Ketika sumber daya seperti instans Elastic Compute Service (ECS) dan instans kontainer elastis di Virtual Private Clouds (VPCs) langsung mengakses Internet melalui Gateway NAT, risiko keamanan seperti akses tidak sah, kebocoran data, dan serangan lalu lintas dapat terjadi. Untuk mengurangi risiko ini, Anda dapat mengaktifkan Firewall NAT guna memblokir lalu lintas yang tidak sah. Topik ini menjelaskan cara mengonfigurasi Firewall NAT.
Video tutorial berikut menunjukkan cara mengaktifkan Firewall NAT untuk Gateway NAT.
Deskripsi fitur
Implementasi
Anda dapat mengaktifkan Firewall NAT dan menyinkronkan informasi aset dengan beberapa klik, mengonfigurasi kebijakan kontrol akses untuk Firewall NAT, melihat hasil analisis lalu lintas, serta log audit.
Setelah mengaktifkan Firewall NAT atau Gateway NAT, Firewall NAT akan memantau semua lalu lintas keluar dari aset internal di VPC menuju Gateway NAT, termasuk aset dalam VPC yang sama maupun lintas VPC. Firewall NAT mencocokkan informasi lalu lintas terhadap kebijakan kontrol akses yang ditentukan pengguna dan perpustakaan intelijen ancaman bawaan untuk menentukan apakah lalu lintas tersebut diizinkan. Informasi ini mencakup alamat sumber, alamat tujuan, port, protokol, aplikasi, dan nama domain. Dengan cara ini, akses tidak sah ke Internet diblokir.
Gambar berikut memberikan contoh.
Dampak
Saat mengaktifkan atau menonaktifkan Firewall NAT, Cloud Firewall beralih entri NAT. Akibatnya, koneksi persisten sementara ditutup selama 1 hingga 2 detik, tetapi koneksi singkat tidak terpengaruh. Kami merekomendasikan Anda mengaktifkan atau menonaktifkan Firewall NAT selama jam-jam sepi.
Saat membuat Firewall NAT, beban kerja Anda tidak terpengaruh. Namun, jika Anda menghidupkan Status saat membuat Firewall NAT, koneksi persisten sementara ditutup selama 1 hingga 2 detik, tetapi koneksi singkat tidak terpengaruh.
CatatanDurasi pembuatan Firewall NAT bervariasi berdasarkan jumlah Elastic IP addresses (EIPs) yang terkait dengan Gateway NAT. Durasi meningkat sekitar 2 hingga 5 menit untuk setiap EIP tambahan. Selama periode ini, beban kerja Anda tidak terpengaruh.
Jika Anda menghapus Firewall NAT setelah dinonaktifkan, beban kerja Anda tidak terpengaruh.
Batasan
Setelah mengaktifkan Firewall NAT, kami merekomendasikan agar Anda tidak memodifikasi rute vSwitch dari Firewall NAT atau rute yang hop berikutnya adalah Firewall NAT. Jika tidak, gangguan layanan mungkin terjadi.
Setelah mengaktifkan Firewall NAT, jika Anda ingin menambahkan blok CIDR lintas-VPC ke Firewall NAT untuk perlindungan, perbarui tabel rute vSwitch dari Firewall NAT secara manual. Kami merekomendasikan Anda memperbarui rute yang sesuai dalam tabel rute yang digunakan sebelum Firewall NAT diaktifkan untuk mencegah hilangnya rute setelah menonaktifkan Firewall NAT.
Jika Cloud Firewall Anda kedaluwarsa dan Anda tidak memperpanjang Cloud Firewall, Firewall NAT yang Anda buat akan dilepaskan secara otomatis dan lalu lintas dialihkan kembali ke rute semula. Gangguan layanan mungkin terjadi selama alih bencana.
Kami merekomendasikan Anda mengaktifkan perpanjangan otomatis atau memperpanjang Cloud Firewall pada kesempatan pertama untuk memastikan Cloud Firewall berjalan sesuai harapan. Untuk informasi lebih lanjut, lihat Perpanjangan.
Jika Firewall NAT Anda dibuat sebelum 1 September 2023, bandwidth perlindungan maksimum Firewall NAT untuk koneksi dengan alamat IP tujuan yang sama dan port tujuan yang sama adalah 20 Mbit/s. Jitter jaringan mungkin terjadi jika bandwidth koneksi dengan alamat IP tujuan yang sama dan port tujuan yang sama melebihi 20 Mbit/s. Jika Anda ingin meningkatkan bandwidth perlindungan maksimum Firewall NAT Anda, kami merekomendasikan Anda menghapus Firewall NAT dan membuat Firewall NAT baru.
Jika Firewall NAT Anda dibuat pada atau setelah 1 September 2023, tidak ada batasan yang diberlakukan pada bandwidth perlindungan.
Firewall NAT tidak dapat melindungi lalu lintas alamat IPv6.
Saat membuat Firewall NAT, Cloud Firewall secara otomatis membuat Entri SNAT. Jumlah Entri SNAT yang baru dibuat sama dengan jumlah EIP yang terkait dengan Gateway NAT Anda. Jangan modifikasi atau hapus Entri SNAT.
Anda dapat melihat jumlah maksimum Entri SNAT yang dapat ditambahkan ke Gateway NAT di topik "Kuota Umum". Kami merekomendasikan Anda memesan kuota Entri SNAT tertentu untuk Firewall NAT Anda. Kuota yang dipesan harus sama dengan jumlah EIP yang terkait dengan Gateway NAT Anda.
Alur Kerja
Bagan alir berikut menunjukkan cara menggunakan Firewall NAT.
Cloud Firewall menyediakan kuota default untuk Firewall NAT. Jika kuota default tidak memenuhi kebutuhan bisnis Anda, Anda dapat membeli kuota tambahan. Untuk informasi lebih lanjut, lihat Pembelian Cloud Firewall.
Prasyarat
Cloud Firewall telah diaktifkan, dan kuota yang cukup untuk Firewall NAT telah dibeli. Untuk informasi lebih lanjut, lihat Pembelian Cloud Firewall.
Gateway NAT Internet telah dibuat. Untuk informasi lebih lanjut, lihat Buat dan kelola Gateway NAT Internet.
PentingFitur Firewall NAT hanya mendukung Gateway NAT Internet.
Gateway NAT Internet harus memenuhi persyaratan berikut:
Gateway NAT Internet berada di wilayah tempat fitur Firewall NAT tersedia. Untuk informasi lebih lanjut tentang wilayah tempat fitur Firewall NAT tersedia, lihat Wilayah yang Didukung.
Setidaknya 1 EIP terkait dengan Gateway NAT Internet, dan jumlah EIP yang terkait dengan Gateway NAT tidak lebih dari 10. Untuk informasi lebih lanjut, lihat Buat dan kelola Gateway NAT Internet.
Entri SNAT telah dibuat, dan tidak ada Entri DNAT yang ada di Gateway NAT Internet. Untuk informasi lebih lanjut, lihat Buat dan kelola Entri SNAT.
Jika Entri DNAT ada di Gateway NAT Internet, Anda harus menghapus Entri DNAT sebelum dapat mengaktifkan Firewall NAT. Untuk informasi lebih lanjut, lihat Buat dan kelola Entri DNAT.
Rute 0.0.0.0 yang menunjuk ke Gateway NAT Internet telah ditambahkan untuk VPC dari Gateway NAT Internet. Untuk informasi lebih lanjut, lihat Buat dan kelola tabel rute.
Topeng subnet dari blok CIDR yang dialokasikan untuk VPC dari Gateway NAT Internet memiliki panjang minimal 28 bit. Blok CIDR sekunder dari VPC juga didukung.
Buat dan aktifkan firewall NAT
Bagian ini menjelaskan cara membuat Firewall NAT. Anda dapat membuat Firewall NAT untuk setiap Gateway NAT.
Catatan Penggunaan
Sistem memerlukan sekitar 1 hingga 5 menit untuk menyinkronkan informasi tentang Gateway NAT baru ke fitur Firewall NAT.
Sistem memerlukan sekitar 1 hingga 2 menit untuk menyinkronkan EIP yang terkait dengan Gateway NAT dan Entri SNAT yang dikonfigurasikan pada Gateway NAT ke fitur Firewall NAT. EIP dan Entri SNAT tidak berlaku sampai sinkronisasi selesai.
Anda juga dapat mengklik Synchronize Assets di tab untuk menyinkronkan jumlah EIP dan Entri SNAT secara manual.
Sistem memerlukan 30 menit untuk menyinkronkan rute yang menunjuk ke Gateway NAT ke fitur Firewall NAT.
Anda juga dapat mengklik Synchronize Assets di tab untuk menyinkronkan rute secara manual.
Saat membuat Firewall NAT, Cloud Firewall melakukan operasi berikut:
Menambahkan rute 0.0.0.0/0 yang menunjuk ke Gateway NAT ke tabel rute vSwitch yang dibuat untuk Firewall NAT.
Memodifikasi rute 0.0.0.0/0 dalam tabel rute sistem untuk menunjuk hop berikutnya ke ENI Cloud Firewall.
CatatanSaat membuat Firewall NAT, Cloud Firewall membuat tabel rute kustom di VPC Firewall NAT. Jika kluster Container Service for Kubernetes (ACK) yang menggunakan plugin jaringan Flannel diterapkan di VPC, Anda harus mengonfigurasi beberapa tabel rute untuk VPC menggunakan cloud controller manager (CCM) untuk menambahkan tabel rute sistem VPC setelah membuat Firewall NAT. Jika tidak, operasi skala keluar node kluster mungkin terpengaruh. Untuk informasi lebih lanjut, lihat Konfigurasikan beberapa tabel rute untuk VPC.
Jika Anda sudah mengonfigurasi beberapa tabel rute untuk VPC Firewall NAT menggunakan CCM, abaikan catatan ini.
Prosedur
Masuk ke Konsol Cloud Firewall. Di bilah navigasi sisi kiri, klik Firewall Settings.
Klik tab NAT Firewall. Di tab Firewall NAT, temukan Gateway NAT yang diperlukan dan klik Create di kolom Actions.
Di panel Create NAT Firewall, klik Check Now di langkah Pemeriksaan Otomatis. Setelah pemeriksaan selesai dan semua item diagnostik lolos, klik Next.
Jika Anda yakin bahwa Gateway NAT memenuhi semua kondisi yang diperlukan untuk membuat Firewall NAT, klik Skip and start creation now.
Di langkah Mode Pengalihan Lalu Lintas, konfigurasikan parameter Mode Pengalihan Lalu Lintas. Mode pengalihan lalu lintas berikut didukung:
Automatically Create vSwitch (Direkomendasikan): Opsi ini cocok untuk skenario di mana blok CIDR yang dicadangkan cukup. Jika Anda memilih opsi ini, lalu lintas dialihkan secara otomatis.
Manually Select vSwitch: Opsi ini cocok untuk skenario di mana blok CIDR yang dicadangkan tidak cukup. Jika Anda memilih opsi ini, Anda harus menentukan blok CIDR vSwitch yang ada atau membuat vSwitch secara manual. Konfigurasinya kompleks dan memerlukan personel profesional.
Di langkah Buat Firewall, konfigurasikan parameter berikut.
Parameter
Deskripsi
Basic Information
Name
Masukkan nama untuk firewall NAT.
Traffic Redirection Configurations
Select Route Table
Pilih tabel rute yang hop berikutnya adalah gateway NAT. Sistem secara otomatis mengubah hop berikutnya menjadi tabel rute yang dibuat untuk Cloud Firewall. Dengan cara ini, hop berikutnya dari lalu lintas yang ditujukan ke aset internal menunjuk ke firewall NAT.
vSwitch for Traffic Redirection (Setelah memilih Automatically Create vSwitch di langkah Traffic Redirection Mode)
atau vSwitch for Traffic Redirection (Setelah memilih Manually Select vSwitch di langkah Traffic Redirection ModeManually Select vSwitch)
Anda dapat create vSwitch baru atau memilih vSwitch existing.
Catatan penggunaan untuk membuat blok CIDR vSwitch:
Anda harus mengalokasikan blok CIDR vSwitch ke firewall NAT untuk pengalihan lalu lintas. Blok CIDR harus memiliki topeng subnet minimal 28 bit panjangnya dan tidak boleh bertentangan dengan perencanaan jaringan Anda.
Blok CIDR vSwitch harus merupakan subnet dari blok CIDR yang dialokasikan ke VPC dan tidak bertentangan dengan blok CIDR layanan saat ini. Blok CIDR sekunder dari VPC juga didukung. Setelah Anda mengalokasikan blok CIDR vSwitch, Cloud Firewall secara otomatis mengasosiasikan vSwitch dengan tabel rute kustom.
Catatan penggunaan untuk memilih vSwitch yang ada:
Firewall NAT harus memiliki vSwitch yang memenuhi persyaratan berikut: Untuk informasi lebih lanjut, lihat Buat dan kelola VPC.
vSwitch, gateway NAT, dan firewall NAT harus ditempatkan di VPC yang sama.
vSwitch harus berada di zona yang sama dengan gateway NAT.
Topeng subnet dari blok CIDR vSwitch harus minimal 28 bit panjangnya, dan jumlah alamat IP yang tersedia dalam blok CIDR harus lebih besar dari jumlah EIP yang ditentukan dalam entri SNAT gateway NAT.
Tidak ada sumber daya cloud lain yang terhubung ke vSwitch.
Buat tabel rute dan asosiasikan tabel rute dengan vSwitch. Untuk informasi lebih lanjut, lihat Buat dan kelola tabel rute.
Opsional. Tambahkan rute kustom selain entri 0.0.0.0/0 ke tabel rute berdasarkan kebutuhan bisnis Anda. Untuk informasi lebih lanjut, lihat Gunakan tabel rute kustom untuk mengelola lalu lintas jaringan.
Sebagai contoh, jika beban kerja Anda memerlukan komunikasi antar-VPC, Anda harus menambahkan rute balik VPC ke tabel rute secara manual.
CatatanJika tidak ada vSwitch yang ditampilkan dalam daftar drop-down atau vSwitch yang diperlukan redup, periksa apakah vSwitch terkait dengan sumber daya cloud lain dan apakah vSwitch terkait dengan tabel rute kustom. Setelah Anda menentukan vSwitch, Anda dapat mengklik Synchronize Assets di pojok kanan atas tab NAT Firewall.
Engine Mode
Engine Mode
Pilih mode pencocokan kebijakan kontrol akses. Nilai valid:
Loose Mode (default): Lalu lintas yang jenis aplikasinya atau nama domain diidentifikasi sebagai Tidak Dikenal diizinkan untuk memastikan akses normal.
Strict Mode: Lalu lintas yang jenis aplikasinya atau nama domain diidentifikasi sebagai Tidak Dikenal diproses oleh semua kebijakan yang Anda konfigurasikan. Jika Anda mengonfigurasikan kebijakan Tolak, lalu lintas tersebut ditolak.
Pilih I have read the preceding notes dan klik Enable Firewall.
Setelah Firewall NAT dibuat, Anda harus secara manual menghidupkan Status.
Lalu lintas hanya dapat diarahkan ke Firewall NAT setelah Anda mengaktifkan Firewall NAT.
Apa yang Harus Dilakukan Selanjutnya
Setelah mengaktifkan Firewall NAT, Anda dapat mengonfigurasi kebijakan kontrol akses untuk Firewall NAT dan melihat log audit untuk mengontrol lalu lintas yang berasal dari aset pribadi dan ditujukan ke Internet.
Konfigurasikan Kebijakan Kontrol Akses
Jika Anda tidak mengonfigurasi kebijakan kontrol akses, Cloud Firewall secara otomatis mengizinkan semua lalu lintas. Anda dapat membuat kebijakan kontrol akses untuk Firewall NAT untuk mengelola lalu lintas dari aset internal ke Internet secara halus.
Pergi ke tab , temukan Firewall NAT yang ingin Anda kelola, klik ikon 
di kolom Actions, lalu klik Access Control.
Di halaman yang muncul,buat kebijakan kontrol akses untuk Firewall NAT. Untuk informasi lebih lanjut, lihat Buat kebijakan kontrol akses untuk Firewall NAT.
Lihat Log Audit
Pergi ke tab , temukan Firewall NAT yang ingin Anda kelola, klik ikon 
di kolom Actions, lalu klik Log Audit.
Di halaman yang muncul, kueri log lalu lintas yang berasal dari jaringan pribadi dan ditujukan ke Internet. Untuk informasi lebih lanjut, lihat Log Audit.
Lihat Hasil Analisis Lalu Lintas
Pergi ke tab , temukan Firewall NAT yang ingin Anda kelola, klik ikon di kolom Actions, lalu klik Traffic Analysis.
Di halaman yang muncul, lihat hasil analisis koneksi keluar yang dimulai dari aset ke Internet menggunakan alamat IP Gateway NAT. Untuk informasi lebih lanjut, lihat Koneksi Keluar.
Lihat Statistik tentang Lalu Lintas yang Dilindungi
Di bilah navigasi sisi kiri, klik Overview. Di pojok kanan atas halaman Overview, klik Purchased Specification Usage untuk melihat lalu lintas puncak yang dapat dilindungi oleh Firewall NAT, puncak lalu lintas terbaru, dan kuota yang digunakan untuk Firewall NAT.
Lihat vSwitch untuk Firewall NAT
Pergi ke tab , klik Firewall vSwitch List di pojok kanan atas daftar Firewall NAT.
Nonaktifkan dan Hapus Firewall NAT
Saat menonaktifkan Firewall NAT, Cloud Firewall beralih entri NAT. Akibatnya, koneksi persisten sementara ditutup selama 1 hingga 2 detik, tetapi koneksi singkat tidak terpengaruh. Jika Anda menghapus Firewall NAT setelah dinonaktifkan, beban kerja Anda tidak terpengaruh.
Jika Anda langsung menghapus Firewall NAT saat diaktifkan, Cloud Firewall menonaktifkan dan menghapus Firewall NAT pada saat yang sama. Koneksi persisten sementara ditutup selama 1 hingga 2 detik.
Nonaktifkan Firewall NAT
Pergi ke tab , temukan Firewall NAT yang ingin Anda nonaktifkan, lalu matikan sakelar di kolom Switch.
Hapus Firewall NAT
Pergi ke tab , temukan Firewall NAT yang ingin Anda hapus, klik ikon
di kolom Actions, lalu klik Delete.
Referensi
Untuk informasi lebih lanjut tentang cara mengelola lalu lintas dari aset internal ke nama domain tertentu, lihat Konfigurasikan kebijakan untuk hanya mengizinkan server internal mengakses nama domain tertentu.
Untuk informasi lebih lanjut tentang cara melihat log lalu lintas Firewall NAT, lihat Log Audit.
Untuk informasi lebih lanjut tentang Firewall Internet, lihat topik berikut: