Konfigurasi port pengalihan lalu lintas -

Mode proxy transparan didukung untuk berbagai jenis server asal, termasuk Application Load Balancer (ALB), Server Load Balancer Lapisan 7 (SLB), SLB Lapisan 4, dan instance Elastic Compute Service (ECS). Topik ini menjelaskan cara mengonfigurasi port pengalihan lalu lintas untuk nama domain yang ditambahkan ke Web Application Firewall (WAF) dalam mode proxy transparan. Setelah dikonfigurasi, lalu lintas pada port tersebut akan dialihkan ke WAF.

Lihat Cara Mengonfigurasi Port Pengalihan Lalu Lintas

Tambahkan Nama Domain dalam Mode Proxy Transparan
Jika Anda belum menambahkan nama domain dalam mode proxy transparan, lakukan operasi berikut: Masuk ke konsol WAF. Di panel navigasi sisi kiri, klik Akses Situs Web. Pada halaman Akses Situs Web, klik Akses Situs Web. Dalam wizard Tambah Nama Domain, pilih Mode Proxy Transparan untuk Mode Akses. Dalam langkah Tambah Nama Domain, konfigurasikan port pengalihan lalu lintas. Untuk informasi lebih lanjut tentang cara mengonfigurasi port pengalihan lalu lintas, lihat konten berikut.
Edit Nama Domain yang Ditambahkan dalam Mode Proxy Transparan
Jika Anda telah menambahkan nama domain dalam mode proxy transparan, lakukan operasi berikut: Masuk ke konsol WAF. Di panel navigasi sisi kiri, klik Akses Situs Web. Pada halaman Akses Situs Web, temukan nama domain dan klik Edit di kolom Tindakan. Dalam langkah Tambah Nama Domain, konfigurasikan port pengalihan lalu lintas. Untuk informasi lebih lanjut tentang cara mengonfigurasi port pengalihan lalu lintas, lihat konten berikut.

Konfigurasikan port pengalihan lalu lintas untuk instance ALB

Scenarios: Layanan web Anda di-hosting pada instance ALB, dan Anda ingin mengaktifkan perlindungan WAF untuk port mendengarkan instance ALB.

Procedure: Dalam bagian konfigurasi port, klik tab ALB-based Domains.

Instance list description: Tab Domain Berbasis ALB menampilkan instance ALB yang menghadap internet yang dibuat di konsol SLB. Kolom Port menampilkan port mendengarkan HTTP atau HTTPS dari instance ALB. ALB-based Domains

Enable WAF protection for a listening port: Di konsol SLB, buat listener HTTP atau HTTPS untuk instance ALB dan pilih Enable WAF Protection pada langkah Konfigurasi Listener. Untuk detail lebih lanjut tentang pembuatan listener HTTP atau HTTPS untuk instance ALB, lihat Tambahkan listener HTTP dan Tambahkan listener HTTPS. Enable WAF protection for a listening port

Setelah membuat listener HTTP atau HTTPS, Anda dapat mengaktifkan atau menonaktifkan WAF Protection untuk listener tersebut di konsol SLB. Modify the configurations of an HTTP or HTTPS listener

Penting

Di tab ALB-based Domains di bawah Transparent Proxy Mode, Anda dapat memeriksa apakah perlindungan WAF diaktifkan untuk port mendengarkan HTTP atau HTTPS. Namun, Anda tidak dapat mengaktifkan atau menonaktifkan perlindungan WAF untuk port tersebut di konsol WAF. Jika Anda ingin mengaktifkan atau menonaktifkan perlindungan WAF untuk port mendengarkan, Anda harus pergi ke konsol SLB.

Konfigurasikan port pengalihan lalu lintas untuk instance SLB Lapisan 7

Scenarios: Layanan web Anda di-hosting pada instance SLB dengan listener HTTP atau HTTPS Lapisan 7, dan Anda ingin mengaktifkan perlindungan WAF untuk port mendengarkan instance SLB.

Procedure: Dalam bagian konfigurasi port, klik tab Layer 7 SLB-based Domains.

Instance list description: Tab Layer 7 SLB-based Domains menampilkan instance SLB yang menghadap internet yang dibuat di konsol SLB. Kolom Port menampilkan port mendengarkan HTTP atau HTTPS dari instance SLB.

Enable WAF protection for a listening port: Masuk ke konsol WAF. Pada tab Layer 7 SLB-based Domains, pilih port mendengarkan HTTP atau HTTPS di kolom Port.

Jika Anda memilih port, lalu lintas pada port tersebut dialihkan ke WAF, yang mendeteksi dan menyaring lalu lintas. Lalu lintas pada port yang tidak dipilih langsung dikirim dari klien ke server asal dan tidak melewati WAF.

Penting

Jika Anda memilih port yang mendengarkan lalu lintas dari beberapa nama domain pada saat yang sama, perlindungan WAF diaktifkan untuk semua nama domain yang lalu lintasnya didengarkan oleh port tersebut. Dalam hal ini, Anda tidak dapat mengaktifkan perlindungan WAF untuk nama domain tertentu.

Jika kolom Port menampilkan No Ports Available, maka tidak ada listener HTTP atau HTTPS yang dibuat untuk instance tersebut. Anda harus pergi ke konsol SLB untuk membuat listener HTTP atau HTTPS untuk instance tersebut. Kemudian, Anda dapat mengaktifkan perlindungan WAF untuk port mendengarkan di konsol WAF. Untuk informasi lebih lanjut tentang cara membuat listener HTTP atau HTTPS untuk instance SLB Lapisan 7, lihat Tambahkan Listener HTTP dan Tambahkan Listener HTTPS.

Konfigurasikan port pengalihan lalu lintas untuk instance SLB Lapisan 4

Scenarios: Layanan web Anda di-hosting pada instance SLB dengan listener TCP Lapisan 4, dan Anda ingin mengaktifkan perlindungan WAF untuk port mendengarkan TCP instance SLB.

Procedure: Dalam bagian konfigurasi port, klik tab Layer 4 SLB-based Domains.

Instance list description: Tab Layer 4 SLB-based Domains menampilkan instance SLB yang menghadap internet yang dibuat di konsol SLB. Kolom Port menampilkan port mendengarkan TCP dari instance SLB.

Procedure

Anda harus menambahkan port mendengarkan instance SLB ke WAF. Kemudian, Anda dapat mengaktifkan perlindungan WAF untuk port yang ditambahkan. Langkah-langkah berikut menjelaskan cara mengaktifkan perlindungan WAF untuk port:

Tambahkan Port Mendengarkan TCP Instance SLB ke WAF.
Penting
Anda hanya dapat menambahkan port mendengarkan TCP ke WAF setelah Anda membuat listener TCP untuk instance SLB di konsol SLB. Untuk informasi lebih lanjut tentang cara membuat listener TCP untuk instance SLB, lihat Tambahkan Listener TCP.
1. Pada tab Layer 4 SLB-based Domains, temukan instance SLB dan klik Add di kolom Port.
2. Dalam kotak dialog Add Port, pilih port mendengarkan TCP dalam daftar drop-down Port dan kemudian pilih HTTP atau HTTPS.
3. Opsional:Jika Anda memilih HTTP, lewati langkah ini. Jika Anda memilih HTTPS, unggah sertifikat default atau tambahkan sertifikat tambahan. Anda dapat menambahkan maksimal tiga sertifikat tambahan.
  Deskripsi Sertifikat:
  - Default Certificate: Sertifikat default yang dikembalikan oleh server setelah permintaan HTTPS dari klien diterima. Jika server Anda hanya menggunakan satu sertifikat SSL, Anda hanya perlu mengunggah sertifikat default.
  - Extended Certificate: Sertifikat yang dikembalikan server ke klien ketika server menerima permintaan HTTPS dari klien dan mencocokkan sertifikat tambahan. Sertifikat tambahan harus berisi nama domain yang sama dengan bidang Server Name Indication (SNI) dalam permintaan. Jika server tidak dapat mencocokkan sertifikat tambahan berdasarkan bidang SNI, server mengembalikan sertifikat default.
    Bidang SNI adalah ekstensi protokol SSL dan TLS. Server dapat menggunakan beberapa nama domain dan sertifikat berdasarkan bidang SNI. Sebelum klien membangun koneksi SSL ke server, klien menyertakan nama domain yang ingin diakses dalam permintaan. Kemudian, server mengembalikan sertifikat yang sesuai dengan nama domain yang diminta.
  Anda dapat mengunggah sertifikat dengan menggunakan salah satu metode berikut:
  - Manual Upload: Anda harus secara manual mengonfigurasi parameter Certificate Name, Certificate File, dan Private Key File.
  - Select Existing Certificate: Anda hanya perlu memilih sertifikat yang diperlukan dari daftar sertifikat yang ada yang dikelola di konsol Layanan Sertifikat SSL. Kami merekomendasikan Anda menggunakan metode ini.
    Jika sertifikat yang ingin Anda unggah tidak ada dalam daftar, Anda harus mengklik Cloud Security - Certificates Service untuk mengunggah sertifikat yang diperlukan ke konsol Layanan Sertifikat SSL. Kemudian, Anda dapat memilih sertifikat dari daftar.
Aktifkan Perlindungan WAF untuk Port yang Ditambahkan. Untuk melakukannya, masuk ke konsol WAF dan pada tab Layer 4 SLB-based Domains pilih port yang ditambahkan di kolom Port.
Jika Anda memilih port, lalu lintas pada port tersebut dialihkan ke WAF, yang mendeteksi dan menyaring lalu lintas. Lalu lintas pada port yang tidak dipilih langsung dikirim dari klien ke server asal dan tidak melewati WAF.
Penting
Jika Anda memilih port yang mendengarkan lalu lintas dari beberapa nama domain pada saat yang sama, perlindungan WAF diaktifkan untuk semua nama domain yang lalu lintasnya didengarkan oleh port tersebut. Dalam hal ini, Anda tidak dapat mengaktifkan perlindungan WAF untuk nama domain tertentu.

Konfigurasikan port pengalihan lalu lintas untuk instance ECS

Scenarios: Layanan web Anda di-hosting pada instance ECS, dan Anda ingin mengaktifkan perlindungan WAF untuk lalu lintas HTTP atau HTTPS instance ECS.

Procedure: Dalam bagian konfigurasi port, klik tab ECS-based Domains.

Instance list description: Tab ECS-based Domains menampilkan instance ECS yang dibuat di konsol ECS dan memiliki alamat IP publik. Kolom Port menampilkan port yang ditambahkan ke WAF.

Procedure

Anda harus menambahkan port instance ECS ke WAF. Kemudian, Anda dapat mengaktifkan perlindungan WAF untuk port yang ditambahkan. Langkah-langkah berikut menjelaskan cara mengaktifkan perlindungan WAF untuk port:

Tambahkan Port Instance ECS ke WAF.
1. Pada tab ECS-based Domains, klik Add di kolom Port.
2. Dalam kotak dialog Add Port, masukkan port HTTP atau HTTPS instance ECS di bidang Port dan pilih HTTP atau HTTPS.
3. Opsional:Jika Anda memilih HTTP, lewati langkah ini. Jika Anda memilih HTTPS, unggah sertifikat default atau tambahkan sertifikat tambahan. Anda dapat menambahkan maksimal tiga sertifikat tambahan.
  Deskripsi Sertifikat:
  - Default Certificate: Sertifikat default yang dikembalikan oleh server setelah permintaan HTTPS dari klien diterima. Jika server Anda hanya menggunakan satu sertifikat SSL, Anda hanya perlu mengunggah sertifikat default.
  - Extended Certificate: Sertifikat yang dikembalikan server ke klien ketika server menerima permintaan HTTPS dari klien dan mencocokkan sertifikat tambahan. Sertifikat tambahan harus berisi nama domain yang sama dengan bidang Server Name Indication (SNI) dalam permintaan. Jika server tidak dapat mencocokkan sertifikat tambahan berdasarkan bidang SNI, server mengembalikan sertifikat default.
    Bidang SNI adalah ekstensi protokol SSL dan TLS. Server dapat menggunakan beberapa nama domain dan sertifikat berdasarkan bidang SNI. Sebelum klien membangun koneksi SSL ke server, klien menyertakan nama domain yang ingin diakses dalam permintaan. Kemudian, server mengembalikan sertifikat yang sesuai dengan nama domain yang diminta.
  Anda dapat mengunggah sertifikat menggunakan salah satu metode berikut:
  - Manual Upload: Anda harus secara manual mengonfigurasi parameter Certificate Name, Certificate File, dan Private Key File.
  - Select Existing Certificate: Pilih sertifikat yang diperlukan dari daftar sertifikat yang tersedia di konsol Layanan Sertifikat SSL. Metode ini direkomendasikan.
    
    Jika sertifikat yang ingin diunggah tidak terdaftar, klik Cloud Security - Certificates Service untuk mengunggah sertifikat ke konsol Layanan Sertifikat SSL. Setelah itu, pilih sertifikat dari daftar.
Aktifkan Perlindungan WAF untuk Port yang Ditambahkan ke WAF. Untuk melakukannya, masuk ke konsol WAF dan pada tab ECS-based Domains pilih port di kolom Port.
Jika Anda memilih port, lalu lintas pada port tersebut dialihkan ke WAF, yang mendeteksi dan menyaring lalu lintas. Lalu lintas pada port yang tidak dipilih langsung dikirim dari klien ke server asal dan tidak melewati WAF.
Penting
Jika Anda memilih port yang mendengarkan lalu lintas dari beberapa nama domain pada saat yang sama, perlindungan WAF diaktifkan untuk semua nama domain yang lalu lintasnya didengarkan oleh port tersebut. Dalam hal ini, Anda tidak dapat mengaktifkan perlindungan WAF untuk nama domain tertentu.