Konfigurasikan IPS Cloud Firewall - Cloud Firewall

Cloud Firewall menyediakan mesin deteksi ancaman bawaan yang memberikan kemampuan Sistem Pencegahan Intrusi (IPS) untuk mempertahankan diri dari intrusi dan serangan umum secara real-time. Fitur ini juga mencakup pembenahan virtual untuk melindungi terhadap ancaman. Anda dapat mengonfigurasi mode mesin deteksi ancaman serta mengaktifkan fitur intelijen ancaman, perlindungan dasar, pertahanan cerdas, dan pembenahan virtual untuk mengidentifikasi dan memblokir upaya intrusi secara efektif.

Konfigurasikan kemampuan berbasis IPS pada batas Internet

Mode mesin deteksi ancaman

Setelah Cloud Firewall dibeli, Block mode is automatically enabled for the threat detection engine. Cloud Firewall automatically determines the appropriate level based on your traffic conditions. Fitur intelijen ancaman, perlindungan dasar, dan pembenahan virtual hanya memblokir ancaman jika mode Block diaktifkan. Jika mode Block dinonaktifkan, fitur-fitur ini hanya memantau ancaman dan lalu lintas jahat.

Untuk informasi lebih lanjut tentang mode mesin deteksi ancaman, lihat Ikhtisar IPS.

Masuk ke Konsol Cloud Firewall. Di panel navigasi sisi kiri, pilih Prevention Configuration > IPS Configuration.
Di sisi kanan tab Internet Border, pilih nilai untuk Threat Engine Mode.
Mesin deteksi ancaman mendukung mode-mode berikut:
- Monitor: Jika Anda memilih mode ini, Cloud Firewall mencatat serangan dan menghasilkan peringatan untuk serangan tersebut, tetapi tidak mencegat serangan. Dalam mode ini, tindakan kebijakan intelijen ancaman, perlindungan dasar, dan pembenahan virtual disetel ke Monitor.
- Block: Jika Anda memilih mode ini, Cloud Firewall memblokir lalu lintas jahat dan upaya intrusi.
  Anda juga dapat memilih salah satu level berikut untuk mode ini berdasarkan kebutuhan bisnis Anda:
  Block-Loose: Memblokir serangan dengan cara longgar menggunakan aturan yang mencegah tingkat positif palsu tinggi. Level ini cocok untuk bisnis yang memerlukan tingkat positif palsu diminimalkan.
  Block-Medium: Memblokir serangan dengan cara standar menggunakan aturan umum. Level ini cocok untuk operasi sehari-hari dan memberikan tingkat positif palsu lebih rendah daripada level Ketat.
  Block-Strict: Memblokir serangan dengan cara ketat menggunakan semua aturan. Level ini cocok untuk bisnis yang memerlukan tingkat negatif palsu diminimalkan. Level ini mungkin menyebabkan tingkat positif palsu lebih tinggi daripada level Medium.

Ikhtisar

Kemampuan berbasis IPS pada batas Internet mencakup Perlindungan Dasar, Pembenahan Virtual, Intelijen Ancaman, Pertahanan Cerdas, Kebocoran Data, dan Penelusuran IP Pribadi IPS. Anda dapat menghidupkan atau mematikan sakelar di sisi kiri setiap tab.

Perlindungan Dasar

Secara default, Basic Protection dihidupkan, dan kebijakan perlindungan dasar yang digunakan untuk mendeteksi ancaman umum diaktifkan. Fitur perlindungan dasar melindungi aset Anda terhadap intrusi umum, seperti serangan yang mengeksploitasi kerentanan eksekusi perintah. Fitur ini juga mengelola koneksi dari host yang terganggu ke server command-and-control (C&C) dan memberikan perlindungan dasar untuk aset Anda. Kami merekomendasikan Anda untuk mengaktifkan fitur perlindungan dasar.

Ubah kebijakan: Temukan kebijakan yang ingin Anda kelola dan ubah nilai di kolom Current Action. Setelah modifikasi, kebijakan ditandai sebagai Kustom.
Kembalikan ke kebijakan default: Klik Restore to Default IPS Rules. Dalam pesan yang muncul, klik OK.
Aktifkan atau nonaktifkan kebijakan: Hidupkan atau matikan sakelar di kolom Enabling Status.
- Diaktifkan: Kebijakan berlaku. Kebijakan yang ditandai sebagai Kustom memiliki prioritas lebih tinggi daripada kebijakan yang menggunakan tindakan default.
- Dinonaktifkan: Kebijakan tidak berlaku.

Pembenahan Virtual

Secara default, Virtual Patching dihidupkan, dan Cloud Firewall melindungi aset Anda terhadap kerentanan risiko tinggi umum dan kerentanan mendesak secara real-time. Fitur pembenahan virtual menyediakan tambalan panas di lapisan jaringan untuk melindungi bisnis Anda terhadap kerentanan risiko tinggi dan kerentanan mendesak yang dapat dieksploitasi secara jarak jauh. Ini membantu mencegat eksploitasi kerentanan secara real-time dan mencegah gangguan bisnis saat kerentanan sedang diperbaiki. Anda tidak perlu menginstal tambalan virtual di server Anda. Jika fitur dinonaktifkan, Cloud Firewall tidak dapat memperbarui tambalan secara otomatis untuk aset Anda. Kami merekomendasikan Anda untuk mengaktifkan semua kebijakan pembenahan virtual.

Ubah kebijakan: Temukan kebijakan yang ingin Anda kelola dan ubah nilai di kolom Current Action. Setelah modifikasi, kebijakan ditandai sebagai Kustom.
Kembalikan ke kebijakan default: Klik Restore to Default IPS Rules. Dalam pesan yang muncul, klik OK.
Aktifkan atau nonaktifkan kebijakan: Hidupkan atau matikan sakelar di kolom Enabling Status.
- Diaktifkan: Kebijakan berlaku. Kebijakan yang ditandai sebagai Kustom memiliki prioritas lebih tinggi daripada kebijakan yang menggunakan tindakan default.
- Dinonaktifkan: Kebijakan tidak berlaku.

Intelijen Ancaman

Secara default, Threat Intelligence dihidupkan, dan Cloud Firewall memindai intelijen ancaman dan menetapkan tindakan intelijen ancaman ke Monitor atau Blokir. Fitur intelijen ancaman menyinkronkan alamat IP jahat yang terdeteksi di seluruh Alibaba Cloud ke Cloud Firewall, termasuk alamat IP jahat yang digunakan untuk memulai akses jahat, pemindaian, atau serangan brute-force, dan kemudian melakukan pencegahan intrusi yang tepat. Kami merekomendasikan Anda untuk mengaktifkan fitur intelijen ancaman.

Pertahanan Cerdas

Secara default, Intelligent Defense dihidupkan, dan Cloud Firewall belajar dari sejumlah besar data tentang serangan di cloud untuk meningkatkan akurasi deteksi ancaman dan deteksi serangan. Fitur pertahanan cerdas hanya tersedia saat Mode Mesin Ancaman disetel ke Monitor.

Penting

Untuk menghidupkan Intelligent Defense, hidupkan Basic Protection terlebih dahulu.

Kebocoran Data

Cloud Firewall dapat mendeteksi data sensitif dalam koneksi keluar aset cloud Anda dan mengidentifikasi risiko terkait.

Aktifkan fitur pendeteksian kebocoran data untuk aset Anda.
Aktifkan atau nonaktifkan fitur pendeteksian kebocoran data untuk jenis data berdasarkan kebutuhan bisnis Anda. Pada tab Internet Border > Data Leak > Common Industry Template, Anda dapat melihat jenis-jenis data sensitif yang dapat diidentifikasi oleh Cloud Firewall.
Klik Configure Assets, temukan aset yang menghadap Internet yang ingin Anda kelola dan klik Enable Data Leak Detection di kolom Operasi.

Anda dapat melihat dasbor kebocoran data pada halaman Data Leak Detection untuk mendapatkan aset, peristiwa, dan muatan risiko terkait kebocoran data secara akurat. Untuk informasi lebih lanjut, lihat Pendeteksian kebocoran data.

Penelusuran IP Pribadi IPS

Dalam skenario di mana layanan seperti NAT Gateway atau Server Load Balancer (SLB) diterapkan, alamat IP asal server backend, seperti instance Elastic Compute Service (ECS), disembunyikan. Jika serangan terjadi, server backend yang diserang sulit diidentifikasi. Fitur penelusuran IP pribadi IPS dapat secara otomatis mengaitkan log sesi gateway NAT, menampilkan alamat IP pribadi, membantu melaksanakan penelusuran sumber serangan, dan mengidentifikasi aset berisiko secara efisien.

Penting

Hanya gateway NAT Internet yang didukung.
Jika Anda mengaktifkan fitur ini, Anda tidak dikenakan biaya untuk fitur tersebut. Namun, sistem membuat indeks pada log sesi gateway NAT Anda, yang memungkinkan Anda untuk menanyakan log tersebut. Anda akan dikenakan biaya untuk indeks dan operasi penanyaaan. Untuk informasi lebih lanjut, lihat Ikhtisar Penagihan.
Jika pengindeksan tidak diaktifkan untuk log sesi gateway NAT atau bidang-bidang yang diperlukan untuk penelusuran sumber setelah fitur diaktifkan, sistem secara otomatis membangun ulang indeks atau membuat indeks untuk bidang-bidang yang diperlukan.

Aktifkan fitur untuk aset yang menghadap Internet. Anda dapat melihat aset yang menghadap Internet tempat Anda dapat mengaktifkan fitur tersebut pada halaman IPS Private IP Tracing. Anda dapat mengaktifkan fitur untuk aset yang menghadap Internet hanya jika nilai di kolom Internet Firewall Status adalah Dilindungi dan nilai di kolom Session Log for NAT Gateway untuk aset tersebut adalah Diaktifkan. Jika pesan muncul saat Anda menghidupkan sakelar di kolom Operasi untuk suatu aset, Anda dapat melihat alasan mengapa operasi pengaktifan gagal dan klik tautan terkait untuk mengaktifkan fitur terkait. Untuk informasi lebih lanjut, lihat topik-topik berikut:
- Aktifkan firewall Internet
- Aktifkan fitur log sesi
Catatan
Jika gateway NAT hanya mencakup entri DNAT, Anda tidak perlu mengaktifkan fitur log sesi untuk gateway NAT tersebut.
Jika nilai di kolom Internet Firewall Status adalah Dilindungi dan nilai di kolom Session Log for NAT Gateway adalah Diaktifkan untuk aset yang menghadap Internet, hidupkan sakelar di kolom Operasi. Dalam pesan yang muncul, klik OK. Jika nilai di kolom IPS Private IP Tracing adalah Enabled, fitur tersebut akan diaktifkan.
Catatan
Fitur penelusuran IP pribadi IPS bergantung pada fitur log sesi NAT Gateway. Pengumpulan dan pengiriman log sesi NAT memiliki latensi, sehingga hasil penelusuran sumber baru dapat diakses setelah penundaan sekitar 20 menit.

Daftar Putih

Anda dapat menambahkan alamat IPv4 dan IPv6 sumber tepercaya ke daftar putih masuk atau alamat IPv4 dan IPv6 tujuan tepercaya ke daftar putih keluar. Setelah ditambahkan, fitur perlindungan dasar, pertahanan cerdas, dan pembenahan virtual akan mengizinkan lalu lintas dari alamat IP tersebut. Anda dapat menambahkan hingga 50 alamat IP ke daftar putih alamat IP sumber atau daftar putih alamat IP tujuan.

Untuk menambahkan alamat IP ke daftar putih, klik Whitelist di sisi kanan setiap tab.

Konfigurasi daftar putih hanya berlaku untuk fitur perlindungan dasar, pertahanan cerdas, dan pembenahan virtual.

Kemampuan berbasis IPS pada batas VPC

Sebelum mengonfigurasi kemampuan IPS untuk firewall VPC, Anda harus mengaktifkan firewall virtual private cloud (VPC).

Konfigurasikan kebijakan perlindungan dasar

Fitur perlindungan dasar melindungi aset Anda dari intrusi umum, seperti serangan yang mengeksploitasi kerentanan eksekusi perintah. Fitur ini juga mengelola koneksi dari host yang terganggu ke server C&C serta memberikan perlindungan dasar untuk aset Anda.

Pada tab VPC Border, klik View Basic Protection Policies.
Di panel Basic Protection, temukan kebijakan yang ingin dikelola dan ubah nilai di kolom Current Action dan Enabling Status untuk kebijakan tersebut.
- Ubah kebijakan: Temukan kebijakan yang ingin Anda kelola dan ubah nilai di kolom Current Action. Setelah modifikasi, kebijakan ditandai sebagai Kustom.
- Kembalikan ke Kebijakan Default: Klik Restore All IPS Rules of VPC Firewall. Dalam pesan yang muncul, klik OK.
- Aktifkan atau Nonaktifkan Kebijakan: Hidupkan atau matikan sakelar di kolom Enabling Status.
  - Diaktifkan: Kebijakan berlaku. Kebijakan yang ditandai sebagai Kustom memiliki prioritas lebih tinggi daripada kebijakan dengan tindakan default.
  - Dinonaktifkan: Kebijakan tidak berlaku.

Catatan

Kebijakan yang diaktifkan berlaku untuk semua firewall VPC Anda.

Konfigurasikan kebijakan pembenahan virtual

Setelah mengaktifkan fitur pembenahan virtual, Cloud Firewall melindungi aset Anda dari kerentanan risiko tinggi umum dan kerentanan mendesak secara real-time. Fitur ini menyediakan tambalan panas di lapisan jaringan untuk melindungi bisnis Anda dari kerentanan yang dapat dieksploitasi secara jarak jauh. Fitur ini membantu mencegat eksploitasi kerentanan secara real-time dan mencegah gangguan bisnis saat kerentanan sedang diperbaiki. Anda tidak perlu menginstal tambalan virtual di server Anda. Jika fitur dinonaktifkan, Cloud Firewall tidak dapat memperbarui tambalan secara otomatis untuk aset Anda.

Pada tab VPC Border, klik View Virtual Patching Policies.
Di panel Virtual Patching, ubah nilai di kolom Current Action dan Enabling Status untuk kebijakan tersebut.
- Ubah kebijakan: Temukan kebijakan yang ingin Anda kelola dan ubah nilai di kolom Current Action. Setelah modifikasi, kebijakan ditandai sebagai Kustom.
- Kembalikan ke Kebijakan Default: Klik Restore All IPS Rules of VPC Firewall. Dalam pesan yang muncul, klik OK.
- Aktifkan atau Nonaktifkan Kebijakan: Hidupkan atau matikan sakelar di kolom Enabling Status.
  - Diaktifkan: Kebijakan berlaku. Kebijakan yang ditandai sebagai Kustom memiliki prioritas lebih tinggi daripada kebijakan dengan tindakan default.
  - Dinonaktifkan: Kebijakan tidak berlaku.

Catatan

Kebijakan yang diaktifkan berlaku untuk semua firewall VPC Anda.

Konfigurasikan mode IPS

Temukan aset yang ingin dikelola dan klik Configure IPS Mode di kolom Tindakan.
Di kotak dialog Configure IPS Mode, pilih mode IPS dan klik OK.
Mode-mode IPS berikut didukung:
- Monitor mode: Cloud Firewall memantau lalu lintas dan menghasilkan peringatan untuk lalu lintas jahat.
- Block mode: Cloud Firewall mencegat lalu lintas jahat dan memblokir upaya intrusi. Anda dapat memilih level untuk mode Blokir berdasarkan kebutuhan bisnis Anda.
  - Loose: blocks attacks in a loose manner by using rules that prevent a high rate of false positives. This level is suitable for business that requires the false positive rate to be minimized.: Memblokir serangan dengan cara longgar menggunakan aturan yang mencegah tingkat false positive tinggi. Level ini cocok untuk bisnis yang memerlukan minimisasi tingkat false positive.
  - Medium: blocks attacks in a standard manner by using common rules. This level is suitable for daily O&M.: Memblokir serangan dengan cara standar menggunakan aturan umum. Level ini cocok untuk operasi sehari-hari.
  - Strict: blocks attacks in a strict manner by using all rules. This level is suitable for business that requires the false negative rate to be minimized, such as major events or cybersecurity protection activities launched by public service sectors. The activities are rehearsals for network attack and defense. This level may cause a higher false positive rate than the Medium level.: Memblokir serangan dengan cara ketat menggunakan semua aturan. Level ini cocok untuk bisnis yang memerlukan minimisasi tingkat false negative, seperti acara besar atau aktivitas perlindungan siber yang diluncurkan oleh sektor layanan publik. Aktivitas ini merupakan latihan simulasi serangan dan pertahanan jaringan. Level ini dapat menyebabkan tingkat false positive lebih tinggi dibandingkan level Medium.

Konfigurasikan kemampuan IPS

Anda dapat mengaktifkan fitur perlindungan dasar dan pembenahan virtual untuk memantau kebijakan perlindungan dasar dan pembenahan virtual yang diaktifkan.

Untuk mengonfigurasi kemampuan IPS, buka tab Batas VPC, temukan instance Cloud Enterprise Network (CEN) yang diperlukan atau firewall yang dibuat untuk sirkuit Express Connect, lalu klik Configure IPS Capabilities di kolom Actions.

Konfigurasikan daftar putih IPS

Anda dapat menambahkan alamat IP sumber tepercaya ke daftar putih masuk atau menambahkan alamat IP tujuan tepercaya ke daftar putih keluar. Setelah menambahkan alamat IP ke daftar putih, fitur perlindungan dasar, pertahanan cerdas, dan pembenahan virtual akan mengizinkan lalu lintas dari alamat IP tersebut. Anda dapat menambahkan hingga 50 alamat IP ke daftar putih alamat IP tujuan atau daftar putih alamat IP sumber.

Untuk menambahkan alamat IP ke daftar putih, buka tab Batas VPC, temukan instance CEN yang diperlukan atau firewall yang dibuat untuk sirkuit Express Connect, lalu klik Configure IPS Whitelist di kolom Actions.

Apa yang harus dilakukan selanjutnya

Setelah mengaktifkan Basic Protection, Anda dapat melihat lalu lintas berbahaya yang diblokir oleh Cloud Firewall di halaman Pencegahan Intrusi. Lalu lintas ini mencakup arus masuk, keluar, dan antar-VPC.
Di halaman Pencegahan Kerentanan, Anda dapat melihat informasi tentang kerentanan yang dapat dimanfaatkan oleh serangan siber. Kerentanan tersebut dideteksi otomatis oleh Security Center dan disinkronkan ke Cloud Firewall. Di halaman ini, Anda dapat mengaktifkan firewall Cloud Firewall serta mengonfigurasi aturan perlindungan IPS untuk mencegah eksploitasi kerentanan.
Di halaman Kesadaran Pelanggaran, Anda dapat melihat peristiwa intrusi yang terdeteksi oleh IPS beserta detailnya.
FAQ:
- Apa prioritas aturan yang digunakan oleh Cloud Firewall untuk melindungi lalu lintas?
- Mengapa lalu lintas serangan tidak diblokir setelah saya memilih mode blokir di halaman Konfigurasi Pencegahan?