Konfigurasi firewall server aplikasi sederhana - Simple Application Server

Firewall pada server aplikasi sederhana adalah firewall virtual yang menggunakan aturan untuk mengontrol lalu lintas masuk ke server. Hal ini memastikan keamanan server. Topik ini menjelaskan cara membuat, memodifikasi, menonaktifkan, mengaktifkan, dan menghapus aturan firewall. Topik ini juga mencakup informasi tentang port default, FAQ terkait firewall, serta dokumen referensi.

Deskripsi fitur

Secara default, firewall server aplikasi sederhana mengaktifkan port tertentu berdasarkan sistem operasi server dan menonaktifkan port lainnya. Anda dapat membuat aturan firewall untuk mengaktifkan lebih banyak port sesuai dengan kebutuhan bisnis Anda. Berikut adalah daftar port default yang diaktifkan:

Server yang menggunakan protokol TCP:
- Server Windows: port 3389, 80, dan 443.
- Server Linux: port 22, 80, dan 443.
Server yang menggunakan protokol ICMP: Nilai rentang port adalah -1, yang berarti semua port diaktifkan dan akses dari semua alamat IP diperbolehkan.

Jika Anda menghapus atau menonaktifkan port default ini di konsol Simple Application Server, tab Firewall halaman Servers akan menampilkan pesan seperti Anda menonaktifkan atau menghapus aturan izin port 22 default pada firewall, yang memengaruhi fitur koneksi jarak jauh. Anda dapat menambahkan atau mengaktifkan port yang sesuai berdasarkan kebutuhan Anda.

Batasan

Anda dapat membuat maksimal 50 aturan firewall untuk server aplikasi sederhana.
Port 25 adalah port layanan email default. Untuk alasan keamanan, port ini dinonaktifkan secara default untuk server aplikasi sederhana. Gunakan port 465 untuk mengirim email.
Firewall hanya mengontrol lalu lintas masuk ke server aplikasi sederhana. Semua lalu lintas keluar diizinkan secara default.
Catatan
- Lalu lintas masuk: Lalu lintas yang dihasilkan ketika data ditransmisikan ke server melalui Internet atau jaringan internal.
- Lalu lintas keluar: Lalu lintas yang dihasilkan ketika data ditransmisikan dari server melalui Internet atau jaringan internal.

Mengelola firewall

Catatan

Jika Anda telah membuat template firewall, Anda dapat dengan cepat mengonfigurasi aturan firewall berdasarkan template tersebut. Untuk informasi lebih lanjut, lihat bagian Konfigurasikan aturan firewall berdasarkan template firewall dari topik "Mengelola template firewall".

Buka Halaman Servers di konsol Simple Application Server.
Temukan server aplikasi sederhana yang ingin Anda konfigurasi, lalu klik ID server pada kartu server tersebut.
Klik tab Firewall.
Di pojok kiri atas tab Firewall, klik Add Rule.

Di kotak dialog Add Firewall Rule, konfigurasikan parameter-parameter sesuai kebutuhan bisnis Anda, lalu klik OK.

Peringatan

Saat membuat aturan firewall, konfigurasikan rentang port dan alamat IP yang diizinkan berdasarkan kebutuhan Anda, serta ikuti prinsip hak istimewa minimal untuk mencegah serangan jaringan.
Jika port, protokol, dan alamat IP yang Anda tentukan untuk aturan firewall sama dengan aturan yang ada, aturan yang ada akan ditimpa tanpa memandang status aktif atau nonaktifnya.

Pilih aturan firewall yang telah diatur sebelumnya

Anda dapat membuat aturan firewall dengan mudah dengan memilih aturan yang telah diatur sebelumnya. Tabel berikut menjelaskan parameter-parameter tersebut.

Parameter	Deskripsi
Application Type	Tipe aplikasi. Pilih tipe aplikasi seperti RDP, FTP, TELNET, MYSQL, All Use TCP, All Use UDP, atau All Use TCP and UDP dari daftar drop-down berdasarkan kebutuhan bisnis Anda. Untuk informasi lebih lanjut, lihat bagian Informasi port yang telah diatur sebelumnya dari topik ini.
Protocol	Protokol. Protokol yang ditampilkan digunakan secara default dan nilainya tidak dapat diubah.
Port Range	Rentang port. Rentang port yang ditampilkan digunakan secara default dan nilainya tidak dapat diubah.
Source IP Address	Alamat IP sumber. Nilai defaultnya adalah 0.0.0.0/0, yang menentukan semua alamat IPv4. Penting Konfigurasikan alamat IP berdasarkan kebutuhan Anda dan ikuti prinsip hak istimewa minimal untuk mencegah serangan jaringan pada server Anda.
Remarks	Masukkan catatan aturan firewall untuk pengelolaan selanjutnya.

Buat aturan firewall kustom

Jika aturan firewall yang telah diatur sebelumnya tidak memenuhi kebutuhan bisnis Anda, Anda dapat membuat satu atau lebih aturan firewall kustom. Tabel berikut menjelaskan parameter-parameter tersebut.

Parameter	Deskripsi
Application Type	Tipe aplikasi. Pilih Specify a custom value.
Protocol	Protokol. Pilih TCP, UDP, atau ICMP.
Port Range	Rentang port. Nilai valid: 1 hingga 65535. Anda dapat menggunakan salah satu metode berikut untuk mengonfigurasi parameter ini: Tentukan port tunggal. Masukkan nomor port yang ingin Anda aktifkan. Sebagai contoh, jika Anda ingin mengizinkan lalu lintas pada port mendengarkan MySQL 3306, masukkan `3306` di bidang Rentang Port. Tentukan rentang port. Gunakan garis miring (/) untuk memisahkan nomor port awal dan nomor port akhir. Sebagai contoh, jika Anda ingin mengizinkan lalu lintas melalui rentang port 20000 hingga 30000 yang Anda tentukan dalam file konfigurasi FTP, masukkan `20000/30000` di bidang Rentang Port.
Source IP Address	Alamat IP sumber. Nilai defaultnya adalah 0.0.0.0/0, yang menentukan semua alamat IPv4. Anda juga dapat menentukan alamat IPv4 yang diizinkan untuk mengakses server: Tentukan alamat IPv4 tunggal. Masukkan alamat IPv4 tunggal. Contoh: 192.168.0.100. Tentukan semua alamat IPv4 dalam blok CIDR. Masukkan blok CIDR IPv4. Contoh: 192.168.0.0/24.
Remarks	Masukkan catatan aturan firewall untuk pengelolaan selanjutnya.

Anda dapat mengklik Add Rule untuk membuat aturan firewall dan ikon untuk menghapus aturan firewall sesuai kebutuhan.

Modifikasi, nonaktifkan, aktifkan, dan hapus aturan firewall

Setelah membuat aturan firewall, Anda dapat melakukan operasi berikut berdasarkan kebutuhan bisnis Anda.

Operasi	Deskripsi	Prosedur
Modifikasi aturan firewall	Jika aturan firewall yang dibuat atau dibuat secara otomatis tidak memenuhi kebutuhan bisnis Anda, Anda dapat memodifikasinya.	Klik Modify di kolom Actions dari aturan firewall yang ingin Anda ubah. Dalam kotak dialog Modify, sesuaikan parameter Protocol, Port Range, Source IP Address, dan Remarks berdasarkan kebutuhan bisnis Anda. Klik Confirm.
Nonaktifkan aturan firewall	Anda dapat menonaktifkan port secara sementara. Jika Anda ingin mengizinkan lalu lintas pada port nanti, Anda dapat mengaktifkannya langsung tanpa perlu membuat aturan firewall baru. Penting Jika aturan firewall dinonaktifkan, port yang ditentukan dalam aturan tidak dapat diakses. Ini memengaruhi bisnis Anda. Kami merekomendasikan agar Anda menonaktifkan aturan firewall dengan hati-hati. Pastikan bahwa operasi ini tidak memengaruhi bisnis Anda.	Klik Disable di kolom Actions dari aturan firewall yang ingin Anda nonaktifkan. Di pesan Disable, klik Confirm.
Aktifkan aturan firewall	Anda dapat mengaktifkan port yang dinonaktifkan.	Klik Enable di kolom Actions dari aturan firewall yang dinonaktifkan yang ingin Anda aktifkan. Di pesan Enable, klik Confirm.
Hapus aturan firewall	Anda dapat menghapus aturan firewall yang tidak lagi digunakan. Catatan Jika jumlah aturan firewall belum mencapai batas maksimum 50, kami merekomendasikan agar Anda menonaktifkan aturan firewall untuk digunakan nanti.	Hapus aturan firewall tunggal Klik Delete di kolom Actions dari aturan firewall yang ingin Anda hapus. Di pesan Delete, klik Confirm. Hapus beberapa aturan firewall sekaligus Pilih aturan firewall yang ingin Anda hapus dan klik Delete di pojok kiri bawah daftar aturan. Dalam pesan Delete, klik Confirm.

Informasi port yang telah diatur sebelumnya

Tabel berikut menjelaskan aturan firewall umum yang telah diatur sebelumnya dalam firewall yang disediakan oleh Alibaba Cloud. Anda dapat membuat aturan firewall dengan mudah menggunakan aturan yang telah diatur sebelumnya ini. Untuk informasi lebih lanjut tentang port umum, lihat Port umum.

Tipe aplikasi	Protokol	Rentang port	Alamat IP sumber	Deskripsi
HTTP	TCP	80	0.0.0.0/0 Penting Alamat IP sumber. Nilai defaultnya adalah 0.0.0.0/0, yang menentukan semua alamat IPv4. Konfigurasikan alamat IP berdasarkan kebutuhan Anda dan ikuti prinsip hak istimewa minimal untuk mencegah serangan jaringan pada server Anda.	Port HTTP default. Port ini digunakan untuk mengakses layanan situs web seperti Internet Information Services (IIS), Apache, dan NGINX. Untuk informasi lebih lanjut, lihat Deploy Apache berdasarkan citra OS CentOS.
HTTPS	TCP	443		Port HTTPS default. Untuk informasi lebih lanjut, lihat Instal sertifikat SSL pada server aplikasi sederhana Linux dengan Node.js.
RDP	TCP	3389		Port Remote Desktop Protocol (RDP) default. Port ini digunakan untuk terhubung ke server Windows menggunakan Remote Desktop. Untuk informasi lebih lanjut, lihat Terhubung ke server Windows.
FTP	TCP	21		Port FTP default. Port ini digunakan untuk mengunggah dan mengunduh file. Untuk informasi lebih lanjut, lihat Bangun server FTP (Linux).
SSH	TCP	22		Port SSH. Port ini digunakan untuk masuk ke server aplikasi sederhana Linux menggunakan alat CLI atau perangkat lunak koneksi jarak jauh seperti PuTTY, Xshell, dan SecureCRT. Untuk informasi lebih lanjut, lihat Terhubung ke server Linux.
TELNET	TCP	23		Port Telnet default.
MySQL	TCP	3306		Port MySQL default. Untuk informasi lebih lanjut, lihat Gunakan DMS untuk terhubung ke database pada server aplikasi sederhana.
SQLServer	TCP	1433		Port SQL Server default.
All Use TCP	TCP	1~65535		Semua port TCP.
All Use UDP	UDP	1~65535		Semua port UDP.
All Use TCP and UDP	TCP+UDP	1~65535		Semua port TCP dan UDP.
Specify a custom value	TCP, UDP, atau ICMP	1~65535		Rentang port kustom.

FAQ

Pertanyaan 1: Apa perbedaan antara firewall server aplikasi sederhana dan firewall sistem operasi?

Firewall server aplikasi sederhana: Konsol Simple Application Server menyediakan antarmuka manajemen visual. Anda dapat mengonfigurasi aturan firewall dengan mudah. Namun, firewall server aplikasi sederhana hanya dapat mengontrol lalu lintas masuk.
Firewall sistem operasi: Administrator sistem dapat mengonfigurasi aturan firewall untuk sistem operasi untuk mengontrol lalu lintas masuk dan keluar. Administrator sistem harus terbiasa dengan perangkat lunak firewall yang sesuai, seperti iptables pada sistem Linux. Selain itu, pengguna Linux harus terbiasa dengan CLI.

Pertanyaan 2: Bagaimana cara memeriksa konektivitas port dengan menjalankan perintah Telnet?

Jalankan perintah berikut untuk memeriksa apakah sebuah port dapat diakses:

telnet <Alamat IP server aplikasi sederhana> <Port>

Dalam contoh ini, port 80 digunakan. Output perintah berikut dikembalikan:

Windows

Port dapat diakses.

Port tidak dapat diakses.

C:\Users\Administrator>telnet 120.55.XX.XX 80
Connecting To 120.55.XX.XX...Could not open connection to the host,   on port 80: Connect failed

Linux

Port dapat diakses.

[root@VM-4-10-centos ~]# telnet 120.55.XX.XX 80
Trying 120.55.XX.XX...
Connected to 120.55.XX.XX.
Escape character is '^]'.

Port tidak dapat diakses.

[root@VM-4-10-centos ~]# telnet 120.55.XX.XX 80
Trying 120.55.XX.XX...
telnet: connect to address 120.55.XX.XX: Connection refused

Pertanyaan 3: Bagaimana cara memeriksa status layanan dan status mendengarkan port?

Dalam contoh ini, layanan NGINX pada server aplikasi sederhana digunakan. Port default adalah port 80. Jika Anda ingin memeriksa status layanan lainnya, ganti nama layanan dan nomor port dalam perintah.

Server Linux

Dalam contoh ini, server aplikasi sederhana Linux yang menjalankan CentOS 7.9 digunakan. Operasi mungkin bervariasi berdasarkan versi sistem operasi server Linux Anda.

Terhubung ke server aplikasi sederhana Linux.
Untuk informasi lebih lanjut, lihat Terhubung ke server Linux.
Jalankan perintah berikut untuk memeriksa status NGINX:
```
systemctl status nginx
```
- Output perintah sampel berikut menunjukkan bahwa NGINX telah dimulai.
- Jika NGINX belum dimulai, jalankan perintah berikut untuk memulai NGINX:
```
systemctl start nginx
```
Jalankan perintah berikut untuk memeriksa apakah port 80 didengarkan:
```
netstat -an | grep 80
```
- Jika informasi berikut dikembalikan, port 80 didengarkan.
- Jika output perintah tidak seperti yang ditunjukkan pada gambar sebelumnya, port 80 tidak didengarkan.

Server Windows

Dalam contoh ini, server aplikasi sederhana yang menjalankan Windows Server 2012 digunakan. Operasi untuk server aplikasi sederhana yang menjalankan versi Windows Server lainnya serupa.

Terhubung ke server aplikasi sederhana Windows.
Untuk informasi lebih lanjut, lihat Terhubung ke server Windows.
Pilih Start > Run, masukkan service.msc, dan kemudian klik OK. Halaman Services akan muncul.
Periksa status layanan nginx.
1. Jika tidak ada status yang ditampilkan untuk layanan nginx, klik kanan layanan nginx dan pilih Start(S).
2. Jika status layanan nginx adalah Running, NGINX telah dimulai.
Jalankan perintah berikut di Windows PowerShell untuk memeriksa apakah port 80 didengarkan:
```
netstat -ano | findstr "80"
```
- Jika informasi berikut dikembalikan, port 80 didengarkan.
- Jika output perintah tidak seperti yang ditunjukkan pada gambar sebelumnya, port 80 tidak didengarkan.

Pertanyaan 4: Apa yang harus saya lakukan jika port server aplikasi sederhana saya tidak dapat diakses?

Jika server Anda ditempatkan di luar daratan Tiongkok, seperti di wilayah China (Hong Kong), koneksi yang tidak stabil dan latensi tinggi mungkin terjadi karena kemacetan tautan internasional dan pembatasan rute keluar dari penyedia layanan internet (ISP). Koneksi lintas batas dibentuk melalui jaringan ISP. Kualitas koneksi dipengaruhi oleh banyak faktor dan ISP tidak dapat mengoptimalkan jaringan mereka dalam waktu singkat.

Solusi:

Jika bisnis Anda terutama untuk pengguna di daratan Tiongkok, kami merekomendasikan agar Anda berhenti berlangganan server aplikasi sederhana yang ada setelah membuat server di wilayah daratan Tiongkok dan memigrasikan data dari server yang ada ke server baru. Untuk informasi lebih lanjut, lihat Migrasikan data antar server aplikasi sederhana.
Anda tidak dapat memodifikasi koneksi server aplikasi sederhana dengan mengubah alamat IP. Jika server Anda ditempatkan di wilayah China (Hong Kong), Anda dapat menggunakan instance Elastic Compute Service (ECS) yang terkait dengan alamat IP elastis BGP (Multi-ISP) Pro (EIP). Dalam hal ini, koneksi lintas batas langsung dapat dibentuk tanpa menggunakan layanan ISP untuk memberikan pengalaman pengguna yang lebih baik. Namun, masalah koneksi lintas batas masih ada dan tidak dapat dihilangkan. Untuk informasi lebih lanjut, lihat Migrasikan data dari server aplikasi sederhana ke instance ECS menggunakan citra bersama, Ajukan permohonan EIP, dan Asosiasikan EIP dengan instance ECS.

Dalam skenario lain, perbaiki masalah dengan menggunakan metode berikut:

Jalankan perintah netstat -tunlp untuk memeriksa apakah port server didengarkan. Jika port tidak didengarkan, mulai layanan yang sesuai untuk memastikan bahwa port didengarkan.
Periksa apakah pembatasan dikonfigurasikan pada firewall server.
- Untuk sistem operasi Ubuntu, jalankan perintah sudo ufw status untuk memeriksa.
- Untuk sistem operasi CentOS 7 dan yang lebih baru, jalankan perintah firewall-cmd --list-ports untuk memeriksa. Jika output menunjukkan bahwa ufw atau firewall tidak berjalan, jalankan perintah iptables -L;iptables -t nat -L untuk memeriksa aturan firewall.
Periksa apakah aturan firewall yang mengaktifkan port untuk server dibuat di konsol Simple Application Server.

Referensi

Jika Anda tidak dapat mengakses situs web atau server aplikasi sederhana setelah mengonfigurasi aturan firewall, atau firewall server tidak memenuhi kebutuhan bisnis Anda, lihat topik berikut: