Kelola lalu lintas keluar dari sumber daya dalam VPC ke Internet - Cloud Firewall

Untuk mengelola lalu lintas keluar dari sumber daya seperti instance Elastic Compute Service (ECS) atau instance kontainer elastis dalam virtual private cloud (VPC) ke Internet melalui gateway NAT, Anda dapat mengaktifkan firewall NAT dan mengonfigurasi kebijakan kontrol akses guna melakukan manajemen terperinci terhadap lalu lintas dari aset internal ke Internet.

Ketika aset internal dalam VPC mengakses Internet langsung melalui gateway NAT, risiko seperti akses tidak sah, kebocoran data, dan serangan lalu lintas mungkin terjadi. Dengan membuat firewall NAT, Anda dapat membatasi lalu lintas hanya pada yang diperlukan dengan menentukan alamat sumber, alamat tujuan, port, protokol, dan aplikasi. Hal ini secara efektif membatasi akses tidak sah dari aset internal ke Internet.

Setelah mengaktifkan firewall NAT untuk gateway NAT, semua lalu lintas keluar dari aset internal dalam VPC ke gateway NAT akan dikelola oleh firewall NAT. Sumber daya ini mencakup sumber daya di VPC yang sama maupun lintas VPC.

Prasyarat

Firewall NAT telah dibuat dan diaktifkan. Untuk informasi lebih lanjut, lihat Firewall NAT.
Pastikan kuota untuk kebijakan kontrol akses mencukupi. Anda dapat melihat kuota pada halaman Prevention Configuration > Access Control > NAT Border. Untuk informasi lebih lanjut tentang cara menghitung penggunaan kuota, lihat Ikhtisar kebijakan kontrol akses.
Jika kuota tidak cukup, Anda dapat mengklik Increase Quota untuk meningkatkan nilai Quota for Additional Policy. Untuk informasi lebih lanjut, lihat Pembelian Cloud Firewall.
Jika ingin menentukan beberapa item sebagai alamat sumber atau tujuan, Anda dapat membuat buku alamat. Untuk informasi lebih lanjut, lihat Mengelola buku alamat.

Prosedur

Masuk ke Konsol Cloud Firewall.
Di bilah navigasi sebelah kiri, pilih Prevention Configuration > Access Control > NAT Border.
Pada halaman NAT Border, temukan gateway NAT tempat Anda ingin membuat kebijakan kontrol akses dan klik Create Policy.
Gateway NAT dalam akun Alibaba Cloud saat ini disinkronkan otomatis ke Cloud Firewall.

Di panel Create Policy - NAT Border, konfigurasikan parameter berikut dan klik OK.

Parameter	Deskripsi
Source Type	Pemula lalu lintas jaringan. Anda harus memilih jenis sumber dan memasukkan alamat sumber berdasarkan jenis sumber yang dipilih. Jika Anda menyetel Jenis Sumber ke IP, tentukan satu atau lebih blok CIDR, seperti 192.168.0.0/16. Anda dapat menentukan hingga 2.000 blok CIDR. Pisahkan beberapa blok CIDR dengan koma (,). Jika Anda memasukkan beberapa blok CIDR sekaligus, Cloud Firewall secara otomatis membuat buku alamat yang mencakup blok CIDR yang dimasukkan. Saat Anda menyimpan kebijakan kontrol akses, Cloud Firewall akan meminta Anda untuk menentukan nama untuk buku alamat ini. Jika Anda menyetel Jenis Sumber ke Address Book, pastikan bahwa buku alamat IP dikonfigurasi. Untuk informasi lebih lanjut tentang cara membuat buku alamat, lihat Mengelola buku alamat.
Source
Destination Type	Penerima lalu lintas jaringan. Anda harus memilih jenis tujuan dan memasukkan alamat tujuan ke mana lalu lintas jaringan dikirim berdasarkan jenis tujuan yang dipilih. Jika Anda menyetel Jenis Sumber ke IP, tentukan satu atau lebih blok CIDR, seperti 192.168.0.0/16. Anda dapat menentukan hingga 2.000 blok CIDR. Pisahkan beberapa blok CIDR dengan koma (,). Jika Anda memasukkan beberapa blok CIDR sekaligus, Cloud Firewall secara otomatis membuat buku alamat yang mencakup blok CIDR yang dimasukkan. Saat Anda menyimpan kebijakan kontrol akses, Cloud Firewall akan meminta Anda untuk menentukan nama untuk buku alamat ini. Jika Anda menyetel Jenis Sumber ke Address Book, pastikan bahwa buku alamat IP dikonfigurasi. Untuk informasi lebih lanjut tentang cara membuat buku alamat, lihat Mengelola buku alamat. Jika Anda menyetel Jenis Tujuan ke Domain Name, pilih mode identifikasi nama domain. Nilai valid: FQDN-based Resolution (Extract Host or SNI Field in Packets): Jika Anda ingin mengelola lalu lintas HTTP, HTTPS, SMTP, SMTPS, SSL, POPS, dan IMAPS, kami sarankan Anda memilih mode ini. DNS-based Dynamic Resolution: Jika Anda ingin mengelola lalu lintas selain HTTP, HTTPS, SMTP, SMTPS, SSL, POPS, dan IMAPS, kami sarankan Anda memilih mode ini. Penting Mode ini tidak mendukung nama domain wildcard atau buku alamat nama domain wildcard. Resolusi Dinamis Berbasis FQDN dan DNS: Jika Anda ingin mengelola lalu lintas HTTP, HTTPS, SMTP, SMTPS, SSL, POPS, dan IMAPS tetapi lalu lintas tertentu atau semua lalu lintas tidak berisi bidang HOST atau SNI, kami sarankan Anda memilih mode ini. Penting Mode ini hanya berlaku jika mode ACL Engine Management adalah Ketat. Mode ini tidak mendukung nama domain wildcard atau buku alamat nama domain wildcard. Jika Anda menyetel Jenis Tujuan ke Location, pilih satu atau lebih lokasi tujuan lalu lintas untuk Tujuan. Anda dapat memilih satu atau lebih lokasi di dalam atau di luar Tiongkok.
Destination
Protocol Type	Protokol lapisan transportasi. Nilai valid: TCP, UDP, ICMP, dan ANY. Jika Anda tidak mengetahui jenis protokolnya, pilih ANY.
Port Type	Jenis port dan nomor port tujuan. Jika Anda menyetel Jenis Port ke Port, masukkan rentang port. Tentukan rentang port dalam format Nomor Port/Nomor Port. Contoh: 22/22 atau 80/88. Pisahkan beberapa rentang port dengan koma (,). Anda dapat memasukkan hingga 2.000 rentang port. Jika Anda memasukkan beberapa rentang port, Cloud Firewall secara otomatis membuat buku alamat yang mencakup rentang port yang dimasukkan. Saat Anda menyimpan kebijakan kontrol akses, Cloud Firewall akan meminta Anda untuk menentukan nama untuk buku alamat ini. Jika Anda menyetel Port Type ke Address Book, pastikan bahwa buku alamat port dikonfigurasi. Untuk informasi lebih lanjut tentang cara membuat buku alamat, lihat Mengelola buku alamat.
Port
Application	Jenis aplikasi lalu lintas. Aplikasi yang dapat Anda pilih bervariasi berdasarkan jenis tujuan dan protokol yang ditentukan. Jika Anda menyetel Protocol Type ke TCP: Destination Type disetel ke IP, IP Address Book atau Location: Anda dapat memilih semua aplikasi. Destination Type disetel ke Domain Name atau Nama Domain Address Book: Jika Anda menyetel Domain Name Identification Mode ke FQDN-based Resolution (Extract Host or SNI Field in Packets, Anda hanya dapat memilih HTTP, HTTPS, SMTP, SMTPS, SSL, POPS, atau IMAPS. Jika Anda menyetel Domain Name Identification Mode ke DNS-based Dynamic Resolution, Anda dapat memilih semua aplikasi. Jika Anda menyetel Domain Name Identification Mode ke Resolusi Dinamis Berbasis FQDN dan DNS, Anda hanya dapat memilih HTTP, HTTPS, SMTP, SMTPS, SSL, POPS, dan IMAPS. Jika Anda menyetel Protocol Type ke UDP, Anda dapat memilih ANY atau DNS. Jika Anda menyetel Protocol Type ke ICMP atau ANY, Anda hanya dapat memilih ANY.
Action	Tindakan pada lalu lintas jika lalu lintas memenuhi kondisi yang Anda tentukan untuk kebijakan kontrol akses. Nilai valid: Allow: Lalu lintas diizinkan. Deny: Lalu lintas ditolak, dan tidak ada notifikasi yang dikirim. Monitor: Lalu lintas dicatat dan diizinkan. Anda dapat memfilter log lalu lintas dengan menentukan bidang terkait dan mengamati lalu lintas selama periode waktu tertentu. Kemudian, ubah tindakan kebijakan menjadi Allow atau Deny berdasarkan kebutuhan bisnis Anda.
Description	Deskripsi kebijakan kontrol akses. Masukkan deskripsi yang dapat membantu mengidentifikasi kebijakan.
Priority	Prioritas kebijakan kontrol akses. Nilai default: Lowest. Nilai valid: Highest: Kebijakan kontrol akses memiliki prioritas tertinggi. Lowest: Kebijakan kontrol akses memiliki prioritas terendah.
Policy Validity Period	Masa berlaku kebijakan kontrol akses. Kebijakan dapat digunakan untuk mencocokkan lalu lintas hanya dalam masa berlaku. Nilai valid: Selalu. Rentang Waktu Tunggal: Jika Anda memilih opsi ini, tentukan rentang waktu tunggal. Siklus Berulang: Jika Anda memilih opsi ini, tentukan rentang waktu dan tanggal ketika Anda ingin kebijakan mulai berlaku. Catatan Tanggal mulai harus lebih awal dari tanggal akhir. Kebijakan memerlukan 3 hingga 5 menit untuk mulai berlaku. Jika Anda memilih Indefinite Recurrence, tanggal akhir secara otomatis diatur ke 31 Desember 2099. FAQ: Apakah kebijakan kontrol akses berlaku jika rentang waktu yang ditentukan untuk pengulangan mencakup dua hari kalender?
Enabling Status	Tentukan apakah akan mengaktifkan kebijakan. Jika Anda mematikan Status saat membuat kebijakan kontrol akses, Anda dapat mengaktifkan kebijakan dalam daftar kebijakan kontrol akses.

Konfigurasikan mode mesin kontrol akses

Setelah kebijakan kontrol akses dibuat, mode mesin kontrol akses firewall NAT secara default adalah Loose Mode. Dalam mode ini, lalu lintas dengan jenis aplikasi atau nama domain yang diidentifikasi sebagai Tidak Dikenal diizinkan secara otomatis untuk menghindari dampak pada beban kerja Anda. Anda dapat mengubah mode menjadi Strict Mode sesuai kebutuhan bisnis Anda.

Pada halaman Prevention Configuration > Access Control > NAT Border, klik ACL Engine Management di sudut kanan atas daftar kebijakan kontrol akses.
Di panel ACL Engine Management - NAT Firewall, temukan gateway NAT yang ingin Anda ubah modenya dan klik Modify di kolom Engine Mode.
Di kotak dialog Change Engine Mode, konfigurasikan parameter Mode Mesin dan klik OK.
- Mode Ketat: Setelah mengaktifkan mode ketat, lalu lintas dengan jenis aplikasi atau nama domain yang diidentifikasi sebagai Tidak Dikenal dicocokkan dengan semua kebijakan yang telah dikonfigurasikan. Jika Anda mengonfigurasi kebijakan Tolak, jenis lalu lintas ini ditolak.
- Mode Longgar: Setelah mengaktifkan mode longgar, lalu lintas dengan jenis aplikasi atau nama domain yang diidentifikasi sebagai Tidak Dikenal diizinkan untuk memastikan akses normal.

Lihat detail hit tentang kebijakan kontrol akses

Setelah layanan Anda berjalan selama periode tertentu, Anda dapat melihat detail hit tentang kebijakan kontrol akses di kolom HitsLast Hit At dalam daftar kebijakan kontrol akses.

Anda dapat mengklik jumlah hit untuk pergi ke halaman Log Audit guna melihat log lalu lintas. Untuk informasi lebih lanjut, lihat Audit log.

Operasi terkait

Setelah membuat kebijakan kontrol akses, Anda dapat mengklik Ubah, Hapus, atau Salin di kolom Tindakan kebijakan. Anda juga dapat mengklik Pindahkan untuk mengubah prioritas kebijakan. Setelah mengubah prioritas kebijakan, prioritas kebijakan kontrol akses dengan prioritas lebih rendah akan menurun.

Penting

Setelah menghapus kebijakan, Cloud Firewall tidak lagi mengelola lalu lintas yang awalnya dipengaruhi oleh kebijakan tersebut. Lanjutkan dengan hati-hati.

Referensi

Untuk informasi lebih lanjut tentang cara mengelola lalu lintas dari aset internal ke nama domain tertentu, lihat Konfigurasikan kebijakan untuk hanya mengizinkan server internal mengakses nama domain tertentu.
Untuk informasi lebih lanjut tentang cara kerja kebijakan kontrol akses, lihat Ikhtisar kebijakan kontrol akses.
Untuk informasi lebih lanjut tentang cara mengonfigurasi kebijakan kontrol akses, lihat Konfigurasikan kebijakan kontrol akses.
Untuk informasi lebih lanjut tentang cara melihat dan mengelola buku alamat IP, buku alamat port, dan buku alamat domain dalam kebijakan kontrol akses, lihat Mengelola buku alamat.
Untuk informasi lebih lanjut tentang cara mengonfigurasi dan menggunakan kebijakan kontrol akses, lihat FAQ tentang kebijakan kontrol akses.