Anda dapat menambahkan beberapa alamat IP (IPv4 dan IPv6), port, atau nama domain ke dalam buku alamat. Buku alamat ini dapat direferensikan saat membuat kebijakan kontrol akses untuk mengontrol lalu lintas jaringan dari kelompok tertentu. Penggunaan buku alamat membantu menyederhanakan konfigurasi kebijakan kontrol akses. Pembaruan pada buku alamat akan otomatis disinkronkan ke kebijakan terkait, meningkatkan efisiensi manajemen dan kecepatan respons penyesuaian kebijakan.
Jenis-jenis buku alamat
Cloud Firewall mendukung pembuatan buku alamat kustom serta menyediakan buku alamat pintar yang direkomendasikan. Anda dapat membuat buku alamat kustom sesuai kebutuhan untuk memenuhi persyaratan keamanan beban kerja.
Jenis buku alamat | Deskripsi |
Buku alamat kustom | Buku alamat kustom merujuk pada buku alamat yang Anda buat. Anda dapat membuat buku alamat IPv4 kustom, buku alamat IPv6, buku alamat port, buku alamat domain, dan buku alamat Container Service for Kubernetes (ACK). Anda dapat membuat hingga 5.000 buku alamat kustom. Jumlah maksimum alamat yang dapat ditambahkan ke buku alamat bergantung pada jenis buku alamat. IPv4 Address Book: Anda dapat menambahkan hingga 2.000 alamat IPv4 atau 500 tag Instance ECS (Elastic Compute Service) ke setiap buku alamat. IPv6 Address Book: Anda dapat menambahkan hingga 2.000 alamat IPv6 ke setiap buku alamat. Port Address Book: Anda dapat menambahkan hingga 50 port ke setiap buku alamat. Domain Address Book: Anda dapat menambahkan hingga 2.000 nama domain ke setiap buku alamat. ACK address book: Anda dapat menambahkan hingga 10 namespace atau label ke setiap buku alamat.
Catatan Sebuah item dapat ditambahkan ke beberapa buku alamat. Sebagai contoh, sebuah alamat IPv4 dapat ditambahkan ke dua buku alamat yang berbeda. |
Buku alamat pintar yang direkomendasikan | Buku alamat pintar yang direkomendasikan merujuk pada buku alamat bawaan, termasuk buku alamat layanan cloud dan buku alamat intelijen ancaman. Anda dapat langsung mereferensikan buku alamat pintar yang direkomendasikan saat mengonfigurasi kebijakan kontrol akses. Anda tidak dapat memodifikasi atau menghapus buku alamat pintar yang direkomendasikan.
Catatan Buku alamat pintar yang direkomendasikan diperbarui secara otomatis secara berkala, dan pembaruannya secara otomatis disinkronkan ke kebijakan kontrol akses terkait. Waktu pembaruan otomatis bervariasi berdasarkan jenis buku alamat. Waktu pembaruan otomatis buku alamat layanan cloud berkisar antara 10 hingga 100 menit, dan waktu pembaruan otomatis buku alamat intelijen ancaman adalah 1 hari. Cloud Service Address Book berisi alamat balik asal layanan Alibaba Cloud, seperti alamat IP server pemindai kerentanan Security Center, alamat IP publik semua instance ECS di akun Anda, alamat balik asal instance Anti-DDoS, alamat balik asal instance Web Application Firewall (WAF), dan alamat balik asal Edge Security Acceleration (ESA) point of presences (POPs). Jika buku alamat layanan cloud dinonaktifkan, operasi normal layanan terkait mungkin terpengaruh. Kami menyarankan Anda mengizinkan lalu lintas alamat IP dan nama domain di semua buku alamat layanan cloud. Daftar Threat Intelligence Address Book berisi buku alamat alamat IP atau nama domain berbahaya yang terdeteksi oleh Alibaba Cloud dan buku alamat situs web umum. Pada sebagian besar kasus, buku alamat alamat IP atau nama domain berbahaya diperoleh dan terus diperbarui oleh peneliti keamanan dan sistem otomatis berdasarkan analisis serangan siber dan aktivitas malware. Jika lalu lintas alamat IP atau nama domain dalam buku alamat berbahaya ditolak, komunikasi dengan sumber berbahaya yang diketahui dapat dicegat dan keamanan sistem Anda dapat ditingkatkan. Kami menyarankan Anda menolak lalu lintas alamat IP atau nama domain di semua buku alamat berbahaya. Buku alamat situs web umum berisi situs web yang sering diakses, seperti situs web dokumen online umum, situs jejaring sosial, dan situs penyimpanan awan. Administrator perusahaan dapat mengonfigurasi kebijakan kontrol akses untuk mengizinkan atau menolak akses ke situs web umum ini. Buku alamat situs web umum dapat digunakan dalam skenario di mana perusahaan ingin mengelola aktivitas jaringan karyawan. Hal ini membantu memastikan bahwa lebar pita jaringan diprioritaskan untuk aktivitas bisnis yang penting dan membatasi akses ke situs web tertentu yang tidak sesuai dengan persyaratan kepatuhan dan keamanan.
|
Membuat buku alamat kustom
Masuk ke Konsol Cloud Firewall.
Di bilah navigasi sebelah kiri, pilih
Di halaman Address Books, klik tab Custom Address Book, lalu pilih tab sesuai dengan jenis buku alamat yang ingin dibuat.
Klik tab IPv4 Address Book, IPv6 Address Book, Port Address Book, Domain Address Book, atau ACK address book. Selanjutnya, klik Create Address Book dan konfigurasikan parameter yang diperlukan.
Buat Buku Alamat IPv4
Anda dapat membuat buku alamat IPv4 berdasarkan alamat IP atau tag ECS.
Alamat IP: Masukkan alamat IPv4.
Tag ECS: Jika Anda ingin menambahkan alamat IP publik dari beberapa instance ECS ke buku alamat, dan telah menambahkan tag ke instance tersebut, Anda dapat memilih tag ECS untuk menambahkan alamat IP publik secara cepat.
Catatan Cloud Firewall secara otomatis memperbarui buku alamat berdasarkan tag ECS setiap 100 menit. Pembaruan ini akan otomatis disinkronkan ke kebijakan kontrol akses yang mereferensikan buku alamat tersebut.
Jenis Buku Alamat | Parameter | Deskripsi |
Address Book Name | Masukkan nama informatif untuk buku alamat untuk membantu Anda mengidentifikasi buku alamat tersebut. |
IP Address | Masukkan satu atau lebih blok CIDR IPv4. Contoh: 100.100.XX.XX/32. Pisahkan beberapa blok CIDR dengan koma (,). |
Description | Masukkan deskripsi untuk buku alamat dan skenario di mana Anda ingin menggunakan buku alamat tersebut. |
ECS Tag | Address Book Name | Masukkan nama informatif untuk buku alamat untuk membantu Anda mengidentifikasi buku alamat tersebut. |
ECS Tag Update | Tentukan apakah akan menambahkan alamat IP publik instance ECS ke buku alamat secara otomatis jika instance ECS cocok dengan tag yang ditentukan. Secara default, sakelar ini diaktifkan. Sakelar ini tidak dapat dimatikan. |
ECS Tag | Pilih tag ECS dan nilai-nilai tag tersebut. Jika tag yang berbeda ditambahkan ke instance ECS yang diperlukan, Anda dapat mengklik Add ECS Tag untuk menambahkan beberapa alamat IP publik instance ECS dengan tag yang berbeda. Untuk informasi lebih lanjut tentang tag ECS, lihat Ubah tag suatu instance. |
Description | Masukkan deskripsi untuk buku alamat dan skenario di mana Anda ingin menggunakan buku alamat tersebut. |
Buat Buku Alamat IPv6
Parameter | Deskripsi |
Address Book Name | Masukkan nama informatif untuk buku alamat untuk membantu Anda mengidentifikasi buku alamat tersebut. |
IP Address | Masukkan satu atau lebih blok CIDR IPv6. Contoh: 2001:3caf:10f:****:****/56. Pisahkan beberapa blok CIDR dengan koma (,). |
Description | Masukkan deskripsi untuk buku alamat dan skenario di mana Anda ingin menggunakan buku alamat tersebut. |
Buat Buku Alamat Port
Parameter | Deskripsi |
Address Book Name | Masukkan nama informatif untuk buku alamat untuk membantu Anda mengidentifikasi buku alamat tersebut. |
Port | Masukkan satu atau lebih rentang port. Nilai valid: 0 hingga 65535. Pisahkan beberapa rentang port dengan koma (,). Rentang port harus dalam format Port Awal/Port Akhir. Misalnya, nilai 22/25 menunjukkan port 22, 23, 24, dan 25, serta nilai 80/80 menunjukkan port 80. Nilai 0/0 menunjukkan semua port.
|
Description | Masukkan deskripsi untuk buku alamat dan skenario di mana Anda ingin menggunakan buku alamat tersebut. |
Buat Buku Alamat Domain
Parameter | Deskripsi |
Address Book Name | Masukkan nama informatif untuk buku alamat untuk membantu Anda mengidentifikasi buku alamat tersebut. |
Description | Masukkan deskripsi untuk buku alamat dan skenario di mana Anda ingin menggunakan buku alamat tersebut. |
Domain Name | Masukkan satu atau lebih nama domain. Anda dapat memasukkan nama domain wildcard. Pisahkan beberapa nama domain dengan koma (,).
Catatan Jika Anda menyetel Destination Type dari kebijakan kontrol akses ke Nama Domain, tipe aplikasi hanya mendukung HTTP, HTTPS, SSL, SMTP, dan SMTPS. Jika Anda mereferensikan buku alamat nama domain wildcard saat membuat kebijakan kontrol akses untuk firewall NAT, Anda hanya dapat menyetel Mode Identifikasi Nama Domain menjadi FQDN-based Resolution (Extract Host or SNI Field in Packets).
|
Buat Buku Alamat ACK
Penting Sebelum membuat buku alamat ACK, Anda harus membuat ACK cluster synchronization node dan memperoleh ID atau nama node tersebut.
Buku alamat ACK disediakan berdasarkan Kluster ACK dan node sinkronisasi. Setelah membuat buku alamat ACK, Anda tidak dapat mengubah nilai Instance ID/name of the ACK cluster synchronization node atau ACK address book type. Untuk memodifikasi buku alamat ACK, Anda harus menghapus yang ada dan membuat yang baru.
Parameter | Deskripsi |
Address Book Name | Masukkan nama informatif untuk buku alamat untuk membantu Anda mengidentifikasi buku alamat tersebut. |
Description | Masukkan deskripsi untuk buku alamat dan skenario di mana Anda ingin menggunakan buku alamat tersebut. |
Instance ID/name of the ACK cluster synchronization node | Masukkan ID atau nama node sinkronisasi kluster ACK yang ingin Anda gunakan. Node sinkronisasi kluster ACK secara berkala dan otomatis menyinkronkan alamat IP terbaru dari pod terkait ke buku alamat ACK. |
ACK address book type | ACK cluster namespace: Jika Anda memilih opsi ini, alamat IP semua pod dalam namespace yang ditentukan disinkronkan ke buku alamat ACK. ACK Cluster Pod Tag: Jika Anda memilih opsi ini, alamat IP semua pod dengan tag yang ditentukan disinkronkan ke buku alamat ACK.
|
Content | Masukkan nilai berdasarkan nilai yang Anda pilih untuk ACK address book type. Jika Anda memilih ACK cluster namespace untuk ACK address book type, Anda dapat menentukan namespace.
Catatan Sistem tidak memverifikasi namespace yang ditentukan. Jika namespace yang ditentukan tidak valid, alamat IP terkait tidak akan ditampilkan. Sebuah namespace dapat memiliki panjang hingga 63 karakter. Namespace harus dimulai dengan huruf atau angka dan diakhiri dengan tanda hubung (-), garis bawah (_), titik (.), huruf, atau angka.
Jika Anda memilih ACK Cluster Pod Tag untuk ACK address book type, Anda dapat menentukan beberapa pasangan kunci dan nilai.
|
Klik OK.
Setelah dibuat, Anda dapat melihat, memodifikasi, atau menghapus buku alamat dari daftar.
Penting Anda tidak dapat memodifikasi Address Book Type atau node sinkronisasi kluster ACK tertentu dalam buku alamat, maupun menghapus buku alamat kustom yang sedang direferensikan oleh kebijakan kontrol akses.
Lihat buku alamat pintar yang direkomendasikan
Anda dapat melihat buku alamat pintar yang direkomendasikan, namun tidak dapat membuat atau mengeditnya.
Masuk ke Konsol Cloud Firewall.
Di bilah navigasi sebelah kiri, pilih
Klik tab Recommended Intelligent Address Book untuk melihat daftar buku alamat pintar yang direkomendasikan.
Klik View di kolom Tindakan untuk melihat detail buku alamat tersebut.