All Products
Search

This Product

    Web Application Firewall:Alamat IP eksklusif untuk nama domain

    Document Center

    Web Application Firewall:Alamat IP eksklusif untuk nama domain

    Last Updated:Jun 18, 2026

    Topik ini menjelaskan cara kerja fitur Web Application Firewall (WAF) alamat IP eksklusif untuk nama domain dalam mode koneksi CNAME, mencakup prinsip kerja, skenario penerapan, metode konfigurasi, dan aturan penagihan.

    Apa itu alamat IP bersama dan alamat IP eksklusif

    Dalam mode CNAME Record, setelah nama domain ditambahkan ke WAF, sistem akan menetapkan alamat IP virtual (VIP) independen untuk menerima permintaan bisnis. VIP ini tidak dibagikan dengan penyewa lain. Instans Alibaba Cloud WAF menyediakan layanan proteksi yang sangat tersedia. VIP ini tidak terikat pada perangkat fisik tertentu, melainkan merupakan bagian dari sumber daya kluster Alibaba Cloud WAF. Di bawah instans WAF yang sama:

    • Jika fitur alamat IP eksklusif atau Intelligent load balancing tidak diaktifkan untuk suatu nama domain, semua nama domain berbagi satu VIP.

    • Setelah fitur alamat IP eksklusif diaktifkan, setiap nama domain diberi VIP independen.

    Namun, alamat IP ini tidak tetap. Untuk memastikan stabilitas layanan maksimal, ikuti langkah-langkah dalam CNAME Record secara ketat untuk mengubah pengaturan resolusi DNS nama domain tersebut. Untuk informasi lebih lanjut, lihat Dapatkah saya mengubah resolusi DNS agar mengarah ke VIP WAF?

    Nilai alamat IP eksklusif

    Mengaktifkan alamat IP eksklusif secara efektif mengisolasi risiko serangan DDoS. Saat suatu nama domain mengalami serangan DDoS bertrafik tinggi dan VIP WAF masuk ke status blackhole, nama domain lain yang berbagi VIP yang sama juga menjadi tidak dapat diakses. Dengan mengaktifkan alamat IP eksklusif untuk nama domain penting, Anda dapat mencegah layanan bisnis kritis terdampak saat alamat IP bersama dimasukkan ke blackhole.

    Aktifkan alamat IP eksklusif

    Fitur alamat IP eksklusif hanya dapat diaktifkan dalam mode CNAME Record. Untuk mengaktifkan alamat IP eksklusif untuk suatu nama domain, lakukan langkah-langkah berikut:

    1. Pada halaman Onboarding di Konsol Web Application Firewall 3.0, klik tombol Add pada tab CNAME Record untuk membuka wizard konfigurasi Add Domain Name.

    2. Pada tugas Configure Listener, klik More Settings > Exclusive IP Address untuk mengaktifkan fitur tersebut. Enable exclusive IP addressUntuk informasi lebih lanjut tentang konfigurasi tambahan, lihat Tingkatkan ketersediaan dan kinerja layanan.

    Catatan

    Jika fitur alamat IP eksklusif dinonaktifkan, sistem akan beralih ke alamat IP bersama.

    Penagihan

    Alamat IP eksklusif adalah fitur berbayar. Anda ditagih berdasarkan jumlah nama domain yang mengaktifkan fitur ini:

    FAQ

    Apa perbedaan antara VIP WAF (alamat IP eksklusif atau alamat IP bersama) dan rentang alamat IP asal WAF?

    • VIP WAF

      • VIP WAF adalah alamat IP entri WAF dan alamat tujuan aktual yang dihubungi klien saat mengakses situs web Anda.

      • Semua permintaan dari klien pertama kali mencapai VIP ini, tempat WAF melakukan deteksi dan penyaringan keamanan.

      • VIP dapat berupa alamat IP bersama (digunakan oleh beberapa nama domain) atau alamat IP eksklusif (khusus untuk satu nama domain).

    • Rentang alamat IP asal WAF

      • Rentang alamat IP asal WAF adalah rentang alamat IP yang digunakan WAF untuk mengirim permintaan asal ke server asal setelah deteksi keamanan selesai.

      • Dari perspektif server asal, semua permintaan dari WAF berasal dari alamat IP asal ini.

      • Kebijakan keamanan server asal, seperti firewall atau grup keamanan, harus mengizinkan trafik dari rentang alamat IP asal WAF. Jika tidak, pengambilan asal akan gagal.

    Bagaimana cara melihat alamat IP spesifik dari VIP WAF?

    VIP WAF (yaitu alamat IP eksklusif atau alamat IP bersama) tidak dapat dilihat langsung di Konsol. Anda perlu menggunakan perintah ping atau nslookup di sisi klien untuk menanyakan nama domain yang telah ditambahkan ke WAF.

    ping example.com  #Ganti dengan nama domain yang ditambahkan ke WAF.

    Dapatkah saya mengubah resolusi DNS agar mengarah ke VIP WAF?

    Tidak. Saat Anda menambahkan domain ke WAF menggunakan rekaman CNAME, Anda harus mengarahkan rekaman DNS Anda ke alamat CNAME yang disediakan oleh WAF, bukan ke alamat VIP WAF. Hal ini karena alamat VIP dapat berubah, misalnya saat Anda mengaktifkan atau menonaktifkan IP eksklusif atau intelligent load balancing, atau dalam kasus ekstrem terjadi kegagalan WAF. Mengarahkan domain Anda langsung ke alamat VIP dapat menyebabkan gangguan layanan. Penggunaan rekaman CNAME memastikan alamat IP backend secara otomatis dialihkan untuk menjamin kelangsungan bisnis.

    Mengapa pemindaian port menunjukkan port berisiko tinggi yang sebenarnya tidak terbuka? Apakah ada risiko?

    Saat Anda menggunakan alat seperti Nmap untuk memindai domain yang ditambahkan ke WAF menggunakan rekaman CNAME, pemindaian tersebut mungkin melaporkan port sebagai terbuka padahal port tersebut tertutup di server asal Anda. Ini adalah perilaku yang diharapkan karena domain tersebut di-resolve ke VIP WAF. Pemindaian menargetkan port VIP WAF, bukan port server asal Anda.

    WAF hanya meneruskan trafik untuk port yang Anda konfigurasikan di Konsol. Pada port yang tidak dikonfigurasi, WAF menyelesaikan jabat tangan tiga arah TCP lalu segera menghentikan koneksi dengan paket RST tanpa meneruskan data apa pun. Oleh karena itu, port-port tersebut tidak menimbulkan risiko keamanan. Port VIP tidak dapat ditutup secara manual. Untuk informasi lebih lanjut, lihat Penjelasan mengenai port non-standar di WAF.

    Bagaimana cara mengatur kebijakan SSL atau TLS default agar VIP sesuai dengan persyaratan kepatuhan?

    Untuk memenuhi persyaratan kepatuhan, Anda dapat menyesuaikan sertifikat SSL dan kebijakan TLS untuk VIP WAF Anda. Sebelum menjalankan pemindaian kepatuhan pada VIP WAF, ikuti langkah-langkah berikut untuk mengunggah sertifikat HTTPS yang sesuai serta mengaktifkan atau menonaktifkan versi protokol TLS dan paket sandi tertentu.

    1. Di atas daftar domain yang telah ditambahkan, klik Default SSL/TLS Settings.image.png

    2. Pada kotak dialog Default SSL/TLS Settings, konfigurasikan pengaturan berikut lalu klik OK.

      Parameter

      Deskripsi

      HTTPS Upload Type

      Unggah sertifikat SSL. Prosedurnya sama seperti mengunggah sertifikat domain. Untuk detailnya, lihat Unggah sertifikat.

      TLS Version

      Nilai yang valid:

      • TLS 1.0 and Later (Best Compatibility and Low Security)

      • TLS 1.1 and Later (High Compatibility and High Security): Mencegah klien lawas yang menggunakan protokol TLS 1.0 mengakses website Anda.

      • TLS 1.2 and Later (High Compatibility and Best Security): Memenuhi persyaratan kepatuhan keamanan terbaru tetapi mencegah klien lawas yang menggunakan protokol TLS 1.0 dan 1.1 mengakses website Anda.

      • Support TLS 1.3: Pilih opsi ini jika website Anda mendukung protokol TLS 1.3.

      HTTPS Cipher Suite

      Pilih paket sandi yang ingin Anda aktifkan. Nilai yang valid:

      • All Cipher Suites (High Compatibility and Low Security)

      • Custom Cipher Suite (Select It based on protocol version. Proceed with caution.): Pilih opsi ini jika website Anda hanya mendukung paket sandi tertentu. Lakukan dengan hati-hati agar tidak mengganggu layanan Anda. Untuk informasi lebih lanjut mengenai paket sandi kustom yang didukung, lihat Paket sandi yang didukung WAF.