Cloud Firewall dilengkapi mesin deteksi ancaman bawaan yang andal untuk memblokir lalu lintas berbahaya dan serangan internet umum secara real time, serta menyediakan pembenahan virtual yang tepat. Fitur Pengaturan Mitigasi memungkinkan Anda mengonfigurasi mode operasi mesin deteksi ancaman secara fleksibel. Anda dapat mengaktifkan dan menyesuaikan modul seperti intelijen ancaman, perlindungan dasar, pertahanan cerdas, dan pembenahan virtual guna mengidentifikasi serta memblokir potensi intrusi dengan akurasi lebih tinggi. Topik ini menjelaskan cara mengonfigurasi fitur intrusion prevention system (IPS).
Kemampuan IPS untuk Batas Internet
Mode operasi mesin deteksi ancaman
Setelah Anda mengaktifkan Cloud Firewall, mesin deteksi ancaman beroperasi dalam Block Mode secara default. Cloud Firewall secara otomatis memilih tingkat mode blok yang sesuai berdasarkan lalu lintas Anda. Perlindungan dasar dan pembenahan virtual hanya memblokir ancaman ketika Block Mode diaktifkan. Jika Block Mode dinonaktifkan, fitur pencegahan intrusi hanya memantau ancaman dan lalu lintas berbahaya tanpa memblokirnya.
Untuk informasi selengkapnya tentang mode operasi mesin deteksi ancaman, lihat Ikhtisar kemampuan IPS.
Masuk ke Konsol Cloud Firewall. Di panel navigasi kiri, pilih .
Pada tab Internet Border, atur Threat Engine Mode di bagian paling kanan.
Anda dapat memilih salah satu dari dua mode berikut untuk mesin deteksi ancaman:
Monitor: Saat mode Monitor diaktifkan, Cloud Firewall mencatat log dan memberikan peringatan terhadap serangan, tetapi tidak memblokirnya. Intelijen ancaman, perlindungan dasar, dan Pembenahan virtual semuanya beroperasi dalam mode ini.
Block: Saat mode Blok diaktifkan, Cloud Firewall memblokir lalu lintas berbahaya untuk mencegah serangan.
Pilih tingkat mode blok yang sesuai dengan kebutuhan perlindungan Anda:
Block - Loose: Menyediakan perlindungan kasar, terutama mencakup aturan dengan tingkat positif palsu rendah. Mode ini cocok untuk skenario bisnis yang sensitif terhadap positif palsu.
Block - Medium: Menyediakan perlindungan moderat antara kasar dan detail halus. Mode ini cocok untuk perlindungan O&M harian rutin.
Block - Strict: Menyediakan perlindungan detail halus, mencakup hampir semua aturan. Mode ini mungkin memiliki tingkat positif palsu lebih tinggi dibandingkan mode Medium dan cocok untuk skenario yang sensitif terhadap negatif palsu, seperti dukungan acara besar.
Pengenalan fungsi
Konfigurasi IPS untuk Batas Internet mendukung fitur seperti Perlindungan dasar, Pembenahan virtual, Intelijen ancaman, Pertahanan cerdas, Pendeteksian kebocoran data, dan Penelusuran IP Pribadi IPS. Gunakan sakelar di sebelah kiri untuk mengaktifkan atau menonaktifkan fitur-fitur ini.
Perlindungan dasar
Sakelar Basic Protection diaktifkan secara default. Cloud Firewall mengaktifkan aturan deteksi untuk ancaman umum, sehingga memberikan pencegahan intrusi dasar, termasuk memblokir kerentanan eksekusi perintah dan mengelola perilaku perangkat yang terinfeksi saat terhubung ke server command-and-control (C&C). Aktifkan perlindungan dasar untuk meningkatkan keamanan aset.
Ubah aturan perlindungan: Pada kolom Current Action, ubah aturan perlindungan. Aturan yang diubah akan ditandai sebagai aturan kustom.
Kembalikan ke aturan perlindungan default: Klik Restore to Default IPS Rules, lalu klik OK.
Aktifkan atau nonaktifkan aturan: Klik sakelar pada kolom Status.
Enabled: Aturan aktif. Aturan perlindungan kustom memiliki prioritas lebih tinggi daripada aturan default.
Disabled: Aturan tidak aktif.
Virtual Patching
Sakelar Virtual Patching diaktifkan secara default. Cloud Firewall menyediakan perlindungan real time terhadap kerentanan penting dan darurat yang populer. Pembenahan virtual memberikan patch panas pada lapisan jaringan untuk kerentanan penting dan darurat yang dapat dieksploitasi dari jarak jauh, memblokir serangan berbasis kerentanan secara real time, serta mencegah gangguan bisnis akibat perbaikan kerentanan di tingkat host. Anda tidak perlu menginstal patch virtual pada server Anda. Jika pembenahan virtual dinonaktifkan, fitur ini tidak dapat diperbarui secara otomatis dalam waktu nyata. Aktifkan semua patch virtual.
Ubah aturan perlindungan: Pada kolom Current Action, ubah aturan perlindungan. Aturan yang diubah akan ditandai sebagai aturan kustom.
Kembalikan ke aturan perlindungan default: Klik Restore to Default IPS Rules, lalu klik OK.
Aktifkan atau nonaktifkan aturan: Klik sakelar pada kolom Status.
Enabled: Aturan aktif. Aturan perlindungan kustom memiliki prioritas lebih tinggi daripada aturan default.
Disabled: Aturan tidak aktif.
Intelijen ancaman
Sakelar Threat Intelligence diaktifkan secara default. Cloud Firewall memindai intelijen ancaman dan menerapkan aksi Monitor atau Block. Fitur ini menyinkronkan alamat IP berbahaya yang terdeteksi di seluruh jaringan Alibaba Cloud—termasuk sumber akses berbahaya, sumber pemindaian, dan alamat IP sumber serangan brute-force—ke Cloud Firewall. Hal ini memungkinkan pemblokiran tepat sasaran dan deteksi dini terhadap ancaman jaringan. Aktifkan intelijen ancaman.
Pertahanan cerdas
Sakelar Intelligent Defense diaktifkan secara default. Cloud Firewall belajar dari data serangan di seluruh cloud untuk meningkatkan akurasi deteksi ancaman dan serangan. Saat ini, pertahanan cerdas hanya didukung ketika mesin deteksi ancaman beroperasi dalam mode Monitor.
Untuk mengaktifkan Intelligent Defense, aktifkan terlebih dahulu Basic Protection.
Kebocoran data
Cloud Firewall memeriksa lalu lintas keluar—lalu lintas dari aset bisnis Anda ke internet—untuk mendeteksi data sensitif guna membantu mengidentifikasi risiko kebocoran data sensitif.
Pertama, aktifkan pendeteksian kebocoran data untuk aset Anda.
Pada daftar Common Industry Template, tinjau tipe data yang dapat dideteksi oleh Cloud Firewall. Aktifkan deteksi untuk tipe data tertentu sesuai kebutuhan.
Klik Configure Assets, temukan aset publik target, lalu klik Enable Data Leak Detection pada kolom Actions.
Pada halaman Data Leak Detection, Anda dapat melihat dasbor pendeteksian kebocoran data yang disediakan oleh Cloud Firewall. Hal ini membantu Anda memahami informasi aset, event kebocoran, dan muatan berisiko terkait kebocoran data dengan lebih baik. Untuk informasi selengkapnya, lihat Pendeteksian Kebocoran Data.
Penelusuran IP Pribadi IPS
Pada skenario seperti penerapan NAT Gateway dan Server Load Balancer di mana alamat IP asli instans layanan tidak dipublikasikan, mengidentifikasi instans layanan spesifik yang sedang diserang—seperti instans ECS atau server—menjadi tantangan. Fitur IPS Private IP Tracing secara otomatis mengorelasikan session logs of NAT gateways dan menampilkan alamat IP privat yang sesuai. Hal ini mendukung pelacakan sumber serangan dan membantu Anda dengan cepat menemukan aset berisiko.
Fitur ini saat ini hanya mendukung aset publik tipe NAT Gateway.
Mengaktifkan Penelusuran IP Pribadi IPS tidak dikenai biaya tambahan untuk Cloud Firewall itu sendiri. Namun, sistem membuat index untuk session logs of NAT gateways Anda dan melakukan kueri, yang menghasilkan biaya. Untuk detail penagihan Simple Log Service (SLS), lihat standar penagihan SLS.
Ketika Penelusuran IP Pribadi IPS diaktifkan, jika sistem mendeteksi bahwa index untuk session logs of NAT gateways tidak diaktifkan atau tidak memiliki bidang yang diperlukan, sistem akan secara otomatis membuat ulang index atau menambahkan bidang yang hilang.
Pada halaman IPS Private IP Tracing, Anda dapat melihat daftar aset publik yang mendukung penelusuran. Untuk setiap NAT Gateway, Anda harus terlebih dahulu mengaktifkan Internet Firewall Status dan Session Log for NAT Gateway agar Cloud Firewall dapat melakukan penelusuran IP pribadi IPS. Saat Anda mengklik sakelar pada kolom Actions, prompt akan muncul. Klik tautan tersebut dan ikuti petunjuk untuk mengaktifkan fitur-fitur tersebut. Atau, rujuk dokumen konfigurasi berikut:
Aktifkan Internet Firewall Protection: Aktifkan firewall
Aktifkan NAT Session Log: Alur konfigurasi log sesi NAT
CatatanAnda tidak perlu mengaktifkan log sesi NAT jika hanya menggunakan DNAT.
Setelah Internet Firewall Protection dan NAT Session Log diaktifkan, klik OK untuk mengaktifkan IPS Private IP Tracing. Ketika IPS Private IP Tracing menampilkan Enabled, fitur penelusuran aktif untuk aset publik ini.
CatatanFitur Penelusuran IP Pribadi IPS dari Cloud Firewall bekerja sama dengan fitur log sesi NAT Gateway. Karena latensi data dalam pengambilan dan pengiriman log NAT Gateway, hasil kueri penelusuran IP pribadi mungkin tertunda sekitar 20 menit.
Daftar putih perlindungan
Untuk mengizinkan lalu lintas inbound dan outbound tepercaya untuk alamat IP tujuan atau sumber IPv4 dan IPv6 tertentu, tambahkan ke daftar putih perlindungan. Lalu lintas dari alamat IP dalam daftar putih perlindungan melewati aturan perlindungan dasar, pertahanan cerdas, dan pembenahan virtual. Anda dapat menambahkan hingga 50 alamat IP ke daftar putih IP tujuan kustom dan hingga 50 alamat IP ke daftar putih IP sumber kustom.
Di sisi kanan halaman, klik Whitelist untuk mengonfigurasinya.
Daftar putih perlindungan hanya berlaku untuk perlindungan dasar, pertahanan cerdas, dan pembenahan virtual.
Kemampuan IPS untuk batas VPC
Anda dapat mengonfigurasi perlindungan IPS untuk batas VPC hanya setelah mengaktifkan Firewall VPC.
Konfigurasikan kebijakan perlindungan dasar
Perlindungan dasar menyediakan pencegahan intrusi dasar, termasuk memblokir kerentanan eksekusi perintah dan mengelola perilaku perangkat yang terinfeksi saat terhubung ke server C&C. Fitur ini memberikan perlindungan garis dasar untuk aset Anda.
Klik .
Pada panel Basic Protection, konfigurasikan Current Action dan Status untuk aturan-aturan tersebut.
Ubah aturan perlindungan: Pada kolom Current Action, ubah aturan perlindungan. Aturan yang diubah akan ditandai sebagai aturan kustom.
Kembalikan ke aturan perlindungan default: Klik Restore All IPS Rules of VPC Firewall, lalu klik OK.
Aktifkan atau nonaktifkan aturan: Klik sakelar pada kolom Status.
Enabled: Aturan aktif. Aturan perlindungan kustom memiliki prioritas lebih tinggi daripada aturan default.
Disabled: Aturan tidak aktif.
Aturan perlindungan yang diaktifkan berlaku untuk semua firewall VPC dalam layanan Anda.
Konfigurasikan aturan pembenahan virtual
Cloud Firewall menyediakan perlindungan real time terhadap kerentanan penting dan darurat yang populer. Pembenahan virtual menangani kerentanan penting dan darurat yang dapat dieksploitasi dari jarak jauh dengan menerapkan patch lapisan jaringan secara real time untuk memblokir serangan berbasis kerentanan dan mencegah gangguan bisnis akibat perbaikan kerentanan di tingkat host. Anda tidak perlu menginstal patch virtual pada server Anda. Namun, jika pembenahan virtual dinonaktifkan, fitur ini tidak dapat diperbarui secara otomatis dalam waktu nyata.
Klik View Virtual Patching Policies.
Pada panel Virtual Patching, konfigurasikan Current Action dan Status untuk aturan-aturan tersebut.
Ubah aturan perlindungan: Pada kolom Current Action, ubah aturan perlindungan. Aturan yang diubah akan ditandai sebagai aturan kustom.
Kembalikan ke aturan perlindungan default: Klik Restore All IPS Rules of VPC Firewall, lalu klik OK.
Aktifkan atau nonaktifkan aturan: Klik sakelar pada kolom Status.
Enabled: Aturan aktif. Aturan perlindungan kustom memiliki prioritas lebih tinggi daripada aturan default.
Disabled: Aturan tidak aktif.
Aturan pembenahan virtual yang diaktifkan berlaku untuk semua firewall VPC dalam layanan Anda.
Konfigurasikan mode perlindungan IPS
Klik Configure IPS Mode.
Pada kotak dialog Configure IPS Mode, pilih mode perlindungan lalu klik OK.
Anda dapat memilih salah satu dari dua mode perlindungan IPS berikut:
Monitor Mode: Cloud Firewall memantau lalu lintas berbahaya dan menghasilkan peringatan.
Block Mode: Cloud Firewall memblokir lalu lintas berbahaya untuk mencegah intrusi. Anda dapat memilih tingkat perlindungan berdasarkan kebutuhan keamanan Anda.
Loose: blocks attacks in a loose manner by using rules that prevent a high rate of false positives. This level is suitable for business that requires the false positive rate to be minimized.
Medium: blocks attacks in a standard manner by using common rules. This level is suitable for daily O&M.
Strict: blocks attacks in a strict manner by using all rules. This level is suitable for business that requires the false negative rate to be minimized, such as major events or cybersecurity protection activities launched by public service sectors. The activities are rehearsals for network attack and defense. This level may cause a higher false positive rate than the Medium level.
Konfigurasikan kemampuan mitigasi IPS
Anda dapat mengonfigurasi perlindungan dasar dan pembenahan virtual. Setelah dikonfigurasi, Cloud Firewall memeriksa lalu lintas sesuai dengan kebijakan perlindungan dasar dan aturan pembenahan virtual yang diaktifkan.
Temukan ID instans CEN atau ID firewall Express Connect target. Pada kolom Actions, klik Configure IPS Capabilities untuk mengonfigurasi pengaturan.
Konfigurasikan daftar putih IPS
Untuk mengizinkan alamat IP tujuan atau sumber tepercaya, tambahkan ke daftar putih perlindungan. Lalu lintas dari alamat IP dalam daftar putih perlindungan melewati aturan perlindungan dasar, pertahanan cerdas, dan pembenahan virtual. Anda dapat menambahkan hingga 50 alamat IP ke daftar putih IP tujuan kustom dan hingga 50 alamat IP ke daftar putih IP sumber kustom.
Temukan ID instans CEN atau ID firewall Express Connect target. Pada kolom Actions, klik Configure IPS Whitelist untuk mengonfigurasi pengaturan.
Referensi
Setelah Anda mengaktifkan sakelar Basic Protection, buka halaman Pencegahan Intrusi untuk melihat lalu lintas inbound dan outbound yang tidak biasa dari internet dan antar-VPC yang diblokir oleh Cloud Firewall.
Setelah Anda mengaktifkan Cloud Firewall, buka halaman Pencegahan Kerentanan untuk melihat kerentanan yang dapat dieksploitasi melalui jaringan yang terdeteksi secara otomatis oleh fitur deteksi kerentanan Security Center dan disinkronkan ke Cloud Firewall. Halaman ini juga menampilkan kemampuan pencegahan serangan Cloud Firewall.
Setelah Anda mengaktifkan Cloud Firewall, buka halaman Deteksi Ancaman untuk melihat detail aktivitas intrusi yang terdeteksi oleh mesin deteksi ancaman.
FAQ: