Home » Keamanan Jaringan » Firewall dan Keamanan Jaringan Dasar — Lindungi Jaringanmu d...
Keamanan Jaringan

Firewall dan Keamanan Jaringan Dasar — Lindungi Jaringanmu dari Serangan

Ilustrasi benteng digital bercahaya biru memblokir serangan siber merah, konsep firewall

Firewall dan Keamanan Jaringan Dasar — Lindungi Jaringanmu dari Serangan

Oke, setelah beberapa artikel sebelumnya kita ngomongin soal manusia dan social engineering, sekarang saatnya kita masuk ke ranah yang lebih teknis: firewall dan keamanan jaringan. Gue inget pertama kali setup firewall beneran itu tahun 2003 pake iptables di Linux. Waktu itu gue masih junior engineer, dan atasan gue bilang: “Kalau lo nggak paham firewall, lo bukan network security engineer.” Dan dia benar.

Firewall adalah gerbang utama jaringan lo. Ibarat benteng, firewall adalah tembok pertama yang harus ditembus penyerang. Kalau firewall lo solid, penyerang akan mikir dua kali. Kalau firewall lo bolong-bolong… well, lo tau sendiri jawabannya.

Apa Itu Firewall?

Secara sederhana, firewall adalah sistem keamanan yang memonitor dan mengontrol trafik jaringan masuk dan keluar berdasarkan aturan keamanan yang sudah ditentukan. Firewall bertindak sebagai “pintu gerbang” antara jaringan internal yang terpercaya (misalnya jaringan kantor lo) dengan jaringan eksternal yang tidak terpercaya (internet).

Firewall bisa berupa hardware (appliance fisik), software (program yang jalan di server), atau kombinasi keduanya.

Konsep Dasar Firewall

1. Rules / Aturan. Setiap firewall bekerja berdasarkan aturan (rules) yang lo definisikan. Setiap aturan menjawab pertanyaan: “Kalau ada paket data dengan karakteristik tertentu, apa yang harus dilakukan?” Jawabannya: ACCEPT (izinkan), DROP (buang tanpa kabar), atau REJECT (tolak dengan notifikasi).

2. Default Policy. Ini adalah aturan “default” yang berlaku kalau nggak ada rules yang match. Best practice: default deny (DROP semua yang tidak diizinkan eksplisit).

3. Stateful vs Stateless. Stateful firewall menyimpan informasi koneksi yang sedang berjalan (state table). Kalau koneksi udah diizinkan, paket-paket berikutnya diizinkan otomatis. Stateless firewall memeriksa setiap paket secara independen.

4. Chains (dalam iptables). Rules dikelompokkan dalam chains:

  • INPUT: trafik masuk ke sistem
  • OUTPUT: trafik keluar dari sistem
  • FORWARD: trafik yang dilewatkan ke sistem lain

iptables: The OG Linux Firewall

iptables adalah firewall bawaan Linux. Meskipun sekarang ada nftables, iptables masih sangat banyak digunakan.

Instalasi dan Verifikasi

iptables --version
# Ubuntu/Debian: sudo apt install iptables
# CentOS/RHEL: sudo yum install iptables-services

Melihat Rules

sudo iptables -L -v -n
# -L List, -v Verbose, -n Numeric (jangan resolve hostname)

Struktur Perintah

iptables -A CHAIN -p PROTOCOL --dport PORT -j ACTION
# -A Append (tambah di akhir)
# -I Insert (sisipkan di posisi tertentu)
# -D Delete
# -p Protocol (tcp, udp, icmp)
# --dport Destination port
# -s Source IP/network
# -d Destination IP/network
# -j Jump (ACCEPT, DROP, REJECT, LOG)

Contoh Konfigurasi Lengkap

#!/bin/bash
# Flush semua rules
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F

# Default policy: DROP
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT

# Loopback
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

# Established connections
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# SSH (port 2222)
sudo iptables -A INPUT -p tcp --dport 2222 -j ACCEPT

# HTTP/HTTPS
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# ICMP dari LAN
sudo iptables -A INPUT -p icmp --icmp-type echo-request -s 192.168.1.0/24 -j ACCEPT

# Log dropped packets
sudo iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables dropped: "

# Simpan
sudo apt install iptables-persistent
sudo netfilter-persistent save

Tips Penting iptables

  1. Urutan rules PENTING. Rules dibaca dari atas ke bawah.
  2. JANGAN PERNAH testing firewall dari remote tanpa backup plan.
  3. Gunakan iptables-apply untuk testing aman.
  4. Backup rules sebelum modifikasi: sudo iptables-save > backup.v4

UFW: Firewall Ramah Pemula

UFW (Uncomplicated Firewall) adalah frontend untuk iptables. Kalau iptables bikin lo pusing, UFW jawabannya.

Setup UFW

sudo apt install ufw
sudo ufw status verbose
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw enable

Contoh Rules UFW

sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw allow from 192.168.1.100 to any port 22
sudo ufw limit 22/tcp            # Rate limiting
sudo ufw deny from 203.0.113.0/24
sudo ufw delete allow 22/tcp
sudo ufw status numbered

UFW Application Profiles

sudo ufw app list
sudo ufw allow 'Nginx Full'      # Port 80 + 443
sudo ufw allow 'OpenSSH'
sudo ufw logging on

pfSense: Firewall Kelas Enterprise (Gratis!)

pfSense adalah distribusi FreeBSD untuk firewall dan router. Gue udah deploy pfSense di puluhan klien.

Kelebihan pfSense:

  • Web GUI yang powerful
  • Fitur lengkap: stateful firewall, NAT, VPN (IPsec, OpenVPN, WireGuard), VLAN, traffic shaping, captive portal, IDS/IPS (Suricata/Snort)
  • High availability dengan CARP
  • Plugin ecosystem yang kaya
  • Community support yang aktif

Hardware vs Software Firewall

Hardware Firewall (Fortinet, Sophos, Juniper):

  • Pro: Optimized hardware, vendor support, easier management.
  • Con: Mahal, terbatas vendor ecosystem.

Software Firewall (pfSense, OPNSense):

  • Pro: Gratis, fleksibel, install di hardware apapun.
  • Con: Perlu technical knowledge, support informal.

Untuk home lab atau UKM, pfSense di PC bekas adalah pilihan solid.

Port Security dan Network Segmentation

Kenapa Perlu Segmentasi?

Kalau satu segmen jaringan kena hack, segmen lain tetap aman. Tanpa segmentasi, malware bisa menyebar ke seluruh jaringan dalam hitungan detik.

VLAN (Virtual LAN)

Contoh segmentasi VLAN untuk kantor:

  • VLAN 10: Management
  • VLAN 20: Server
  • VLAN 30: IT Staff
  • VLAN 40: Staff Regular
  • VLAN 50: Guest WiFi
  • VLAN 60: IoT Devices

Setiap VLAN punya subnet IP sendiri dan trafik antar-VLAN harus melewati firewall.

Konsep DMZ (Demilitarized Zone)

DMZ adalah zona antara internet dan jaringan internal. Server yang harus bisa diakses dari internet (web server, mail gateway) ditaruh di DMZ. Kalau server di DMZ kena hack, penyerang belum bisa langsung akses jaringan internal.

Ini contoh defense in depth: internet <-> firewall eksternal <-> DMZ <-> firewall internal <-> jaringan internal.

Testing Firewall Rules

  1. nmap dari luar: nmap -p- TARGET_IP
  2. netstat di server: sudo netstat -tlnp
  3. Telnet: telnet TARGET_IP PORT
  4. Online scanner: ShieldsUP, pentest-tools.com

Common Mistakes

  1. Lupa setup firewall sama sekali
  2. Testing dari localhost (harus test dari LUAR)
  3. Buka port yang nggak perlu
  4. Mengandalkan satu firewall doang
  5. Nggak ngemonitor log
  6. Lupa update firmware/software firewall

Kesimpulan

Firewall adalah fondasi keamanan jaringan. Checklist:

  1. Aktifkan firewall di semua server. SEKARANG.
  2. Terapkan default deny — blokir semua, izinkan yang perlu.
  3. Lakukan segmentasi jaringan dengan VLAN.
  4. Taruh public-facing services di DMZ.
  5. Monitor log firewall secara berkala.
  6. Complement firewall dengan fail2ban atau IDS/IPS.
  7. Test konfigurasi dari luar.
  8. Dokumentasikan konfigurasi (network diagram, rule list, justification untuk setiap rule)
  9. Review rules secara berkala (quarterly minimal) — hapus rules yang udah nggak relevan
  10. Siapkan rollback plan setiap kali modifikasi firewall production

Firewall di Cloud Environment

Satu hal yang beda banget dari era gue dulu vs sekarang: cloud. Di AWS, Azure, atau GCP, firewall ada di beberapa layer: Security Groups (instance-level), NACL (subnet-level), WAF (application-level), dan NGFW (Next-Gen Firewall seperti AWS Network Firewall). Konsepnya tetap sama, tapi implementasinya beda.

Di cloud, elo harus berpikir dalam konteks “security groups are stateful, NACLs are stateless.” Security groups cuma punya allow rules, sementara NACLs bisa allow dan deny. Security groups berlaku di level instance, NACLs di level subnet. Ini konsep dasar yang harus lo pahami sebelum deploy apapun di cloud.

Gue sering nemuin orang yang pindah dari on-prem ke cloud dan bingung kenapa nggak ada “iptables” atau “pfSense” di cloud. Jawabannya: karena cloud provider punya abstraksi layer yang berbeda. Tapi prinsipnya sama — default deny, whitelist yang perlu, segmentasi, logging, monitoring.

Kalau lo serius soal network security, pelajari juga konsep Zero Trust. Zero Trust adalah mindset “never trust, always verify.” Dalam konteks firewall, ini artinya lo nggak ngasih akses ke resource cuma karena IP-nya trusted. Lo verify setiap request. Teknologi seperti microsegmentation (misalnya VMware NSX atau Cisco ACI) memungkinkan granular control sampai ke level workload individual.

Advanced Firewall Features

Firewall modern punya fitur yang jauh melampaui packet filtering basic:

  • Deep Packet Inspection (DPI): Memeriksa konten paket, bukan cuma header
  • Application Layer Filtering: Bisa bedain HTTP dari HTTPS dari SSH dari BitTorrent
  • SSL/TLS Inspection: Bisa decrypt dan inspect HTTPS traffic
  • GeoIP Filtering: Block traffic dari negara tertentu
  • Threat Intelligence Feeds: Integrasi dengan threat intel untuk auto-block known bad IPs

Ini semua fitur powerful, tapi dengan great power comes great responsibility. SSL inspection, misalnya, adalah topik kontroversial karena nge-break end-to-end encryption. Lo harus punya policy yang jelas tentang apa yang di-inspect dan gimana privasi user dijaga.

Firewall dan Incident Response

Sebagai incident responder, firewall log adalah salah satu sumber bukti paling berharga. Saat terjadi breach, gue selalu cek firewall log untuk:

  • Koneksi dari IP mencurigakan
  • Traffic keluar di port yang nggak biasa (exfiltration)
  • Koneksi ke known C2 servers
  • Scanning activity sebelum serangan

Setup logging yang proper: forward firewall log ke SIEM, set alert untuk anomaly, dan pertahankan log minimal 90 hari (idealnya 1 tahun). Tanpa log yang proper, incident response jadi kayak nyari jarum di tumpukan jerami tanpa senter.

Latihan dan Sertifikasi

Buat lo yang pengen serius di bidang network security, ini rekomendasi gue:

  • CCNA / CompTIA Network+: Fondasi networking
  • CCNP Security / PCNSA (Palo Alto): Firewall enterprise
  • SANS SEC503 (Intrusion Detection): Advanced network security
  • eJPT / OSCP: Perspektif offensive yang bikin lo jadi defender lebih baik

Kesimpulan Akhir

Firewall bukan solusi ajaib. Firewall adalah satu lapis dalam strategi defense in depth. Tapi ini adalah lapis PERTAMA yang menentukan: apakah penyerang bisa masuk atau nggak? Setup firewall yang baik mengurangi attack surface lo secara dramatis. Setup firewall yang buruk… well, lo memberikan kunci depan rumah ke penjahat.

Ingat pepatah network security ini: “Packets don’t lie.” Kalau lo paham packets, lo paham network. Dan kalau lo paham network, lo bisa ngelindunginnya.


Penulis adalah network security engineer dengan pengalaman 20+ tahun.

Banditz Cyber Verified
Security Researcher at IT Security
Banditz Cyber adalah security researcher di IT Security yang berfokus pada keamanan web, analisis kerentanan, dan edukasi keamanan siber. Melalui tulisannya, ia membagikan panduan praktis, riset teknis, dan wawasan keamanan digital dengan pendekatan yang mudah dipahami.
View all posts