Secara default, jika Anda tidak mengonfigurasi kebijakan kontrol akses setelah mengaktifkan firewall, Cloud Firewall mengizinkan semua lalu lintas. Untuk mengelola akses tidak sah ke aset Anda dengan lebih baik, Anda dapat mengonfigurasi kebijakan Izinkan atau Tolak berdasarkan kebutuhan bisnis Anda. Topik ini menjelaskan kebijakan kontrol akses Cloud Firewall, termasuk cara kerja kebijakan kontrol akses dan aturan penagihan.
Deskripsi fitur
Cloud Firewall memungkinkan Anda mengonfigurasi kebijakan kontrol akses untuk Firewall Internet, Firewall NAT, Firewall VPC (Virtual Private Cloud), dan firewall internal guna memblokir akses tidak sah serta menerapkan isolasi dan kontrol multi-arah pada lalu lintas. Kebijakan kontrol akses yang dijelaskan dalam topik ini hanya berlaku untuk Firewall Internet, Firewall NAT, dan Firewall VPC.
Untuk informasi lebih lanjut tentang cara mengonfigurasi kebijakan kontrol akses untuk firewall internal, lihat Buat Kebijakan Kontrol Akses untuk Firewall Internal.
Item dalam kebijakan kontrol akses
Anda dapat menentukan item berbeda dalam kebijakan kontrol akses untuk mengizinkan atau menolak lalu lintas terkait.
Item | Deskripsi | Tipe | Tipe yang Didukung oleh Kebijakan |
Sumber | Penginisiasi koneksi jaringan. |
|
|
Tujuan | Penerima koneksi jaringan. | Alamat IP, Buku Alamat IP, nama domain, dan wilayah.
|
|
Tipe Protokol | Protokol lapisan transport. | TCP, UDP, ICMP, dan ANY. Jika Anda tidak mengetahui protokol untuk kebijakan, pilih ANY. Nilai ANY mencakup semua jenis protokol. | Tipe-tipe tersebut didukung oleh semua kebijakan kontrol akses untuk firewall. |
Port | Port tujuan. | Kebijakan kontrol akses mengontrol lalu lintas yang melewati port tertentu. Tipe-tipe tersebut adalah port dan buku alamat. |
|
Aplikasi | Protokol lapisan aplikasi. | Tipe-tipe meliputi HTTP, HTTPS, SMTP, SMTPS, SSL, FTP, IMAPS, dan POP3. Jika Anda tidak mengetahui tipe aplikasi, pilih ANY. Nilai ANY mencakup semua tipe aplikasi. Catatan Cloud Firewall mengidentifikasi aplikasi lalu lintas SSL atau TLS berdasarkan port.
| Tipe yang didukung oleh kebijakan kontrol akses bervariasi berdasarkan tipe protokol yang dipilih. |
Implementasi
Secara default, jika tidak ada kebijakan kontrol akses yang dikonfigurasi, Cloud Firewall mengizinkan semua lalu lintas selama proses pencocokan kebijakan kontrol akses.
Setelah Anda mengonfigurasi kebijakan kontrol akses, Cloud Firewall membagi kebijakan menjadi satu atau lebih aturan pencocokan berdasarkan logika tertentu dan mengirimkan kebijakan ke mesin. Saat lalu lintas melewati Cloud Firewall, sistem mencocokkan paket lalu lintas secara berurutan berdasarkan prioritas kebijakan kontrol akses yang dikonfigurasi. Jika sebuah paket lalu lintas cocok dengan kebijakan, tindakan yang ditentukan dalam kebijakan dilakukan, dan kebijakan berikutnya tidak dicocokkan. Sebaliknya, sistem terus mencocokkan paket lalu lintas terhadap kebijakan dengan prioritas lebih rendah hingga sebuah kebijakan cocok atau semua kebijakan yang dikonfigurasi telah dicocokkan. Secara default, jika lalu lintas tidak cocok dengan kebijakan setelah semua kebijakan yang dikonfigurasi dicocokkan, lalu lintas diizinkan.
Setelah Anda membuat, memodifikasi, atau menghapus kebijakan kontrol akses, Cloud Firewall memerlukan waktu sekitar 3 menit untuk mengirimkan kebijakan ke mesin.
Nilai prioritas kecil menunjukkan prioritas lebih tinggi. Untuk memastikan bahwa kemampuan kontrol akses dapat dimaksimalkan, kami merekomendasikan agar Anda menentukan prioritas tinggi untuk kebijakan yang sering dicocokkan dan kebijakan yang diperhalus.
Gambar berikut menunjukkan cara kerja kebijakan kontrol akses.
Tindakan kebijakan
Tindakan berikut didukung dalam kebijakan kontrol akses: Izinkan, Monitor, dan Tolak. Ketika elemen-elemen paket lalu lintas cocok dengan kebijakan kontrol akses, Cloud Firewall melakukan tindakan yang ditentukan dalam kebijakan.
Jika tindakan kebijakan diatur ke Monitor, lalu lintas diizinkan ketika kebijakan cocok. Anda dapat mengamati lalu lintas selama periode waktu tertentu dan mengubah tindakan kebijakan menjadi Izinkan atau Tolak berdasarkan kebutuhan bisnis Anda.
Anda dapat melihat data lalu lintas di halaman Traffic Logs. Untuk informasi lebih lanjut, lihat Audit Operasi.
Kuota yang dikonsumsi oleh kebijakan kontrol akses
Setelah Anda mengonfigurasi kebijakan kontrol akses, Cloud Firewall menghitung kuota yang dikonsumsi oleh kebijakan berdasarkan jumlah item yang ditentukan dalam kebijakan, seperti alamat sumber, alamat tujuan, tipe protokol, port, dan aplikasi.
Metode perhitungan
Kuota yang dikonsumsi oleh kebijakan kontrol akses dihitung menggunakan rumus berikut:
Kuota yang Dikonsumsi oleh Kebijakan Kontrol Akses = Jumlah Alamat Sumber (jumlah blok CIDR atau wilayah) × Jumlah Alamat Tujuan (jumlah blok CIDR, wilayah, atau nama domain) × Jumlah Rentang Port × Jumlah Aplikasi.
PentingAnda dapat mengonfigurasi kebijakan kontrol akses yang Destination Type-nya adalah Domain Name untuk Firewall Internet, Firewall VPC, dan Firewall NAT. Kuota yang dikonsumsi oleh kebijakan kontrol akses tersebut di mana Domain Name Identification Mode diatur ke DNS-based Dynamic Resolution atau diatur ke FQDN and DNS-based Dynamic Resolution dihitung berdasarkan tier pada setiap batas firewall.
Jika total kuota yang dikonsumsi oleh kebijakan kontrol akses tersebut pada batas firewall kurang dari atau sama dengan 200, kuota yang sebenarnya dikonsumsi adalah total kuota. Jika total kuota yang dikonsumsi oleh kebijakan kontrol akses tersebut pada batas firewall lebih besar dari 200, kuota yang sebenarnya dikonsumsi dihitung berdasarkan rumus berikut: Kuota yang sebenarnya dikonsumsi = 200 + (Kuota berlebih × 10).
Sebagai contoh, Anda mengonfigurasi kebijakan kontrol akses pada batas Internet. Alamat tujuan kebijakan adalah aliyun.com, mode identifikasi nama domain kebijakan adalah resolusi dinamis berbasis DNS, dan kuota yang dikonsumsi oleh kebijakan adalah 185. Dalam kasus ini, jika Anda ingin membuat kebijakan kontrol akses yang mode identifikasi nama domainnya adalah resolusi dinamis berbasis DNS dan kuota yang dikonsumsi oleh kebijakan adalah 16, total kuota yang dikonsumsi oleh dua kebijakan dihitung berdasarkan rumus berikut: 200 + (185 + 16 - 200) × 10 = 210.
Anda dapat melihat kuota yang dikonsumsi oleh kebijakan kontrol akses di kolom Consumed Quota dari kebijakan dalam daftar kebijakan kontrol akses.
Total Kuota yang Dikonsumsi oleh Kebijakan Kontrol Akses = Kuota yang Dikonsumsi oleh Kebijakan Kontrol Akses Keluar + Kuota yang Dikonsumsi oleh Kebijakan Kontrol Akses Masuk.
Anda dapat melihat total kuota yang dikonsumsi oleh kebijakan kontrol akses untuk tipe firewall di bagian atas halaman firewall. Gambar berikut menunjukkan kuota yang dikonsumsi oleh kebijakan kontrol akses yang dibuat untuk Firewall Internet.
Penagihan
Secara default, harga dasar Edisi Premium, Edisi Enterprise, dan Edisi Ultimate Cloud Firewall yang menggunakan metode penagihan berlangganan mencakup kuota tertentu untuk kebijakan kontrol akses. Jika kuota tertentu tersebut tidak dapat memenuhi kebutuhan bisnis Anda, Anda dapat membeli kuota tambahan.
Kuota tambahan pada kebijakan kontrol akses dapat digunakan untuk kebijakan kontrol akses untuk Firewall Internet, Firewall NAT, dan Firewall VPC. Untuk informasi lebih lanjut, lihat Berlangganan.
Cloud Firewall yang menggunakan metode penagihan bayar sesuai pemakaian memungkinkan Anda membuat maksimal 2.000 kebijakan kontrol akses untuk Firewall Internet, 2.000 kebijakan kontrol akses untuk Firewall NAT, dan 10.000 kebijakan kontrol akses untuk Firewall VPC. Angka-angka tersebut tidak dapat ditingkatkan. Untuk informasi lebih lanjut, lihat Bayar Sesuai Pemakaian.
Contoh cara menghitung kuota yang dikonsumsi oleh kebijakan kontrol akses
Referensi
Untuk informasi lebih lanjut tentang cara mengelola lalu lintas antara aset yang menghadap Internet dan Internet, lihat Buat Kebijakan Kontrol Akses untuk Firewall Internet.
Untuk informasi lebih lanjut tentang cara mengelola lalu lintas dari aset internal ke Internet, lihat Buat Kebijakan Kontrol Akses untuk Firewall NAT.
Untuk informasi lebih lanjut tentang cara mengelola lalu lintas antara VPC dan antara VPC dan pusat data, lihat Buat Kebijakan Kontrol Akses untuk Firewall VPC.
Untuk informasi lebih lanjut tentang cara mengelola lalu lintas antara instance ECS, lihat Buat Kebijakan Kontrol Akses untuk Firewall Internal antara Instance ECS.
Untuk informasi lebih lanjut tentang cara mengonfigurasi kebijakan kontrol akses dan skenario penggunaan kebijakan kontrol akses, lihat Konfigurasikan Kebijakan Kontrol Akses.
Jika Anda menerapkan Cloud Firewall bersama dengan Bastionhost, Anda harus mengonfigurasi kebijakan kontrol akses untuk mencegah lalu lintas Bastionhost Anda diblokir oleh Cloud Firewall. Untuk informasi lebih lanjut, lihat Konfigurasikan Kebijakan Kontrol Akses dalam Skenario di Mana Cloud Firewall Diterapkan Bersama dengan Bastionhost.