Artikel ini memberikan gambaran umum tentang firewall. Untuk memahami apa itu firewall, pertama-tama Anda harus memahami apa itu Internet.
Internet adalah jaringan komputer seperti web. Beberapa komputer (seperti laptop Anda) mengkhususkan diri terutama pada tugas-tugas sisi klien. Lainnya (seperti server Rackspacecloud) mengkhususkan diri terutama pada tugas sisi server. Beberapa komputer yang sangat terspesialisasi hanya merutekan komunikasi antara komputer lain. Komputer ini disebut router dan switch .
Paket
Komputer berkomunikasi dengan mengirimkan data dalam paket . Paket-paket ini datang dalam berbagai ukuran dan "bentuk", tergantung pada protokol yang mereka ikuti. Sebuah paket mungkin berisi semua informasi berikut:
- Alamat IP sumber :Alamat Protokol Internet (IP) pengirim.
- Alamat IP tujuan :Alamat Internet Protocol (IP) penerima.
- Nomor port sumber :Port layanan pengiriman. Angka ini berkisar dari 1 hingga 65535.
- Nomor port tujuan :Port layanan penerima. Angka ini berkisar dari 1 hingga 65535.
- Protokol :Protokol atau model yang diikuti oleh paket.
- Nomor urut :Nomor urut paket. Penerima menggunakan nomor ini untuk menyusun kembali paket dalam urutan yang benar.
- Ukuran paket :Ukuran paket.
- Data :Pesan itu sendiri.
- Checksum :Pemeriksaan yang memastikan bahwa paket tidak rusak.
Tujuan firewall adalah untuk memblokir paket yang tidak diinginkan dan mungkin berbahaya. Firewall biasa melakukan tugas ini dengan melihat enam informasi pertama dalam daftar sebelumnya, sementara firewall yang lebih canggih dan penganalisis lalu lintas menggunakan teknik yang lebih canggih.
Praktik terbaik firewall
Saat menyiapkan firewall di server cloud, Anda perlu membuat beberapa lubang di dalamnya agar dapat menerima komunikasi dari layanan penting.
Identifikasi port yang ingin Anda buatkan aturan firewallnya
Pertama, Anda perlu mengidentifikasi komunikasi mana yang datang dan pergi ke layanan tersebut. Anda dapat menemukan informasi ini dengan melihat nomor port umum berikut:
Port (protokol IP) | Layanan/Protokol |
---|---|
21 (Transfer Control Protocol (TCP)) | Protokol Transfer File (FTP) |
22 (TCP dan Protokol Datagram Pengguna (TCP/UDP)) | Secure Shell dan Secure File Transfer Protocol (SSH/SFTP) |
25 dan 587 | Protokol Transfer Surat Sederhana (SMTP) |
53 (TCP/UDP) | Sistem Nama Domain (DNS) |
80 (TCP/UDP) | Protokol Transfer Hiperteks (HTTP) |
110 (TCP) | Protokol Kantor Pos (POP3) |
143 (TCP/UDP) | Protokol Akses Pesan Internet (IMAP) |
389 (TCP/UDP) | Protokol Akses Direktori Ringan (LDAP) |
443 (TCP/UDP) | HTTP Aman (HTTPS) |
465 (TCP) | Protokol Transfer Surat Sederhana Aman (SMTPS) |
636 (TCP/UDP) | LDAP Aman (LDAPS) |
694 (UDP) | Detak jantung |
873 (TCP) | rsync |
3306 (TCP/UDP) | MySQL |
5900 (TCP/UDP) | Komputasi Jaringan Virtual (VNC) |
6660-6669 (TCP) | Internet Relay Chat (IRC) |
8080 (TCP) | Apache® Tomcat® |
Nomor port memungkinkan Anda untuk membuat lubang di firewall Anda untuk layanan yang ingin Anda buka untuk dunia. Ada banyak nomor port tambahan.
Gunakan daftar putih
Penting untuk menggunakan daftar putih , yang merupakan daftar layanan yang Anda izinkan sambil menolak yang lainnya.
Misalnya, jika Anda ingin membuka akses ke server web Anda dan tidak ada yang lain, daftar aturan Anda mungkin terlihat seperti contoh berikut:
ALLOW: DestPort=80
DENY: ALL
Jika Anda juga ingin mengizinkan akses Secure Shell (SSH), tetapi hanya dari satu alamat IP tertentu, daftar Anda mungkin terlihat seperti contoh berikut:
ALLOW: DestPort=22 && SrcIP=1.2.3.4
ALLOW: DestPort=80
DENY: ALL
Baris yang mengatakan DENY: ALL
mungkin merupakan baris terpenting dalam aturan firewall Anda karena ia memblokir semua yang tidak Anda izinkan secara khusus. Anda biasanya harus menempatkan baris ini di bagian bawah.
Sumber daya tambahan
Anda mungkin juga menemukan sumber daya berikut berguna:
-
Praktik terbaik untuk konfigurasi aturan firewall
-
Pengenalan iptables