Setelah menambahkan situs web ke Web Application Firewall (WAF), lalu lintas yang ditujukan ke situs tersebut dialihkan ke WAF sebelum diteruskan ke server asal. Jika alamat IP server asal terpapar, penyerang dapat melewati WAF dan meluncurkan serangan langsung ke server asal. Anda dapat mengonfigurasi kebijakan kontrol akses untuk membatasi lalu lintas masuk hanya dari blok CIDR kembali ke asal WAF. Topik ini menjelaskan cara mengonfigurasi perlindungan tersebut. Contoh dalam topik ini menggunakan instance Elastic Compute Service (ECS) yang ditambahkan ke instance Server Load Balancer (SLB).
Setelah menambahkan situs web ke WAF, lalu lintas akan diteruskan tanpa memandang apakah perlindungan telah dikonfigurasi untuk server asal.
Jika Anda menambahkan instance ECS dan SLB ke WAF dalam transparent proxy mode, semua lalu lintas pada port pengalihan akan dialihkan ke WAF. Penyerang tidak dapat melewati WAF untuk meluncurkan serangan langsung ke server asal. Dalam hal ini, konfigurasi perlindungan tambahan tidak diperlukan.
Tindakan pencegahan
Kesalahan dalam mengonfigurasi kebijakan kontrol akses untuk server asal dapat menyebabkan risiko keamanan. Sebelum mengonfigurasi perlindungan, perhatikan hal berikut:
Pastikan semua nama domain yang dihosting pada instance ECS atau SLB telah ditambahkan ke WAF. Jika ada nama domain yang belum ditambahkan, layanan dari nama domain lain yang dihosting pada server asal mungkin terpengaruh jika digunakan untuk serangan.
Jika kluster WAF gagal, lalu lintas akan diteruskan langsung ke server asal untuk memastikan kontinuitas layanan. Dalam situasi ini, jika Anda telah mengonfigurasi aturan grup keamanan untuk instance ECS atau daftar putih untuk pendengar instance SLB, server asal tidak dapat diakses melalui Internet.
Jika blok CIDR baru kembali ke asal WAF ditambahkan dan Anda telah mengonfigurasi aturan grup keamanan atau daftar putih, kode status HTTP 5XX mungkin sering dikembalikan. Kami merekomendasikan untuk secara berkala memeriksa pembaruan blok CIDR kembali ke asal WAF di konsol WAF dan memperbarui kebijakan kontrol akses terkait sesegera mungkin.
Jika Anda tidak lagi menggunakan WAF, hapus kebijakan kontrol akses yang telah dikonfigurasi sebelum mengalihkan lalu lintas kembali ke server asal. Jika tidak, lalu lintas tidak dapat mencapai server asal, yang dapat menyebabkan gangguan layanan.
Prasyarat
Server asal adalah instance Alibaba Cloud ECS yang telah ditambahkan ke instance SLB. Untuk informasi lebih lanjut, lihat Apa itu ECS dan Apa itu SLB?.
Semua nama domain yang dihosting pada instance ECS atau SLB telah ditambahkan ke WAF dalam mode rekaman CNAME. Untuk informasi lebih lanjut, lihat Tambahkan Nama Domain ke WAF.
Langkah 1: Periksa apakah server asal memiliki risiko pajanan alamat IP
Gunakan Telnet untuk membuat koneksi dari host eksternal (di luar Alibaba Cloud) ke server asal menggunakan port layanan dan alamat IP publik server asal.
Jika koneksi berhasil, alamat IP server asal terpapar. Dalam hal ini, penyerang yang mengetahui alamat IP publik dapat melewati WAF dan menyerang server asal secara langsung.
Jika koneksi gagal, alamat IP server asal tidak terpapar.
Contoh: Periksa apakah Anda dapat terhubung ke server asal yang dilindungi oleh WAF melalui port 80 dan 8080. Jika Anda dapat terhubung melalui kedua port tersebut, alamat IP server asal terpapar.
Langkah 2: Dapatkan blok CIDR kembali ke asal WAF
Blok CIDR kembali ke asal WAF diperbarui secara berkala. Untuk menghindari gangguan layanan, pantau notifikasi pembaruan dan tambahkan blok CIDR yang diperbarui ke aturan grup keamanan dan daftar putih sesegera mungkin.
Masuk ke konsol WAF. Di bilah navigasi atas, pilih grup sumber daya dan wilayah tempat instance WAF ditempatkan. Wilayah dapat berupa Chinese Mainland atau Outside Chinese Mainland.
Di panel navigasi sisi kiri, pilih .
Di pojok kanan bawah halaman Service Information, temukan bagian WAF IP dan klik Copy All IP Addresses.
Bagian WAF IP Segments menampilkan blok CIDR kembali ke asal WAF yang paling baru.
Langkah 3: Konfigurasikan aturan grup keamanan untuk instance ECS
Dapatkan blok CIDR kembali ke asal WAF dan konfigurasikan aturan grup keamanan untuk instance ECS agar hanya mengizinkan lalu lintas masuk dari blok CIDR tersebut.
Buka halaman daftar grup keamanan.
Masuk ke konsol ECS.
Di panel navigasi sisi kiri, pilih .
Di pojok kiri atas bilah navigasi atas, pilih wilayah.
Temukan grup keamanan tempat Anda ingin menambahkan aturan dan klik Manage Rules di kolom Operation.
Pilih arah aturan grup keamanan.
Jika grup keamanan berada di virtual private cloud (VPC), klik tab Inbound atau Outbound.
Jika grup keamanan berada di jaringan klasik, klik tab Inbound, Outbound, Internet Ingress, atau Internet Egress.
Tambahkan aturan grup keamanan dengan prioritas tertinggi untuk hanya mengizinkan lalu lintas masuk dari blok CIDR kembali ke asal WAF.
Pada tab Inbound bagian Access Rule, klik Add Rule.
Konfigurasikan parameter dan klik Save. Tabel berikut menjelaskan parameter.
Parameter
Deskripsi
Action
Pilih Allow.
Priority
Masukkan 1, yang menentukan prioritas tertinggi.
Protocol Type
Pilih Custom TCP.
Port Range
Pilih HTTP (80) dan HTTPS (443).
Authorization Object
Tempel blok CIDR kembali ke asal yang Anda peroleh ke bidang Source.
Description
Masukkan deskripsi untuk aturan grup keamanan. Contoh: Izinkan lalu lintas masuk dari blok CIDR kembali ke asal WAF.
PentingJika server asal menggunakan alamat IP dan port selain blok CIDR kembali ke asal WAF dan port HTTP atau HTTPS untuk berkomunikasi dengan aplikasi, tambahkan alamat IP dan port tersebut ke aturan grup keamanan.
Setelah menambahkan aturan grup keamanan, aturan tersebut memiliki prioritas tertinggi dalam grup keamanan. Dengan demikian, instance ECS mengizinkan semua lalu lintas masuk dari blok CIDR kembali ke asal WAF.
PeringatanPastikan Anda menambahkan semua blok CIDR kembali ke asal WAF ke aturan grup keamanan. Jika tidak, pengecualian akses mungkin terjadi.
Tambahkan aturan grup keamanan dengan prioritas terendah untuk menolak lalu lintas masuk dari blok CIDR lainnya.
Pada tab Inbound bagian Access Rule, klik Add Rule.
Konfigurasikan parameter dan klik Save. Tabel berikut menjelaskan parameter.
Parameter
Deskripsi
Action
Pilih Deny.
Priority
Masukkan 100, yang menentukan prioritas terendah.
Protocol Type
Pilih Custom TCP.
Port Range
Pilih HTTP (80) dan HTTPS (443).
Authorization Object
Masukkan 0.0.0.0/0 di bidang Sumber. 0.0.0.0/0 menentukan semua blok CIDR.
Description
Masukkan deskripsi untuk aturan grup keamanan. Contoh: Blokir semua lalu lintas masuk.
Setelah menambahkan aturan grup keamanan, instance ECS memblokir lalu lintas masuk dari semua blok CIDR kecuali blok CIDR kembali ke asal WAF. Dengan cara ini, semua lalu lintas layanan melewati WAF sebelum mencapai instance ECS.
Langkah 4: Konfigurasikan kebijakan kontrol akses untuk instance SLB
Jika Anda menambahkan server asal ke instance SLB, konfigurasikan kebijakan kontrol akses (daftar putih) untuk instance SLB agar hanya mengizinkan lalu lintas masuk dari blok CIDR kembali ke asal WAF.
Bagian berikut menjelaskan cara mengonfigurasi kebijakan kontrol akses. Dalam contoh ini, instance Classic Load Balancer (CLB) digunakan. Jika Anda menggunakan instance Application Load Balancer (ALB), konfigurasikan kebijakan kontrol akses berdasarkan langkah-langkah berikut dan deskripsi dalam topik Kontrol Akses.
Masuk ke konsol CLB.
Di bilah navigasi atas, pilih wilayah tempat instance CLB ditempatkan.
Di panel navigasi sisi kiri, pilih CLB > Access Control.
Buat daftar kontrol akses (ACL).
Pada halaman Access Control, klik Create ACL.
Di panel Create ACL, konfigurasikan parameter dan klik Create. Tabel berikut menjelaskan parameter.
Parameter
Deskripsi
ACL Name
Masukkan nama untuk ACL. Contoh: Blok CIDR kembali ke asal WAF.
Add Multiple Addresses/CIDR Blocks and Descriptions
Salin dan tempel semua blok CIDR kembali ke asal WAF.
Masukkan satu blok CIDR di setiap baris. Tekan tombol Enter untuk memulai baris baru.
CatatanSemua blok CIDR kembali ke asal WAF yang disalin dipisahkan oleh koma (,). Sebelum Anda menempelkan blok CIDR, kami merekomendasikan agar Anda menggunakan editor teks yang mendukung penggantian ekstensi untuk mengganti koma (,) dengan baris baru (\n).
Konfigurasikan daftar putih untuk pendengar.
Di panel navigasi sisi kiri, pilih .
Pada halaman Instances, temukan instance yang ingin Anda kelola dan klik ID instance tersebut.
Pada tab Listener, temukan pendengar yang ingin Anda konfigurasi daftar putih, klik ikon
di kolom Actions, lalu klik Configure Access Control.Pilih pendengar berdasarkan jenis layanan yang dilindungi oleh WAF:
Jika layanan HTTP ditambahkan ke WAF, pilih pendengar HTTP.
Jika layanan HTTPS ditambahkan ke WAF, pilih pendengar HTTPS.
Jika layanan HTTP dan HTTPS ditambahkan ke WAF, pilih pendengar HTTP dan HTTPS.
Di panel Configure Access Control, aktifkan Enable Access Control dan konfigurasikan parameter yang diperlukan. Tabel berikut menjelaskan parameter yang harus diatur.
Parameter
Deskripsi
Access Control Method
Pilih Whitelist untuk mengizinkan alamat IP tertentu mengakses instance CLB.
Access Control List
Pilih ACL yang Anda buat untuk blok CIDR kembali ke asal WAF.
Setelah konfigurasi selesai, instance CLB hanya akan mengizinkan lalu lintas masuk dari blok CIDR kembali ke asal WAF.
Apa yang harus dilakukan selanjutnya
Setelah mengonfigurasi aturan grup keamanan untuk instance ECS atau daftar putih untuk pendengar instance SLB, disarankan untuk memverifikasi apakah Anda dapat terhubung ke server asal melalui port 80 dan 8080. Ini membantu memastikan bahwa konfigurasi telah diterapkan dengan benar.
Jika Anda tidak dapat terhubung ke server asal melalui port 80 atau 8080 tetapi layanan tetap berfungsi seperti yang diharapkan, maka konfigurasi telah berhasil diterapkan.