasi tentang jumlah instans dan bandwidth yang disediakan oleh edisi berbeda, lihat Subscription 2.0. Jika kuota tidak mencukupi, Anda dapat melakukan upgrade spesifikasi. Untuk informasi lebih lanjut, lihat Lihat status perlindungan aset.

    Anda dikenai biaya berdasarkan jumlah aktual instans firewall dan total traffic yang diproses.

    Bandwidth puncak maksimum yang didukung adalah 10 Gbps. Untuk meminta spesifikasi yang lebih tinggi, hubungi account manager atau arsitek Anda. Untuk informasi lebih lanjut tentang penagihan, lihat Pay-as-you-go 2.0.

    Lalu Lintas Internet yang Dilindungi

    Puncak total lalu lintas Internet yang diproses oleh firewall. Penagihan didasarkan pada jumlah bandwidth lalu lintas Internet masuk dan keluar.

    Metode Penagihan 1.0

    Spesifikasi perlindungan

    Deskripsi

    Langganan Cloud Firewall (Edisi Premium, Enterprise, dan Ultimate)

    Cloud Firewall Pay-As-You-Go

    Jumlah alamat IP publik yang dapat dilindungi

    Jumlah alamat IP publik yang dapat diaktifkan firewall internet-nya.

    Tergantung pada jumlah alamat IP publik yang dapat dilindungi yang Anda beli dan puncak total traffic yang dapat diproses. Jika kuota tidak mencukupi, Anda dapat melakukan upgrade spesifikasi.

    Edisi Cloud Firewall yang berbeda memiliki batas kuota alamat IP publik yang berbeda. Untuk informasi lebih lanjut, lihat Subscription 1.0.

    Catatan

    Jika lalu lintas layanan Anda melebihi kapasitas pemrosesan Cloud Firewall yang dibeli, Service-Level Agreement (SLA) tidak dijamin. Hal ini dapat memicu aturan downgrade, seperti menonaktifkan fitur keamanan (access control list (ACL), IPS, audit log), mematikan firewall untuk aset dengan traffic berlebihan, atau pembatasan laju dan kehilangan paket.

    Jika lalu lintas layanan Anda berisiko melebihi batas, lihat Pay-as-You-Go for Elastic Traffic on Subscription.

    Anda dikenai biaya berdasarkan jumlah aktual alamat IP publik yang dilindungi dan puncak total traffic yang diproses. Tidak ada batas kuota. Untuk informasi lebih lanjut tentang penagihan, lihat Pay-as-you-go 1.0.

    Lalu Lintas Internet yang Dilindungi

    Puncak total lalu lintas Internet yang diproses. Penagihan didasarkan pada nilai yang lebih tinggi antara bandwidth lalu lintas Internet masuk dan keluar.

    Lihat status perlindungan aset

    Cloud Firewall mengumpulkan statistik mengenai jumlah instans firewall internet saat ini dan alamat IP publik yang belum dilindungi. Anda dapat mengaktifkan perlindungan untuk aset publik sesuai kebutuhan.

    Catatan

    Untuk memastikan keamanan lalu lintas layanan Anda, aktifkan perlindungan firewall internet untuk semua aset publik di bawah Akun Alibaba Cloud Anda.

    1. Masuk ke Konsol Cloud Firewall.

    2. Di panel navigasi sebelah kiri, klik Firewall Settings.

    3. Di tab Internet Firewall, lihat status perlindungan aset publik di bawah Akun Alibaba Cloud Anda.

      image..png

    4. (Opsional) Jika Available Quotas tidak mencukupi, klik Upgrade untuk meningkatkan spesifikasi. Untuk informasi lebih lanjut, lihat Subscription 2.0.

    Aktifkan firewall

    Aktifkan perlindungan untuk aset secara manual

    Jika Anda belum mengaktifkan fitur Automatic Protection for New Assets, Anda dapat mengaktifkan perlindungan Batas Internet secara manual untuk aset publik.

    1. Masuk ke Konsol Cloud Firewall.

    2. Di panel navigasi sebelah kiri, klik Firewall Settings.

    3. Di tab Internet Firewall, klik tab IPv4 atau IPv6 untuk mengaktifkan perlindungan secara manual untuk aset publik.

      Jika aset yang ingin Anda lindungi tidak ada dalam daftar aset publik, klik Synchronize Assets di pojok kanan atas daftar. Hal ini akan menyinkronkan informasi aset dari Akun Alibaba Cloud Anda dan akun anggotanya. Proses sinkronisasi memerlukan waktu 1 hingga 2 menit.

      • Aktifkan perlindungan untuk satu aset: Di daftar aset publik, temukan aset publik yang ingin Anda lindungi. Di kolom Actions, klik Enable Protection.

      • Aktifkan perlindungan untuk beberapa aset sekaligus: Di daftar aset publik, pilih aset publik yang ingin Anda lindungi. Di bawah daftar, klik Enable Protection.

    Aktifkan perlindungan otomatis untuk aset baru

    Setelah Anda mengaktifkan fitur Automatic Protection for New Assets, jika aset publik baru ditambahkan ke Akun Alibaba Cloud saat ini atau akun anggotanya, Cloud Firewall secara otomatis mengaktifkan perlindungan Batas Internet untuk aset baru tersebut.

    1. Masuk ke Konsol Cloud Firewall.

    2. Di panel navigasi sebelah kiri, klik Firewall Settings.

    3. Aktifkan fitur Automatic Protection for New Assets: Di tab Internet Firewall, nyalakan sakelar di sebelah Automatic Protection for New Assets.

    4. Pilih jenis aset baru yang akan dilindungi secara otomatis: Klik Automatic Protection for New Assets. Di panel konfigurasi yang muncul, pilih aset baru yang akan dilindungi berdasarkan jenis aset dan wilayah. Setelah menyelesaikan konfigurasi, klik Save.

      image

    Langkah selanjutnya

    Setelah membuat firewall internet, Anda dapat mengonfigurasi kebijakan kontrol akses dan melihat log akses untuk aset publik guna mengelola lalu lintas antara aset publik Anda dan Internet dengan lebih baik.

    Konfigurasi kebijakan kontrol akses

    Jika Anda tidak mengonfigurasi kebijakan kontrol akses apa pun, Cloud Firewall secara default mengizinkan semua lalu lintas. Anda dapat membuat kebijakan kontrol akses firewall internet untuk mengontrol secara detail lalu lintas antara aset publik Anda dan Internet.

    Di halaman Firewall Settings > Internet Firewall, temukan firewall internet target. Di kolom Actions, klik Configure Policy dan pilih apakah akan mengonfigurasi kebijakan kontrol akses arah keluar atau arah masuk untuk aset publik tersebut. Untuk informasi lebih lanjut, lihat Konfigurasi kebijakan kontrol akses untuk firewall internet.

    Kueri log audit

    Di tab Traffic Logs > Internet Border halaman Log Monitoring > Log Auditing, Anda dapat mengatur kondisi filter untuk melihat log akses lalu lintas antara aset publik dan Internet. Untuk informasi lebih lanjut, lihat Log auditing.

    Lihat analisis traffic

    • Di halaman Traffic Analysis > Outbound Connections, Anda dapat melihat data lalu lintas untuk aset yang secara aktif mengakses Internet. Ini mencakup data pelacakan lalu lintas tidak biasa arah keluar, tujuan Internet yang diakses oleh aset, koneksi keluar dari aset publik, dan koneksi keluar dari aset jaringan pribadi. Hal ini membantu Anda mengidentifikasi aset mencurigakan dan mengamankan layanan Anda. Untuk informasi lebih lanjut, lihat Outbound connections.

    • Di halaman Traffic Analysis > Internet Exposure, Anda dapat melihat data tentang akses Internet ke aset layanan Anda. Ini mencakup data pelacakan lalu lintas tidak biasa arah masuk, alamat IP publik terbuka, port terbuka, aplikasi terbuka, dan jumlah alamat IP publik untuk produk cloud. Hal ini membantu Anda mengidentifikasi aset mencurigakan dan mengamankan layanan Anda. Untuk informasi lebih lanjut, lihat Internet Exposure.

    Lihat data pencegahan serangan

    Di halaman Firewall Settings > Internet Firewall, temukan firewall internet target. Di kolom Actions, klik View Attacks dan pilih untuk melihat data pencegahan serangan arah keluar atau arah masuk untuk aset publik tersebut. Untuk informasi lebih lanjut, lihat Intrusion prevention.

    Lihat status pemrosesan lalu lintas Internet

    Di panel navigasi sebelah kiri, klik Overview. Kemudian, di bagian Asset Protection halaman Overview, Anda dapat melihat jumlah instans firewall, lalu lintas yang dibeli, dan bandwidth puncak terbaru.

    image

    Operasi lainnya

    Terapkan kebijakan izin default untuk grup keamanan

    Catatan

    Firewall internet melindungi lalu lintas ke dan dari Internet. Oleh karena itu, Anda harus memastikan bahwa aset publik yang dilindungi dikonfigurasi untuk mengizinkan lalu lintas Internet. Untuk informasi lebih lanjut, lihat dokumentasi resmi untuk aset publik yang sesuai.

    Saat Anda melindungi aset ECS, termasuk alamat IP publik ECS dan EIP ECS, Anda dapat menerapkan kebijakan izin default untuk lalu lintas Internet dengan satu klik di Konsol Cloud Firewall. Hal ini memungkinkan Anda mengelola aturan secara terpusat tanpa harus membuka Konsol ECS untuk mengubah konfigurasi grup keamanan.

    Cara kerja

    Cloud Firewall menerapkan empat aturan dengan prioritas terendah (prioritas 100) ke grup keamanan yang terkait dengan aset ECS Anda. Aturan-aturan ini mengizinkan akses Internet untuk aset ECS tersebut.

    Untuk aturan dengan prioritas yang sama, grup keamanan ECS mencocokkan aturan Deny terlebih dahulu. Oleh karena itu, jika Anda memiliki aturan Deny dengan prioritas 100, kebijakan Allow yang diterapkan oleh Cloud Firewall tidak akan menggantikan aturan Deny yang sudah ada.

    Catatan

    • Kebijakan izin default satu klik untuk grup keamanan memengaruhi semua sumber daya yang terkait dengan grup keamanan tersebut. Sebelum menerapkan kebijakan, aktifkan perlindungan Cloud Firewall untuk semua sumber daya terkait dan konfigurasikan dengan benar kebijakan kontrol akses arah masuk untuk firewall internet. Jika tidak, Anda berisiko terkena eksposur Internet.

      Jangan menerapkan kebijakan izin default untuk sumber daya yang tidak memiliki Cloud Firewall yang diaktifkan. Untuk sumber daya yang sudah memiliki kebijakan Allow, jangan nonaktifkan perlindungan Cloud Firewall.

    • Setelah layanan Cloud Firewall Anda kedaluwarsa, empat kebijakan Allow yang ditambahkan secara otomatis oleh Cloud Firewall tetap berada di grup keamanan dan masih berlaku. Jika Anda tidak lagi menggunakan layanan Cloud Firewall, Anda harus menghapus secara manual empat kebijakan izin default yang diterapkan oleh Cloud Firewall. Untuk informasi lebih lanjut, lihat hapus aturan grup keamanan.

    Batasan

    • Fitur penerapan kebijakan izin default untuk grup keamanan hanya mendukung aturan arah masuk untuk alamat IP publik ECS dan EIP ECS.

    • Anda tidak dapat menerapkan kebijakan izin default untuk grup keamanan enterprise.

    Terapkan kebijakan Allow

    1. Masuk ke Konsol Cloud Firewall.

    2. Di panel navigasi sebelah kiri, klik Firewall Settings.

    3. Di tab Internet Firewall, klik tab IPv4 atau IPv6.

    4. Di daftar aset publik, temukan aset ECS yang ingin Anda terapkan kebijakan default-nya. Di kolom Default Allow Policies, klik Apply.

    5. (Opsional) Jika ada aturan di grup keamanan saat ini yang bertentangan dengan aturan yang akan diterapkan, sesuaikan kebijakan terlebih dahulu.

      • Konflik kebijakan yang dapat disesuaikan: Aturan di grup keamanan memiliki prioritas yang sama dengan aturan yang akan diterapkan, tetapi memiliki jenis protokol, range port, atau objek otorisasi yang berbeda.

        Di kotak dialog Default Allow Policies, klik Quick Modify untuk menyelesaikan konflik dengan meningkatkan prioritas aturan asli di grup keamanan.

      • Konflik kebijakan yang tidak dapat disesuaikan: Aturan di grup keamanan memiliki prioritas, jenis protokol, range port, dan objek otorisasi yang sama dengan aturan yang akan diterapkan.

        Kami menyarankan Anda membuka halaman Security Group di Konsol ECS untuk melihat dan menyesuaikan prioritas aturan yang bertentangan. Untuk informasi lebih lanjut, lihat Modify security group rules. Atau, Anda dapat mengajukan ticket untuk berkonsultasi dengan ahli teknis produk.

    6. Di kolom Actions untuk grup keamanan, klik Quick Apply. Lihat empat kebijakan Allow yang akan diterapkan, lalu klik OK.

      Jika sebuah instans ECS terkait dengan beberapa grup keamanan, Anda harus menerapkan kebijakan Allow untuk semua grup keamanan terkait agar kebijakan izin default instans ECS tersebut berlaku.

      image.png

    Setelah grup keamanan dikonfigurasi, Anda dapat melihat status kebijakan izin default di halaman Firewall Settings > Internet Firewall. Hal ini membantu Anda memastikan apakah kebijakan berhasil diterapkan dan segera memecahkan masalah apa pun.

    Status penerapan kebijakan grup keamanan meliputi:

    • Applied: Kebijakan izin default telah diterapkan ke semua grup keamanan yang terkait dengan aset ECS.

    • Not Applied: Kebijakan izin default belum diterapkan ke beberapa atau semua grup keamanan yang terkait dengan aset ECS, atau terdapat konflik konfigurasi.

    • -: Penerapan satu klik kebijakan izin default tidak didukung untuk jenis aset ini.

    Unduh daftar aset publik

    Anda dapat mengunduh informasi aset dari daftar aset publik ke komputer Anda sebagai file CSV.

    1. Masuk ke Konsol Cloud Firewall.

    2. Di panel navigasi sebelah kiri, klik Firewall Settings.

    3. Di tab Internet Firewall, klik tab IPv4 atau IPv6.

    4. Di pojok kanan atas daftar aset publik, klik ikon image.png.

    5. Di pojok kanan atas tab Internet Firewall, klik Download Task Management untuk melihat progres pengunduhan. Setelah tugas selesai, klik Download di kolom Actions.

    Nonaktifkan perlindungan firewall internet

    Peringatan

    Jika Anda menonaktifkan perlindungan firewall internet untuk aset publik, Cloud Firewall tidak lagi dapat mengelola lalu lintas aset tersebut. Hal ini dapat mengekspos aset terhadap risiko seperti serangan berbahaya dan kebocoran data. Lakukan dengan hati-hati.

    1. Masuk ke Konsol Cloud Firewall.

    2. Di panel navigasi sebelah kiri, klik Firewall Settings.

    3. Di tab Internet Firewall, klik tab IPv4 atau IPv6. Di daftar aset publik, temukan aset publik yang ingin Anda nonaktifkan perlindungannya. Di kolom Actions, klik Disable Protection.