全部产品
Search

搜索本产品

    :Cara kerja kebijakan kontrol akses

    文档中心

    :Cara kerja kebijakan kontrol akses

    更新时间:Jun 28, 2025

    Konfigurasi yang tidak tepat pada kebijakan kontrol akses dapat menyebabkan lalu lintas salah diizinkan atau ditolak, berpotensi menimbulkan risiko seperti kebocoran data, paparan internet, dan gangguan layanan. Kami menyarankan Anda mengevaluasi persyaratan bisnis sebelum mengonfigurasi kebijakan kontrol akses untuk memastikan pengelolaan lalu lintas yang tepat. Topik ini menjelaskan cara kerja kebijakan kontrol akses.

    Informasi Latar Belakang

    Secara default, jika tidak ada kebijakan kontrol akses yang dikonfigurasi, Cloud Firewall mengizinkan semua lalu lintas selama proses pencocokan kebijakan kontrol akses. Setelah Anda mengonfigurasi kebijakan kontrol akses, Cloud Firewall menyaring lalu lintas dan hanya mengizinkan lalu lintas yang memenuhi persyaratan tertentu.

    Istilah

    Tabel berikut mencantumkan istilah kunci terkait kebijakan kontrol akses, membantu Anda memahami cara kerjanya.

    Istilah

    Deskripsi

    item pencocokan

    Kebijakan kontrol akses berisi beberapa item, termasuk jenis sumber, alamat sumber, dan jenis tujuan. Saat lalu lintas melewati Cloud Firewall, Cloud Firewall mencocokkan paket lalu lintas terhadap item spesifik dari kebijakan kontrol akses secara berurutan. Item-item tersebut adalah alamat sumber, alamat tujuan, port tujuan, jenis protokol, aplikasi, dan nama domain.

    jenis tujuan

    Jenis alamat tujuan dalam kebijakan kontrol akses. Jenis tujuan yang didukung meliputi alamat IP, buku alamat, dan nama domain.

    Catatan

    Jenis tujuan yang didukung bervariasi berdasarkan jenis firewall. Jenis tujuan yang didukung yang ditampilkan di Konsol Cloud Firewall harus diutamakan.

    4-tuple

    Dalam topik ini, 4-tuple terdiri dari alamat IP sumber, alamat IP tujuan, port tujuan, dan jenis protokol.

    aplikasi

    Protokol lapisan aplikasi. Cloud Firewall mendukung berbagai jenis aplikasi, seperti HTTP, HTTPS, Simple Mail Transfer Protocol (SMTP), Simple Mail Transfer Protocol Secure (SMTPS), SSL, dan FTP. Anda dapat memilih hingga lima jenis aplikasi untuk kebijakan kontrol akses.

    Nilai ANY menentukan semua jenis aplikasi.

    Catatan

    Cloud Firewall mengidentifikasi aplikasi lalu lintas SSL dan TLS melalui port 443 sebagai HTTPS, dan lalu lintas SSL dan TLS melalui port lainnya sebagai SSL.

    logika pemisahan

    Saat Anda mengonfigurasi kebijakan kontrol akses, Anda dapat menentukan beberapa objek kontrol untuk item pencocokan yang berbeda. Nilai setiap item pencocokan dapat berupa objek kontrol independen. Sebagai contoh, Anda dapat menentukan blok CIDR 192.0.2.0/24, rentang port 80/88, dan port 22/22 sebagai objek kontrol.

    Setelah Anda mengonfigurasi kebijakan kontrol akses, Cloud Firewall membagi kebijakan menjadi satu atau lebih aturan pencocokan berdasarkan logika tertentu dan mengirimkan aturan pencocokan ke mesin. Setiap item pencocokan dari aturan pencocokan hanya dapat berisi satu objek kontrol.

    logika pencocokan

    Proses di mana Cloud Firewall mengevaluasi apakah lalu lintas jaringan memenuhi kondisi berdasarkan aturan pencocokan yang dibagi, dan melakukan tindakan yang ditentukan dalam kebijakan kontrol akses terkait berdasarkan hasil pencocokan.

    Jika jenis tujuan dari kebijakan kontrol akses adalah nama domain atau buku alamat domain, perhatikan mode identifikasi nama domain berikut:

    • Resolusi Dinamis Berbasis FQDN (Ekstrak Bidang Host dan SNI): Jika Aplikasi dari kebijakan diatur ke HTTP, HTTPS, SMTP, SMTPS, atau SSL, Cloud Firewall secara prioritas menggunakan bidang Host atau SNI untuk melakukan kontrol akses pada nama domain.

    • Resolusi Dinamis Berbasis DNS: Jika Aplikasi dari kebijakan diatur ke nilai selain HTTP, HTTPS, SSL, SMTP, atau SMTPS, Cloud Firewall melakukan resolusi dinamis berbasis Domain Name System (DNS) pada nama domain. Cloud Firewall dapat melakukan kontrol akses pada alamat IP yang diselesaikan dari nama domain. Nama domain dapat diselesaikan hingga 500 alamat IP.

    Alur Kerja

    Gambar berikut menunjukkan alur kerja kebijakan kontrol akses.

    1. Setelah Anda membuat kebijakan kontrol akses, Cloud Firewall membagi kebijakan menjadi satu atau lebih aturan pencocokan berdasarkan logika tertentu dan mengirimkan aturan pencocokan ke mesin. Untuk informasi lebih lanjut, lihat 1. Logika pemisahan kebijakan kontrol akses.

    2. Saat lalu lintas melewati Cloud Firewall, Cloud Firewall mencocokkan paket lalu lintas terhadap kebijakan kontrol akses berdasarkan prioritas kebijakan secara berurutan, dan mengizinkan atau menolak paket lalu lintas berdasarkan hasil pencocokan. Untuk informasi lebih lanjut, lihat 2. Logika pencocokan kebijakan kontrol akses.

      Jika paket lalu lintas sesuai dengan kebijakan, Cloud Firewall melakukan tindakan yang ditentukan dalam kebijakan, dan kebijakan berikutnya tidak dicocokkan. Jika tidak, Cloud Firewall terus mencocokkan paket lalu lintas terhadap kebijakan yang memiliki prioritas lebih rendah sampai kebijakan cocok atau semua kebijakan yang dikonfigurasikan telah dicocokkan. Secara default, jika lalu lintas tidak cocok dengan kebijakan setelah semua kebijakan yang dikonfigurasikan dicocokkan, lalu lintas diizinkan.

    1. Logika pemisahan kebijakan kontrol akses

    Setelah Anda membuat kebijakan kontrol akses, Cloud Firewall membagi kebijakan menjadi satu atau lebih aturan pencocokan berdasarkan logika tertentu dan mengirimkan aturan pencocokan ke mesin. Firewall internet, firewall NAT, dan firewall Virtual Private Cloud (VPC) mengimplementasikan kontrol akses untuk nama domain berdasarkan informasi nama domain dalam lalu lintas. Logika pemisahan kebijakan kontrol akses yang dibuat untuk firewall bervariasi berdasarkan apakah Cloud Firewall melakukan resolusi DNS pada nama domain.

    Penting

    • Setelah Anda membuat, memodifikasi, atau menghapus kebijakan kontrol akses, Cloud Firewall membutuhkan waktu sekitar 3 menit untuk mengirimkan aturan pencocokan ke mesin.

    • Setelah Cloud Firewall membagi kebijakan kontrol akses menjadi beberapa aturan pencocokan, saat Cloud Firewall mencocokkan lalu lintas terhadap kebijakan kontrol akses, Cloud Firewall mencocokkan lalu lintas terhadap aturan pencocokan secara berurutan. Jika lalu lintas sesuai dengan aturan pencocokan dari kebijakan kontrol akses, lalu lintas sesuai dengan kebijakan kontrol akses.

    • Untuk informasi lebih lanjut tentang resolusi DNS, lihat Resolusi DNS.

    Batas Internet

    Setelah Anda membuat kebijakan kontrol akses untuk firewall internet, Cloud Firewall membagi kebijakan menjadi aturan pencocokan berdasarkan Jenis Tujuan dan Aplikasi yang ditentukan untuk kebijakan. Gambar berikut menunjukkan logika pemisahan dan logika pencocokan kebijakan kontrol akses yang dibuat untuk firewall internet.

    Jenis tujuan adalah IP atau buku alamat IP

    Jika Jenis Tujuan dari kebijakan diatur ke IP atau Buku Alamat IP, Cloud Firewall membagi alamat sumber, alamat tujuan, jenis protokol, port, dan aplikasi berdasarkan jumlah objek kontrol yang ditentukan untuk setiap item pencocokan.

    Cloud Firewall mencocokkan lalu lintas terhadap kebijakan ini oleh 4-tuple dan aplikasi secara berurutan. Untuk informasi lebih lanjut, lihat Cocokkan lalu lintas oleh 4-tuple dan aplikasi secara berurutan.

    Contoh Pemisahan Kebijakan

    Kebijakan Kontrol Akses

    Aturan Pencocokan Setelah Pemisahan

    • Sumber: 192.0.2.0/24, 198.51.100.0/24

    • Tujuan: 203.0.113.0/24

    • Protokol: TCP

    • Port: 22/22, 80/88

    • Aplikasi: HTTP

    Aturan Pencocokan 1:

    • Sumber: 192.0.2.0/24

    • Tujuan: 203.0.113.0/24

    • Protokol: TCP

    • Port: 22/22

    • Aplikasi: HTTP

    Aturan Pencocokan 3:

    • Sumber: 198.51.100.0/24

    • Tujuan: 203.0.113.0/24

    • Protokol: TCP

    • Port: 22/22

    • Aplikasi: HTTP

    Aturan Pencocokan 2:

    • Sumber: 192.0.2.0/24

    • Tujuan: 203.0.113.0/24

    • Protokol: TCP

    • Port: 80/88

    • Aplikasi: HTTP

    Aturan Pencocokan 4:

    • Sumber: 198.51.100.0/24

    • Tujuan: 203.0.113.0/24

    • Protokol: TCP

    • Port: 80/88

    • Aplikasi: HTTP

    Jenis tujuan dari kebijakan adalah nama domain

    Jika Jenis Tujuan dari kebijakan diatur ke Nama Domain, Cloud Firewall mengidentifikasi aplikasi yang ditentukan dalam kebijakan, membagi kebijakan menjadi aturan pencocokan berdasarkan aplikasi, dan mengirimkan aturan pencocokan ke mesin.

    • Jika Aplikasi diatur ke HTTP, HTTPS, SMTP, SMTPS, SSL, atau kombinasi dari nilai-nilai tersebut dan Mode Identifikasi Nama Domain diatur ke Resolusi Dinamis Berbasis FQDN (Ekstrak Bidang Host dan SNI), Cloud Firewall tidak menyelesaikan nama domain ke alamat IP. Cloud Firewall menetapkan alamat tujuan ke 0.0.0.0/0, dan membagi nama domain, alamat sumber, jenis protokol, port, dan aplikasi berdasarkan jumlah objek kontrol yang ditentukan untuk setiap item pencocokan.

      Cloud Firewall mencocokkan lalu lintas dengan kebijakan ini berdasarkan 4-tuple, aplikasi, dan nama domain secara berurutan. Untuk informasi lebih lanjut, lihat Cocokkan lalu lintas berdasarkan 4-tuple, aplikasi, dan nama domain secara berurutan.

      Contoh Pemisahan Kebijakan

      Kebijakan kontrol akses

      Aturan pencocokan setelah pemisahan

      • Sumber: 192.0.2.0/24

      • Tujuan: www.aliyun.com

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: HTTP, HTTPS

      Aturan pencocokan 1:

      • Sumber: 192.0.2.0/24

      • Tujuan: 0.0.0.0/0

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: HTTP

      • Nama domain: www.aliyun.com

      Aturan pencocokan 2:

      • Sumber: 192.0.2.0/24

      • Tujuan: 0.0.0.0/0

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: HTTPS

      • Nama domain: www.aliyun.com

    • Jika Aplikasi diatur ke nilai selain HTTP, HTTPS, SMTP, SMTPS, SSL, atau ANY dan Mode Identifikasi Nama Domain diatur ke Resolusi Dinamis Berbasis DNS, Cloud Firewall menyelesaikan nama domain ke alamat IP, menetapkan alamat tujuan ke alamat IP yang diselesaikan, dan membagi alamat sumber, alamat tujuan, jenis protokol, port, dan aplikasi berdasarkan jumlah objek kontrol yang ditentukan untuk setiap item pencocokan.

      Cloud Firewall mencocokkan lalu lintas terhadap kebijakan ini oleh 4-tuple dan aplikasi secara berurutan. Untuk informasi lebih lanjut, lihat Cocokkan lalu lintas oleh 4-tuple dan aplikasi secara berurutan.

      Contoh Pemisahan Kebijakan

      Kebijakan kontrol akses

      Aturan pencocokan setelah pemisahan

      • Sumber: 203.0.113.0/24

      • Tujuan: www.aliyun.com

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: MySQL

      Catatan

      Asumsikan bahwa www.aliyun.com diselesaikan ke 106.XX.XX.5 dan 106.XX.XX.6.

      • Sumber: 203.0.113.0/24

      • Tujuan: 106.XX.XX.5

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: MySQL

      • Sumber: 203.0.113.0/24

      • Tujuan: 106.XX.XX.6

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: MySQL

    • Jika Aplikasi diatur ke ANY, atau kombinasi dari HTTP, HTTPS, SMTP, SMTPS, atau SSL dan aplikasi lain, Cloud Firewall membagi kebijakan menjadi dua jenis aturan pencocokan. Sebagai contoh, aplikasi dari kebijakan diatur ke HTTP dan MySQL.

      1. Jika Aplikasi diatur ke HTTP, HTTPS, SMTP, SMTPS, atau SSL dan Mode Identifikasi Nama Domain diatur ke Resolusi Dinamis Berbasis FQDN (Ekstrak Bidang Host dan SNI), Cloud Firewall tidak menyelesaikan nama domain ke alamat IP. Cloud Firewall menetapkan alamat tujuan ke 0.0.0.0/0, dan membagi nama domain, alamat sumber, jenis protokol, port, dan aplikasi berdasarkan jumlah objek kontrol yang ditentukan untuk setiap item pencocokan.

        Cloud Firewall mencocokkan lalu lintas terhadap kebijakan ini oleh 4-tuple, aplikasi, dan nama domain secara berurutan. Untuk informasi lebih lanjut, lihat Cocokkan lalu lintas oleh 4-tuple, aplikasi, dan nama domain secara berurutan.

      2. Jika Aplikasi diatur ke ANY dan Mode Identifikasi Nama Domain diatur ke Resolusi Dinamis Berbasis DNS, Cloud Firewall menyelesaikan nama domain ke alamat IP, menetapkan alamat tujuan ke alamat IP yang diselesaikan, dan membagi alamat sumber, alamat tujuan, jenis protokol, port, dan aplikasi berdasarkan jumlah objek kontrol yang ditentukan untuk setiap item pencocokan.

        Cloud Firewall mencocokkan lalu lintas terhadap kebijakan ini oleh 4-tuple dan aplikasi secara berurutan. Untuk informasi lebih lanjut, lihat Cocokkan lalu lintas oleh 4-tuple dan aplikasi secara berurutan.

      Contoh Pemisahan Kebijakan

      Kebijakan Kontrol Akses

      Aturan Pencocokan Setelah Pemisahan

      • Sumber: 192.0.2.0/24

      • Tujuan: www.aliyun.com

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: ANY

      Catatan

      Asumsikan bahwa www.aliyun.com diselesaikan ke 106.XX.XX.5 dan 106.XX.XX.6.

      Aturan Pencocokan 1:

      • Sumber: 192.0.2.0/24

      • Tujuan: 0.0.0.0/0

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: HTTP

      • Nama Domain: www.aliyun.com

      Aturan Pencocokan 3:

      • Sumber: 192.0.2.0/24

      • Tujuan: 0.0.0.0/0

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: HTTPS

      • Nama Domain: www.aliyun.com

      Aturan Pencocokan 2:

      • Sumber: 192.0.2.0/24

      • Tujuan: 0.0.0.0/0

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: SMTP

      • Nama Domain: www.aliyun.com

      Aturan Pencocokan 4:

      • Sumber: 192.0.2.0/24

      • Tujuan: 0.0.0.0/0

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: SMTPS

      • Nama Domain: www.aliyun.com

      Aturan Pencocokan 5:

      • Sumber: 192.0.2.0/24

      • Tujuan: 0.0.0.0/0

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: SSL

      • Nama Domain: www.aliyun.com

      Aturan Pencocokan 6:

      • Sumber: 192.0.2.0/24

      • Tujuan: 106.XX.XX.5

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: ANY

      Aturan Pencocokan 7:

      • Sumber: 192.0.2.0/24

      • Tujuan: 106.XX.XX.6

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: ANY

      • Sumber: 198.51.100.0/24

      • Tujuan: www.aliyun.com

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: HTTP, MySQL

      Catatan

      Asumsikan bahwa www.aliyun.com diselesaikan ke 106.XX.XX.5 dan 106.XX.XX.6.

      Aturan Pencocokan 1:

      • Sumber: 198.51.100.0/24

      • Tujuan: 0.0.0.0/0

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: HTTP

      • Nama Domain: www.aliyun.com

      Aturan Pencocokan 2:

      • Sumber: 198.51.100.0/24

      • Tujuan: 106.XX.XX.6

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: MySQL

      Aturan Pencocokan 3:

      • Sumber: 198.51.100.0/24

      • Tujuan: 106.XX.XX.5

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: MySQL

    Jenis tujuan dari kebijakan adalah buku alamat domain

    Jika Jenis Tujuan dari kebijakan diatur ke Buku Alamat Domain dan Mode Identifikasi Nama Domain diatur ke Resolusi Dinamis Berbasis FQDN (Ekstrak Bidang Host dan SNI), Aplikasi hanya dapat diatur ke HTTP, HTTPS, SMTP, SMTPS, atau SSL. Jika jenis tujuan adalah buku alamat domain, alamat tujuan adalah beberapa nama domain. Dalam hal ini, Cloud Firewall tidak menyelesaikan nama domain ke alamat IP. Cloud Firewall menetapkan alamat tujuan ke 0.0.0.0/0, dan membagi nama domain, alamat sumber, jenis protokol, port, dan aplikasi berdasarkan jumlah objek kontrol yang ditentukan untuk setiap item pencocokan.

    Cloud Firewall mencocokkan lalu lintas terhadap kebijakan ini oleh 4-tuple, aplikasi, dan nama domain secara berurutan. Untuk informasi lebih lanjut, lihat Cocokkan lalu lintas oleh 4-tuple, aplikasi, dan nama domain secara berurutan.

    Contoh Pemisahan Kebijakan

    Kebijakan Kontrol Akses

    Aturan Pencocokan Setelah Pemisahan

    • Sumber: 192.0.2.0/24

    • Tujuan: www.aliyun.com, www.example.com

    • Protokol: TCP

    • Port: 0/0

    • Aplikasi: HTTP, HTTPS

    Aturan Pencocokan 1:

    • Sumber: 192.0.2.0/24

    • Tujuan: 0.0.0.0/0

    • Protokol: TCP

    • Port: 0/0

    • Aplikasi: HTTP

    • Nama Domain: www.aliyun.com

    Aturan Pencocokan 2:

    • Sumber: 192.0.2.0/24

    • Tujuan: 0.0.0.0/0

    • Protokol: TCP

    • Port: 0/0

    • Aplikasi: HTTPS

    • Nama Domain: www.aliyun.com

    Aturan Pencocokan 3:

    • Sumber: 192.0.2.0/24

    • Tujuan: 0.0.0.0/0

    • Protokol: TCP

    • Port: 0/0

    • Aplikasi: HTTP

    • Nama Domain: www.example.com

    Aturan Pencocokan 4:

    • Sumber: 192.0.2.0/24

    • Tujuan: 0.0.0.0/0

    • Protokol: TCP

    • Port: 0/0

    • Aplikasi: HTTPS

    • Nama Domain: www.example.com

    Batas NAT

    Saat Anda mengonfigurasi kebijakan kontrol akses untuk firewall NAT, jika Anda mengonfigurasi kebijakan kontrol akses berbasis nama domain, Anda dapat mengonfigurasi parameter Mode Identifikasi Nama Domain. Cloud Firewall menentukan apakah akan melakukan resolusi DNS pada nama domain berdasarkan nilai parameter tersebut. Gambar berikut menunjukkan logika pemisahan dan logika pencocokan kebijakan kontrol akses yang dibuat untuk firewall NAT.

    Jenis tujuan adalah IP atau buku alamat IP

    Jika Jenis Tujuan dari kebijakan diatur ke IP atau Buku Alamat IP, Cloud Firewall membagi alamat sumber, alamat tujuan, jenis protokol, port, dan aplikasi berdasarkan jumlah objek kontrol yang ditentukan untuk setiap item pencocokan.

    Cloud Firewall mencocokkan lalu lintas terhadap kebijakan ini oleh 4-tuple dan aplikasi secara berurutan. Untuk informasi lebih lanjut, lihat Cocokkan lalu lintas oleh 4-tuple dan aplikasi secara berurutan.

    Contoh Pemisahan Kebijakan

    Kebijakan Kontrol Akses

    Aturan Pencocokan Setelah Pemisahan

    • Sumber: 10.0.0.0/8, 192.168.0.0/24

    • Tujuan: 192.0.2.0/24

    • Protokol: TCP

    • Port: 22/22, 80/88

    • Aplikasi: HTTP

    Aturan Pencocokan 1:

    • Sumber: 10.0.0.0/8

    • Tujuan: 192.0.2.0/24

    • Protokol: TCP

    • Port: 22/22

    • Aplikasi: HTTP

    Aturan Pencocokan 3:

    • Sumber: 10.0.0.0/8

    • Tujuan: 192.0.2.0/24

    • Protokol: TCP

    • Port: 22/22

    • Aplikasi: HTTP

    Aturan Pencocokan 2:

    • Sumber: 192.168.0.0/24

    • Tujuan: 192.0.2.0/24

    • Protokol: TCP

    • Port: 80/88

    • Aplikasi: HTTP

    Aturan Pencocokan 4:

    • Sumber: 192.168.0.0/24

    • Tujuan: 192.0.2.0/24

    • Protokol: TCP

    • Port: 80/88

    • Aplikasi: HTTP

    Jenis tujuan dari kebijakan adalah nama domain

    Jika Jenis Tujuan dari kebijakan diatur ke Nama Domain, Cloud Firewall membagi kebijakan berdasarkan mode identifikasi nama domain.

    • Jika Mode Identifikasi Nama Domain diatur ke Resolusi Dinamis Berbasis FQDN (Ekstrak Bidang Host dan SNI), Aplikasi hanya dapat diatur ke HTTP, HTTPS, SMTP, SMTPS, SSL, atau kombinasi dari nilai-nilai tersebut. Dalam mode ini, Cloud Firewall tidak menyelesaikan nama domain ke alamat IP. Cloud Firewall menetapkan alamat tujuan ke 0.0.0.0/0, dan membagi nama domain, alamat sumber, jenis protokol, port, dan aplikasi berdasarkan jumlah objek kontrol yang ditentukan untuk setiap item pencocokan.

      Cloud Firewall mencocokkan lalu lintas terhadap kebijakan ini oleh 4-tuple, aplikasi, dan nama domain secara berurutan. Untuk informasi lebih lanjut, lihat Cocokkan lalu lintas oleh 4-tuple, aplikasi, dan nama domain secara berurutan.

      Contoh Pemisahan Kebijakan

      Kebijakan Kontrol Akses

      Aturan Pencocokan Setelah Pemisahan

      • Sumber: 192.168.7.10/32

      • Tujuan: www.aliyun.com

        Mode Identifikasi Nama Domain: Resolusi Dinamis Berbasis FQDN (Ekstrak Bidang Host dan SNI)

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: HTTP, HTTPS

      Aturan Pencocokan 1:

      • Sumber: 192.168.7.10/32

      • Tujuan: 0.0.0.0/0

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: HTTP

      • Nama Domain: www.aliyun.com

      Aturan Pencocokan 2:

      • Sumber: 192.168.7.10/32

      • Tujuan: 0.0.0.0/0

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: HTTPS

      • Nama Domain: www.aliyun.com

    • Jika Mode Identifikasi Nama Domain diatur ke Resolusi Dinamis Berbasis DNS, Cloud Firewall membagi kebijakan berdasarkan aplikasi.

      • Jika Aplikasi diatur ke HTTP, HTTPS, SMTP, SMTPS, SSL, atau kombinasi dari nilai-nilai tersebut, Cloud Firewall tidak menyelesaikan nama domain ke alamat IP. Cloud Firewall menetapkan alamat tujuan ke 0.0.0.0/0, dan membagi nama domain, alamat sumber, jenis protokol, port, dan aplikasi berdasarkan jumlah objek kontrol yang ditentukan untuk setiap item pencocokan.

        Cloud Firewall mencocokkan lalu lintas terhadap kebijakan ini oleh 4-tuple, aplikasi, dan nama domain secara berurutan. Untuk informasi lebih lanjut, lihat Cocokkan lalu lintas oleh 4-tuple, aplikasi, dan nama domain secara berurutan.

      • Jika Aplikasi dari kebijakan diatur ke nilai selain HTTP, HTTPS, SMTP, SMTPS, dan SSL, Cloud Firewall menyelesaikan nama domain ke alamat IP, menetapkan alamat tujuan aturan pencocokan ke alamat IP yang diselesaikan, dan membagi alamat sumber, alamat tujuan, jenis protokol, port, dan aplikasi berdasarkan jumlah objek kontrol yang ditentukan untuk setiap item pencocokan.

        Cloud Firewall mencocokkan lalu lintas terhadap kebijakan ini oleh 4-tuple dan aplikasi secara berurutan. Untuk informasi lebih lanjut, lihat Cocokkan lalu lintas oleh 4-tuple dan aplikasi secara berurutan.

      • Jika Aplikasi diatur ke ANY, atau kombinasi dari HTTP, HTTPS, SMTP, SMTPS, atau SSL dan aplikasi lain, Cloud Firewall membagi kebijakan menjadi dua jenis aturan pencocokan. Sebagai contoh, Aplikasi diatur ke HTTP dan MySQL.

        Saat Cloud Firewall mencocokkan lalu lintas terhadap kebijakan ini, Cloud Firewall mengklasifikasikan lalu lintas berdasarkan aturan pencocokan, dan secara terpisah mencocokkan lalu lintas oleh 4-tuple, aplikasi, dan nama domain, dan 4-tuple dan aplikasi. Untuk informasi lebih lanjut, lihat Cocokkan lalu lintas oleh 4-tuple dan aplikasi secara berurutan dan Cocokkan lalu lintas oleh 4-tuple, aplikasi, dan nama domain secara berurutan.

      Contoh Pemisahan Kebijakan

      Kebijakan Kontrol Akses

      Aturan Pencocokan Setelah Pemisahan

      • Sumber: 192.168.7.10/32

      • Tujuan: www.aliyun.com

        Mode Identifikasi Nama Domain: Resolusi Dinamis Berbasis DNS

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: ANY

      Catatan

      Asumsikan bahwa www.aliyun.com diselesaikan ke 106.XX.XX.5 dan 106.XX.XX.6.

      Aturan Pencocokan 1:

      • Sumber: 192.168.7.10/32

      • Tujuan: 0.0.0.0/0

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: HTTP

      • Nama Domain: www.aliyun.com

      Aturan Pencocokan 2:

      • Sumber: 192.168.7.10/32

      • Tujuan: 0.0.0.0/0

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: HTTPS

      • Nama Domain: www.aliyun.com

      Aturan Pencocokan 3:

      • Sumber: 192.168.7.10/32

      • Tujuan: 0.0.0.0/0

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: SMTP

      • Nama Domain: www.aliyun.com

      Aturan Pencocokan 4:

      • Sumber: 192.168.7.10/32

      • Tujuan: 0.0.0.0/0

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: SMTPS

      • Nama Domain: www.aliyun.com

      Aturan Pencocokan 5:

      • Sumber: 192.168.7.10/32

      • Tujuan: 0.0.0.0/0

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: SSL

      • Nama Domain: www.aliyun.com

      Aturan Pencocokan 6:

      • Sumber: 192.168.7.10/32

      • Tujuan: 106.XX.XX.5

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: ANY

      Aturan Pencocokan 7:

      • Sumber: 192.168.7.10/32

      • Tujuan: 106.XX.XX.6

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: ANY

      • Sumber: 172.16.10.10/32

      • Tujuan: www.aliyun.com

        Mode Identifikasi Nama Domain: Resolusi Dinamis Berbasis DNS

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: HTTP, MySQL

      Catatan

      Asumsikan bahwa www.aliyun.com diselesaikan ke 106.XX.XX.5 dan 106.XX.XX.6.

      Aturan Pencocokan 1:

      • Sumber: 172.16.10.10/32

      • Tujuan: 106.XX.XX.5

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: MySQL

      Aturan Pencocokan 2:

      • Sumber: 172.16.10.10/32

      • Tujuan: 106.XX.XX.6

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: MySQL

      Aturan Pencocokan 3:

      • Sumber: 172.16.10.10/32

      • Tujuan: 0.0.0.0/0

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: HTTP

      • Nama Domain: www.aliyun.com

    • Jika Mode Identifikasi Nama Domain diatur ke Resolusi Dinamis Berbasis FQDN dan DNS, Aplikasi hanya dapat diatur ke HTTP, HTTPS, SMTP, SMTPS, SSL, atau ANY. Dalam mode ini, Cloud Firewall membagi kebijakan berdasarkan aplikasi.

      • Jika Aplikasi diatur ke HTTP, HTTPS, SMTP, SMTPS, SSL, atau kombinasi dari nilai-nilai tersebut, Cloud Firewall tidak menyelesaikan nama domain ke alamat IP. Cloud Firewall menetapkan alamat tujuan ke 0.0.0.0/0, dan membagi nama domain, alamat sumber, jenis protokol, port, dan aplikasi berdasarkan jumlah objek kontrol yang ditentukan untuk setiap item pencocokan.

      • Jika Aplikasi diatur ke ANY, Cloud Firewall membagi kebijakan menjadi dua jenis aturan pencocokan:

        • Jika Aplikasi diatur ke HTTP, HTTPS, SMTP, SMTPS, atau SSL, Cloud Firewall tidak menyelesaikan nama domain ke alamat IP. Cloud Firewall menetapkan alamat tujuan ke 0.0.0.0/0, dan membagi nama domain, alamat sumber, jenis protokol, port, dan aplikasi berdasarkan jumlah objek kontrol yang ditentukan untuk setiap item pencocokan.

          Cloud Firewall mencocokkan lalu lintas terhadap kebijakan ini oleh 4-tuple, aplikasi, dan nama domain secara berurutan. Untuk informasi lebih lanjut, lihat Cocokkan lalu lintas oleh 4-tuple, aplikasi, dan nama domain secara berurutan.

        • Jika Aplikasi diatur ke ANY, Cloud Firewall menyelesaikan nama domain ke alamat IP, menetapkan alamat tujuan ke alamat IP yang diselesaikan, dan membagi alamat sumber, alamat tujuan, jenis protokol, port, dan aplikasi berdasarkan jumlah objek kontrol yang ditentukan untuk setiap item pencocokan.

          Cloud Firewall mencocokkan lalu lintas terhadap kebijakan ini oleh 4-tuple dan aplikasi secara berurutan. Untuk informasi lebih lanjut, lihat Cocokkan lalu lintas oleh 4-tuple dan aplikasi secara berurutan.

    Jenis tujuan dari kebijakan adalah buku alamat domain

    Jika Jenis Tujuan dari kebijakan diatur ke Buku Alamat Domain, Mode Identifikasi Nama Domain hanya dapat diatur ke Resolusi Dinamis Berbasis FQDN (Ekstrak Bidang Host dan SNI), dan Aplikasi hanya dapat diatur ke HTTP, HTTPS, SMTP, SMTPS, atau SSL. Dalam hal ini, Cloud Firewall tidak menyelesaikan nama domain ke alamat IP. Cloud Firewall menetapkan alamat tujuan ke 0.0.0.0/0, dan membagi nama domain, alamat sumber, jenis protokol, port, dan aplikasi berdasarkan jumlah objek kontrol yang ditentukan untuk setiap item pencocokan.

    Cloud Firewall mencocokkan lalu lintas terhadap kebijakan ini oleh 4-tuple, aplikasi, dan nama domain secara berurutan. Untuk informasi lebih lanjut, lihat Cocokkan lalu lintas oleh 4-tuple, aplikasi, dan nama domain secara berurutan.

    Contoh Pemisahan Kebijakan

    Kebijakan Kontrol Akses

    Aturan Pencocokan Setelah Pemisahan

    • Sumber: 10.0.0.0/8

    • Tujuan: www.aliyun.com, www.example.com

      Mode Identifikasi Nama Domain: Resolusi Dinamis Berbasis FQDN dan DNS

    • Protokol: TCP

    • Port: 0/0

    • Aplikasi: HTTP, HTTPS

    Aturan Pencocokan 1:

    • Sumber: 10.0.0.0/8

    • Tujuan: 0.0.0.0/0

    • Protokol: TCP

    • Port: 0/0

    • Aplikasi: HTTP

    • Nama Domain: www.aliyun.com

    Aturan Pencocokan 2:

    • Sumber: 10.0.0.0/8

    • Tujuan: 0.0.0.0/0

    • Protokol: TCP

    • Port: 0/0

    • Aplikasi: HTTPS

    • Nama Domain: www.aliyun.com

    Aturan Pencocokan 3:

    • Sumber: 10.0.0.0/8

    • Tujuan: 0.0.0.0/0

    • Protokol: TCP

    • Port: 0/0

    • Aplikasi: HTTP

    • Nama Domain: www.example.com

    Aturan Pencocokan 4:

    • Sumber: 10.0.0.0/8

    • Tujuan: 0.0.0.0/0

    • Protokol: TCP

    • Port: 0/0

    • Aplikasi: HTTPS

    • Nama Domain: www.example.com

    Batas VPC

    Kebijakan kontrol akses yang dibuat untuk firewall VPC tidak mendukung resolusi DNS. Setelah Anda mengonfigurasi kebijakan kontrol akses untuk firewall VPC, Cloud Firewall mengidentifikasi jenis tujuan dari kebijakan dan kemudian membagi kebijakan berdasarkan jenis tujuan. Gambar berikut menunjukkan logika pemisahan dan logika pencocokan kebijakan kontrol akses yang dibuat untuk firewall VPC.

    Jenis tujuan adalah IP atau buku alamat IP

    Jika Jenis Tujuan dari kebijakan diatur ke IP atau Buku Alamat IP, Cloud Firewall membagi alamat sumber, alamat tujuan, jenis protokol, port, dan aplikasi berdasarkan jumlah objek kontrol yang ditentukan untuk setiap item pencocokan.

    Cloud Firewall mencocokkan lalu lintas terhadap kebijakan ini oleh 4-tuple dan aplikasi secara berurutan. Untuk informasi lebih lanjut, lihat Cocokkan lalu lintas oleh 4-tuple dan aplikasi secara berurutan.

    Contoh Pemisahan Kebijakan

    Kebijakan Kontrol Akses

    Aturan Pencocokan Setelah Pemisahan

    • Sumber: 10.0.0.0/8, 192.168.0.0/16

    • Tujuan: 172.16.0.0/12

    • Protokol: TCP

    • Port: 22/22, 80/88

    • Aplikasi: HTTP

    Aturan Pencocokan 1:

    • Sumber: 10.0.0.0/8

    • Tujuan: 172.16.0.0/12

    • Protokol: TCP

    • Port: 22/22

    • Aplikasi: HTTP

    Aturan Pencocokan 3:

    • Sumber: 192.168.0.0/16

    • Tujuan: 172.16.0.0/12

    • Protokol: TCP

    • Port: 22/22

    • Aplikasi: HTTP

    Aturan Pencocokan 2:

    • Sumber: 10.0.0.0/8

    • Tujuan: 172.16.0.0/12

    • Protokol: TCP

    • Port: 80/88

    • Aplikasi: HTTP

    Aturan Pencocokan 4:

    • Sumber: 192.168.0.0/16

    • Tujuan: 172.16.0.0/12

    • Protokol: TCP

    • Port: 80/88

    • Aplikasi: HTTP

    Jenis tujuan adalah nama domain atau buku alamat domain

    Jika Jenis Tujuan dari kebijakan diatur ke Nama Domain atau Buku Alamat Domain, Aplikasi hanya dapat diatur ke HTTP, HTTPS, SMTP, SMTPS, SSL, atau kombinasi dari nilai-nilai tersebut. Dalam mode ini, Cloud Firewall tidak menyelesaikan nama domain ke alamat IP. Cloud Firewall menetapkan alamat tujuan aturan pencocokan ke 0.0.0.0/0, dan membagi nama domain, alamat sumber, jenis protokol, port, dan aplikasi berdasarkan jumlah objek kontrol yang ditentukan untuk setiap item pencocokan.

    Cloud Firewall mencocokkan lalu lintas terhadap kebijakan ini oleh 4-tuple, aplikasi, dan nama domain secara berurutan. Untuk informasi lebih lanjut, lihat Cocokkan lalu lintas oleh 4-tuple, aplikasi, dan nama domain secara berurutan.

    Contoh Pemisahan Kebijakan

    Kebijakan kontrol akses

    Aturan pencocokan setelah pemisahan

    • Sumber: 10.0.0.0/8

    • Tujuan: www.aliyun.com

    • Protokol: TCP

    • Port: 0/0

    • Aplikasi: HTTP, HTTPS

    Aturan pencocokan 1:

    • Sumber: 10.0.0.0/8

    • Tujuan: 0.0.0.0/0

    • Protokol: TCP

    • Port: 0/0

    • Aplikasi: HTTP

    • Nama domain: www.aliyun.com

    Aturan pencocokan 2:

    • Sumber: 10.0.0.0/8

    • Tujuan: 0.0.0.0/0

    • Protokol: TCP

    • Port: 0/0

    • Aplikasi: HTTPS

    • Nama domain: www.aliyun.com

    2. Logika pencocokan kebijakan kontrol akses

    Saat lalu lintas melewati Cloud Firewall, Cloud Firewall mencocokkan paket lalu lintas terhadap kebijakan kontrol akses, aturan intelijen ancaman, aturan perlindungan dasar, aturan pertahanan cerdas, dan aturan pembenahan virtual, dan kemudian melakukan tindakan berdasarkan hasil pencocokan. Bagian ini menjelaskan logika pencocokan kebijakan kontrol akses. Untuk informasi lebih lanjut tentang urutan pencocokan dalam fase pencocokan lalu lintas yang berbeda, lihat FAQ tentang analisis lalu lintas.

    Cloud Firewall mencocokkan lalu lintas oleh 4-tuple dan aplikasi secara berurutan atau oleh 4-tuple, aplikasi, dan nama domain secara berurutan.

    Cocokkan lalu lintas oleh 4-tuple dan aplikasi secara berurutan

    Dalam skenario tertentu, saat lalu lintas melewati Cloud Firewall, Cloud Firewall mencocokkan 4-tuple dan aplikasi dari lalu lintas terhadap 4-tuple dan aplikasi dari kebijakan kontrol akses. Jika lalu lintas cocok dengan 4-tuple dan aplikasi, lalu lintas sesuai dengan kebijakan kontrol akses.

    Daftar berikut menjelaskan skenario:

    • Jenis Tujuan dari kebijakan kontrol akses diatur ke IP atau Buku Alamat IP.

    • Jenis Tujuan dari kebijakan kontrol akses diatur ke Nama Domain, dan Aplikasi diatur ke ANY dan aplikasi lainnya, tidak termasuk HTTP, HTTPS, SMTP, SMTPS, dan SSL.

    • Jenis Tujuan dari kebijakan kontrol akses diatur ke Nama Domain, dan Aplikasi diatur ke ANY, dan aplikasi dari aturan pencocokan yang dibagi adalah selain HTTP, HTTPS, SMTP, SMTPS, atau SSL.

    Diagram alir berikut menunjukkan cara Cloud Firewall mencocokkan lalu lintas oleh 4-tuple dan aplikasi secara berurutan.

    1. Saat lalu lintas melewati Cloud Firewall, Cloud Firewall mencocokkan lalu lintas terhadap 4-tuple dari kebijakan kontrol akses.

      • Jika lalu lintas sesuai dengan 4-tuple dari kebijakan kontrol akses, Cloud Firewall melanjutkan untuk mencocokkan aplikasi dari lalu lintas terhadap aplikasi dari kebijakan dan melakukan Langkah 2.

      • Jika lalu lintas tidak sesuai dengan 4-tuple dari kebijakan kontrol akses, Cloud Firewall tidak lagi mencocokkan lalu lintas terhadap kebijakan kontrol akses ini, dan menentukan apakah ada kebijakan kontrol akses dengan prioritas lebih rendah yang tersedia.

        • Jika ya, Cloud Firewall mencocokkan 4-tuple dari lalu lintas terhadap 4-tuple dari kebijakan yang memiliki prioritas lebih rendah sampai lalu lintas cocok dengan kebijakan. Lalu, Cloud Firewall mencocokkan aplikasi dari lalu lintas terhadap aplikasi dari kebijakan yang memiliki prioritas lebih rendah, dan melakukan Langkah 2.

          Jika lalu lintas tidak sesuai dengan kebijakan kontrol akses setelah semua kebijakan dicocokkan, proses pencocokan kebijakan kontrol akses berakhir.

        • Jika tidak, proses pencocokan kebijakan kontrol akses berakhir.

    2. Cloud Firewall mencocokkan aplikasi dari lalu lintas dengan aplikasi yang tercantum dalam kebijakan kontrol akses.

      • Jika Cloud Firewall mengidentifikasi aplikasi dari lalu lintas dan aplikasi tersebut sesuai dengan aplikasi dalam kebijakan kontrol akses, Cloud Firewall akan menjalankan tindakan yang ditentukan dalam kebijakan, yaitu Mengizinkan atau Menolak.

      • Jika Cloud Firewall mengidentifikasi aplikasi dari lalu lintas tetapi aplikasi tersebut tidak sesuai dengan aplikasi dalam kebijakan kontrol akses, Cloud Firewall memeriksa apakah ada kebijakan kontrol akses lainnya.

        • Jika ada, sistem melanjutkan pencocokan 4-tuple dari lalu lintas dengan 4-tuple dari kebijakan kontrol akses berprioritas lebih rendah hingga ditemukan kesesuaian antara lalu lintas dan aplikasi dalam kebijakan kontrol akses.

          Jika lalu lintas tidak sesuai dengan kebijakan kontrol akses setelah semua kebijakan dicocokkan, proses pencocokan kebijakan kontrol akses dihentikan.

        • Jika tidak ada kebijakan lain, proses pencocokan kebijakan kontrol akses dihentikan.

      • Jika Cloud Firewall tidak dapat mengidentifikasi aplikasi dari lalu lintas, sistem menentukan apakah Mode Identifikasi Nama Domain disetel ke Ketat atau Longgar.

        • Dalam mode Longgar, Cloud Firewall secara default mengizinkan paket lalu lintas untuk memastikan kelangsungan bisnis Anda tidak terganggu.

        • Dalam mode Ketat, Cloud Firewall tidak langsung mengizinkan paket lalu lintas, tetapi melanjutkan pencocokan paket lalu lintas dengan kebijakan kontrol akses berprioritas lebih rendah hingga ditemukan kebijakan yang sesuai. Setelah itu, Cloud Firewall menjalankan tindakan yang ditentukan dalam kebijakan, yaitu Mengizinkan atau Menolak.

          Jika tidak ada kebijakan kontrol akses yang cocok setelah semua kebijakan dicocokkan, Cloud Firewall secara otomatis mengizinkan lalu lintas.

    Cocokkan lalu lintas oleh 4-tuple, aplikasi, dan nama domain secara berurutan

    Dalam skenario tertentu, saat lalu lintas melewati Cloud Firewall, Cloud Firewall mencocokkan 4-tuple dan aplikasi dari lalu lintas terhadap 4-tuple dan aplikasi dari kebijakan kontrol akses. Jika lalu lintas cocok dengan 4-tuple dan aplikasi, lalu lintas sesuai dengan kebijakan kontrol akses.

    Daftar berikut menjelaskan skenario:

    • Jenis Tujuan dari kebijakan kontrol akses diatur ke Nama Domain, dan Aplikasi dari kebijakan diatur ke HTTP, HTTPS, SMTP, SMTPS, dan SSL.

    • Jenis Tujuan dari kebijakan kontrol akses adalah Nama Domain, Aplikasi dari kebijakan diatur ke ANY, dan aplikasi dari aturan pencocokan yang dibagi adalah HTTP, HTTPS, SMTP, SMTPS, dan SSL.

    • Jenis Tujuan dari kebijakan kontrol akses adalah Buku Alamat Domain.

    Prosedur berikut menunjukkan cara Cloud Firewall mencocokkan lalu lintas oleh 4-tuple, aplikasi, dan nama domain secara berurutan:

    1. Saat lalu lintas melewati Cloud Firewall, Cloud Firewall mencocokkan lalu lintas terhadap 4-tuple dari kebijakan kontrol akses.

      • Jika lalu lintas sesuai dengan 4-tuple dari kebijakan kontrol akses, Cloud Firewall melanjutkan untuk mencocokkan aplikasi dari lalu lintas terhadap aplikasi dari kebijakan dan melakukan Langkah 2.

      • Jika lalu lintas tidak sesuai dengan 4-tuple dari kebijakan kontrol akses, Cloud Firewall tidak lagi mencocokkan lalu lintas terhadap kebijakan kontrol akses ini, dan menentukan apakah ada kebijakan kontrol akses dengan prioritas lebih rendah yang tersedia.

        • Jika ya, Cloud Firewall mencocokkan 4-tuple dari lalu lintas terhadap 4-tuple dari kebijakan yang memiliki prioritas lebih rendah sampai lalu lintas cocok dengan kebijakan. Lalu, Cloud Firewall mencocokkan aplikasi dari lalu lintas terhadap aplikasi dari kebijakan yang memiliki prioritas lebih rendah, dan melakukan Langkah 2.

          Jika lalu lintas tidak sesuai dengan kebijakan kontrol akses setelah semua kebijakan dicocokkan, proses pencocokan kebijakan kontrol akses berakhir.

        • Jika tidak, proses pencocokan kebijakan kontrol akses berakhir.

    2. Cloud Firewall mencocokkan aplikasi dari lalu lintas terhadap aplikasi dari kebijakan kontrol akses.

      • Jika Cloud Firewall mengidentifikasi aplikasi dari lalu lintas, dan lalu lintas sesuai dengan aplikasi dari kebijakan kontrol akses, Cloud Firewall melanjutkan untuk mencocokkan nama domain dari lalu lintas terhadap nama domain dari kebijakan kontrol akses, dan melakukan Langkah 3.

      • Jika Cloud Firewall mengidentifikasi aplikasi dari lalu lintas, tetapi lalu lintas tidak sesuai dengan aplikasi dari kebijakan kontrol akses, Cloud Firewall menentukan apakah ada kebijakan kontrol akses lainnya.

        • Jika ya, Cloud Firewall terus mencocokkan lalu lintas terhadap 4-tuple dan aplikasi dari kebijakan kontrol akses yang memiliki prioritas lebih rendah, mencocokkan lalu lintas terhadap aplikasi dan nama domain dari kebijakan kontrol akses yang memiliki prioritas lebih rendah, dan melakukan Langkah 3.

          Jika lalu lintas tidak sesuai dengan kebijakan kontrol akses setelah semua kebijakan dicocokkan, proses pencocokan kebijakan kontrol akses berakhir.

        • Jika tidak, proses pencocokan kebijakan kontrol akses berakhir.

      • Jika Cloud Firewall tidak dapat mengidentifikasi aplikasi dari lalu lintas, Cloud Firewall menentukan apakah Mode Identifikasi Nama Domain adalah Ketat atau Longgar.

        • Dalam mode Longgar, Cloud Firewall secara default mengizinkan paket lalu lintas untuk memastikan bahwa bisnis Anda tidak terpengaruh.

        • Dalam mode Ketat, Cloud Firewall tidak langsung mengizinkan paket lalu lintas, tetapi terus mencocokkan paket lalu lintas terhadap kebijakan kontrol akses yang memiliki prioritas lebih rendah sampai kebijakan kontrol akses cocok, dan kemudian melakukan tindakan yang ditentukan dalam kebijakan. Tindakan tersebut bisa berupa Mengizinkan atau Menolak.

          Jika tidak ada kebijakan kontrol akses yang cocok setelah semua kebijakan kontrol akses dicocokkan, Cloud Firewall secara otomatis mengizinkan lalu lintas.

    3. Cloud Firewall mencocokkan nama domain dari lalu lintas terhadap nama domain dari kebijakan kontrol akses.

      • Jika Cloud Firewall mengidentifikasi nama domain dari lalu lintas, dan nama domain dari lalu lintas sesuai dengan nama domain dari kebijakan kontrol akses, Cloud Firewall melakukan tindakan yang ditentukan dalam kebijakan kontrol akses. Tindakan tersebut bisa berupa Mengizinkan atau Menolak.

      • Jika Cloud Firewall mengidentifikasi nama domain dari lalu lintas, tetapi nama domain dari lalu lintas tidak sesuai dengan nama domain dari kebijakan kontrol akses, Cloud Firewall menentukan apakah ada kebijakan kontrol akses lainnya.

        • Jika ya, Cloud Firewall terus mencocokkan 4-tuple dari lalu lintas terhadap 4-tuple dari kebijakan kontrol akses yang memiliki prioritas lebih rendah.

        • Jika tidak, proses pencocokan kebijakan kontrol akses berakhir.

      • Jika Cloud Firewall tidak dapat mengidentifikasi nama domain dari lalu lintas, Cloud Firewall menentukan apakah Mode Identifikasi Nama Domain adalah Ketat atau Longgar.

        • Dalam mode Longgar, Cloud Firewall secara default mengizinkan paket lalu lintas untuk memastikan bahwa bisnis Anda tidak terpengaruh.

        • Dalam mode Ketat, Cloud Firewall tidak langsung mengizinkan paket lalu lintas, tetapi terus mencocokkan paket lalu lintas terhadap kebijakan kontrol akses yang memiliki prioritas lebih rendah sampai kebijakan kontrol akses cocok, dan kemudian melakukan tindakan yang ditentukan dalam kebijakan. Tindakan tersebut bisa berupa Mengizinkan atau Menolak.

          Jika tidak ada kebijakan kontrol akses yang cocok setelah semua kebijakan kontrol akses dicocokkan, Cloud Firewall secara otomatis mengizinkan lalu lintas.

    Contoh

    Bagian berikut menjelaskan logika pencocokan kebijakan kontrol akses yang dibuat untuk firewall internet dalam skenario yang berbeda.

    Skenario 1: Jenis tujuan dari kebijakan kontrol akses adalah buku alamat IP

    1. Anda membuat dua kebijakan kontrol akses di Konsol Cloud Firewall.

      Kebijakan kontrol akses A

      Kebijakan kontrol akses B

      • Sumber: 192.0.2.0/24

      • Tujuan: 198.51.100.0/24

      • Protokol: TCP

      • Port: 80/88

      • Aplikasi: HTTP

      • Tindakan: Mengizinkan

      • Prioritas: 1

      • Sumber: 0.0.0.0/0

      • Tujuan: 0.0.0.0/0

      • Protokol: ANY

      • Port: 0/0

      • Aplikasi: ANY

      • Tindakan: Menolak

      • Prioritas: 2

    2. Cloud Firewall membagi kebijakan kontrol akses menjadi beberapa aturan pencocokan berdasarkan logika pemisahan dan mengirimkan aturan pencocokan ke mesin.

    3. Saat lalu lintas melewati Cloud Firewall, Cloud Firewall mencocokkan paket lalu lintas terhadap kebijakan kontrol akses berdasarkan prioritas kebijakan secara berurutan.

      Contoh

      Paket Lalu Lintas

      Hasil Pencocokan

      Contoh 1

      (Cocok.)

      • Sumber: 192.0.2.1

      • Tujuan: 198.51.100.1

      • Protokol: TCP

      • Port: 80

      • Aplikasi: HTTP

      1. Cocokkan paket lalu lintas terhadap 4-tuple dari Kebijakan Kontrol Akses A. → Cocok

      2. Cocokkan paket lalu lintas terhadap aplikasi dari Kebijakan Kontrol Akses A. → Cocok

      3. Lakukan tindakan yang ditentukan dalam Kebijakan Kontrol Akses A: Mengizinkan paket lalu lintas.

      Contoh 2

      (Alamat IP Sumber Tidak Cocok.)

      • Sumber: 203.0.113.1

      • Tujuan: 198.51.100.1

      • Protokol: TCP

      • Port: 80

      • Aplikasi: HTTP

      1. Cocokkan paket lalu lintas terhadap 4-tuple dari Kebijakan Kontrol Akses A. → Tidak Cocok

      2. Cocokkan paket lalu lintas terhadap 4-tuple dari Kebijakan Kontrol Akses B. → Cocok

      3. Lakukan tindakan yang ditentukan dalam Kebijakan Kontrol Akses B: Menolak paket lalu lintas.

      Contoh 3

      (Aplikasi Tidak Diidentifikasi.)

      • Sumber: 192.0.2.4

      • Tujuan: 198.51.100.1

      • Protokol: TCP

      • Port: 80

      • Aplikasi: Tidak Diketahui

      1. Cocokkan paket lalu lintas terhadap 4-tuple dari Kebijakan Kontrol Akses A. → Cocok

      2. Cocokkan paket lalu lintas terhadap aplikasi dari Kebijakan Kontrol Akses A. → Aplikasi dari paket lalu lintas tidak dapat diidentifikasi.

      3. Tentukan mode identifikasi nama domain.

        • Dalam mode Longgar, Cloud Firewall secara default mengizinkan paket lalu lintas.

        • Dalam mode Ketat, Cloud Firewall terus mencocokkan paket lalu lintas terhadap Kebijakan Kontrol Akses B.

          1. Cocokkan paket lalu lintas terhadap 4-tuple dari Kebijakan Kontrol Akses B. → Cocok

          2. Lakukan tindakan yang ditentukan dalam Kebijakan Kontrol Akses B: Menolak paket lalu lintas.

    Skenario 2: Jenis tujuan dari kebijakan kontrol akses adalah nama domain

    1. Anda membuat beberapa kebijakan kontrol akses di Konsol Cloud Firewall.

      Kebijakan kontrol akses A

      Kebijakan kontrol akses B

      Kebijakan kontrol akses C

      Kebijakan kontrol akses D

      • Sumber: 192.0.2.0/24

      • Tujuan: www.aliyun.com

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: HTTP, HTTPS

      • Tindakan: Mengizinkan

      • Prioritas: 1

      Catatan

      Cloud Firewall mencocokkan nama domain tujuan dari paket lalu lintas terhadap kebijakan ini berdasarkan bidang Host atau SNI.

      • Sumber: 198.51.100.0/24

      • Tujuan: www.aliyun.com

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: SSH

      • Tindakan: Mengizinkan

      • Prioritas: 2

      Catatan

      Cloud Firewall mencocokkan nama domain tujuan dari paket lalu lintas terhadap kebijakan ini berdasarkan alamat IP yang diselesaikan dari nama domain.

      • Sumber: 203.0.113.0/24

      • Tujuan: www.aliyun.com

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: SMTP

      • Tindakan: Mengizinkan

      • Prioritas: 3

      • Sumber: 0.0.0.0/0

      • Tujuan: 0.0.0.0/0

      • Protokol: ANY

      • Port: 0/0

      • Aplikasi: ANY

      • Tindakan: Menolak

      • Prioritas: 4

    2. Cloud Firewall membagi kebijakan kontrol akses menjadi beberapa aturan pencocokan berdasarkan logika pemisahan dan mengirimkan aturan pencocokan ke mesin.

    3. Saat lalu lintas aset yang dilindungi melewati Cloud Firewall, Cloud Firewall mencocokkan paket lalu lintas terhadap kebijakan berdasarkan prioritas kebijakan.

      Catatan

      Asumsikan bahwa www.aliyun.com diselesaikan ke 106.XX.XX.5.

      Contoh

      Traffic packet

      Hasil pencocokan

      Contoh 1

      • Sumber: 192.0.2.1

      • Tujuan: 106.XX.XX.5

      • Protokol: TCP

      • Port: 80

      • Aplikasi: HTTP

      • Nama Domain: www.aliyun.com

      1. Cocokkan paket lalu lintas terhadap 4-tuple Kebijakan kontrol akses A. → Terkena

      2. Cocokkan paket lalu lintas terhadap aplikasi dari Kebijakan kontrol akses A. → Terkena

      3. Cocokkan paket lalu lintas terhadap nama domain dari Kebijakan kontrol akses A. → Terkena

      4. Lakukan tindakan yang ditentukan dalam Kebijakan kontrol akses A: Allow the traffic packet.

      Contoh 2

      • Sumber: 203.0.113.3

      • Tujuan: 106.XX.XX.5

      • Protokol: TCP

      • Port: 443

      • Aplikasi: HTTPS

      • Nama Domain: www.aliyun.com

      1. Cocokkan paket lalu lintas terhadap 4-tuple Kebijakan kontrol akses A. → Tidak cocok

      2. Cocokkan paket lalu lintas terhadap 4-tuple Kebijakan kontrol akses B. → Tidak cocok

      3. Cocokkan paket lalu lintas terhadap 4-tuple Kebijakan kontrol akses C. → Cocok

      4. Cocokkan paket lalu lintas terhadap aplikasi dari Kebijakan kontrol akses C. → Tidak cocok

      5. Cocokkan paket lalu lintas terhadap 4-tuple Kebijakan kontrol akses D. → Cocok

      6. Lakukan tindakan yang ditentukan dalam Kebijakan kontrol akses D: Tolak paket lalu lintas.

      Contoh 3

      • Sumber: 198.51.100.1

      • Tujuan: 106.XX.XX.5

      • Protokol: SEMUA

      • Port: 22

      • Aplikasi: SSH

      • Nama Domain: www.aliyun.com

      1. Cocokkan paket lalu lintas terhadap 4-tuple Kebijakan kontrol akses A. → Tidak cocok

      2. Cocokkan paket lalu lintas terhadap 4-tuple Kebijakan kontrol akses B. → Cocok

      3. Cocokkan paket lalu lintas terhadap aplikasi Kebijakan kontrol akses B. → Cocok

      4. Lakukan tindakan yang ditentukan dalam Kebijakan kontrol akses B: Allow the traffic packet.

      Contoh 4

      • Sumber: 192.0.2.2

      • Tujuan: 106.XX.XX.5

      • Protokol: TCP

      • Port: 80

      • Aplikasi: Unknown

      1. Cocokkan paket lalu lintas terhadap 4-tuple Kebijakan kontrol akses A. → Terkena

      2. Cocokkan paket lalu lintas terhadap aplikasi Kebijakan kontrol akses A. → Aplikasi dari paket lalu lintas tidak dapat diidentifikasi.

      3. Tentukan mode identifikasi nama domain.

        • Dalam mode Longgar, Cloud Firewall mengizinkan paket lalu lintas secara default.

        • Dalam mode Ketat, Cloud Firewall melanjutkan pencocokan paket lalu lintas terhadap Kebijakan kontrol akses B.

          1. Cocokkan paket lalu lintas terhadap 4-tuple Kebijakan kontrol akses B. → Tidak terkena

          2. Cocokkan paket lalu lintas terhadap 4-tuple Kebijakan kontrol akses C. → Tidak terkena

          3. Cocokkan paket lalu lintas terhadap 4-tuple Kebijakan kontrol akses D. → Terkena

          4. Lakukan tindakan yang ditentukan dalam Kebijakan kontrol akses D: Tolak paket lalu lintas.

      Contoh 5

      • Sumber: 192.0.2.3

      • Tujuan: 106.XX.XX.5

      • Protokol: TCP

      • Port: 80

      • Aplikasi: HTTP

      • Nama domain: Tidak Diketahui

      1. Cocokkan paket lalu lintas dengan 4-tuple Kebijakan kontrol akses A. → Terkena

      2. Cocokkan paket lalu lintas dengan aplikasi dari Kebijakan kontrol akses A. → Terkena

      3. Cocokkan paket lalu lintas dengan nama domain dari Kebijakan kontrol akses A. → Nama domain dari paket lalu lintas tidak dapat diidentifikasi.

      4. Tentukan mode identifikasi nama domain.

        • Dalam mode Longgar, Cloud Firewall mengizinkan paket lalu lintas secara default.

        • Dalam mode Ketat, Cloud Firewall melanjutkan pencocokan paket lalu lintas dengan Kebijakan kontrol akses B.

          1. Cocokkan paket lalu lintas dengan 4-tuple Kebijakan kontrol akses B. → Tidak Terkena

          2. Cocokkan paket lalu lintas dengan 4-tuple Kebijakan kontrol akses C. → Tidak Terkena

          3. Cocokkan paket lalu lintas dengan 4-tuple Kebijakan kontrol akses D. → Terkena

          4. Lakukan tindakan yang ditentukan dalam Kebijakan kontrol akses D: Tolak paket lalu lintas.

    Skenario 3: Jenis tujuan dari kebijakan kontrol akses adalah buku alamat domain

    1. Anda membuat dua kebijakan kontrol akses di Konsol Cloud Firewall.

      Kebijakan kontrol akses A

      Kebijakan kontrol akses B

      • Sumber: 192.0.2.0/24

      • Tujuan: www.aliyun.com, www.example.com

      • Protokol: TCP

      • Port: 0/0

      • Aplikasi: HTTP, HTTPS

      • Tindakan: Mengizinkan

      • Prioritas: 1

      • Sumber: 0.0.0.0/0

      • Tujuan: 0.0.0.0/0

      • Protokol: ANY

      • Port: 0/0

      • Aplikasi: ANY

      • Tindakan: Menolak

      • Prioritas: 2

    2. Cloud Firewall menganalisis kebijakan kontrol akses dan membagi Kebijakan Kontrol Akses A menjadi beberapa aturan pencocokan.

    3. Saat lalu lintas melewati Cloud Firewall, Cloud Firewall mencocokkan paket lalu lintas terhadap kebijakan kontrol akses berdasarkan prioritas kebijakan secara berurutan.

      Catatan

      Asumsikan bahwa www.aliyun.com diselesaikan ke 106.XX.XX.5 dan www.example.com diselesaikan ke 107.XX.XX.7.

      Contoh

      Paket Lalu Lintas

      Hasil Pencocokan

      Contoh 1

      • Sumber: 192.0.2.1

      • Tujuan: 106.XX.XX.5

      • Protokol: TCP

      • Port: 80

      • Aplikasi: HTTP

      • Nama Domain: www.aliyun.com

      1. Cocokkan paket lalu lintas terhadap 4-tuple Kebijakan Kontrol Akses A. → Terkena

      2. Cocokkan paket lalu lintas terhadap aplikasi dari Kebijakan Kontrol Akses A. → Terkena

      3. Cocokkan paket lalu lintas terhadap nama domain dari Kebijakan Kontrol Akses A. → Terkena

      4. Lakukan tindakan yang ditentukan dalam Kebijakan Kontrol Akses A: Mengizinkan paket lalu lintas.

      Contoh 2

      • Sumber: 192.0.2.2

      • Tujuan: 107.XX.XX.7

      • Protokol: TCP

      • Port: 22

      • Aplikasi: SSH

      • Nama Domain: www.example.com

      1. Cocokkan paket lalu lintas terhadap 4-tuple Kebijakan Kontrol Akses A. → Terkena

      2. Cocokkan paket lalu lintas terhadap aplikasi dari Kebijakan Kontrol Akses A. → Tidak Terkena

      3. Cocokkan paket lalu lintas terhadap 4-tuple Kebijakan Kontrol Akses B. → Terkena

      4. Lakukan tindakan yang ditentukan dalam Kebijakan Kontrol Akses B: Menolak paket lalu lintas.

      Contoh 3

      • Sumber: 192.0.2.3

      • Tujuan: 107.XX.XX.7

      • Protokol: TCP

      • Port: 22

      • Aplikasi: Tidak Diketahui

      • Nama Domain: www.example.com

      1. Cocokkan paket lalu lintas terhadap 4-tuple dari Kebijakan Kontrol Akses A. → Cocok

      2. Cocokkan paket lalu lintas terhadap aplikasi dari Kebijakan Kontrol Akses A. → Aplikasi dari paket lalu lintas tidak dapat diidentifikasi.

      3. Tentukan mode identifikasi nama domain.

        • Dalam mode Longgar, Cloud Firewall secara default mengizinkan paket lalu lintas.

        • Dalam mode Ketat, Cloud Firewall terus mencocokkan paket lalu lintas terhadap Kebijakan Kontrol Akses B.

          1. Cocokkan paket lalu lintas terhadap 4-tuple dari Kebijakan Kontrol Akses B. → Cocok

          2. Lakukan tindakan yang ditentukan dalam Kebijakan Kontrol Akses B: Menolak paket lalu lintas.

      Contoh 4

      • Sumber: 192.0.2.4

      • Tujuan: 106.XX.XX.5

      • Protokol: TCP

      • Port: 80

      • Aplikasi: HTTP

      • Nama Domain: Tidak Diketahui

      1. Cocokkan paket lalu lintas terhadap 4-tuple dari Kebijakan Kontrol Akses A. → Cocok

      2. Cocokkan paket lalu lintas terhadap aplikasi dari Kebijakan Kontrol Akses A. → Cocok

      3. Cocokkan paket lalu lintas terhadap nama domain dari Kebijakan Kontrol Akses A. → Nama domain dari paket lalu lintas tidak dapat diidentifikasi.

      4. Tentukan mode identifikasi nama domain.

        • Dalam mode Longgar, Cloud Firewall secara default mengizinkan paket lalu lintas.

        • Dalam mode Ketat, Cloud Firewall terus mencocokkan paket lalu lintas dengan Kebijakan Kontrol Akses B.

          1. Cocokkan paket lalu lintas terhadap 4-tuple dari Kebijakan Kontrol Akses B. → Cocok

          2. Lakukan tindakan yang ditentukan dalam Kebijakan Kontrol Akses B: Menolak paket lalu lintas.

    Referensi