A.

Kompetensi Dasar
3.10 Mengevaluasi firewall jaringan
4.10 Mengkonfigurasi firewall jaringan
B. Indikator Pencapaian Kompetensi
3.10.1 Menjelaskan (C2) konsep firewall pada jaringan
3.10.2 Mengklasifikasikan (C3) jenis firewall pada jaringan
3.10.3 Menentukan (C4) cara konfigurasi firewall pada jaringan
4.10.1 Melakukan(P2) konfigurasi firewall pada jaringan
4.10.2 Menguji(P3) hasil konfigurasi firewall pada jaringan
4.10.3 Membuat(P4) laporan hasil konfigurasi firewall pada jaringan
C. Tujuan Pembelajaran
3.10.1 Melalui berdiskusi dan menggali informasi dari materi dan internet, peserta
didik akan dapat Menjelaskan (C2) konsep firewall pada jaringan sesuai
aturan RFC 2979 dengan rasa ingin tahu
3.10.2 Melalui berdiskusi dan menggali informasi dari materi dan internet, peserta
didik akan dapat mengklasifikasikan (C3) jenis firewall pada jaringan
sesuai dengan aturan RFC 2979 dengan jujur
3.10.3 Melalui berdiskusi dan menggali informasi dari materi dan internet, peserta
didik akan dapat Menentukan (C4) cara konfigurasi firewall pada jaringan
sesuai dengan aturan dengan tanggung jawab
4.10.1 Disediakan router, PC dan perangkat jaringan lainnya, peserta didik dapat
melakukan (P2) konfigurasi firewall pada jaringan berdasarkan jobsheet
secara percaya diri
4.10.2 Disediakan router, PC dan perangkat jaringan lainnya, peserta didik dapat
menguji (P3) hasil konfigurasi firewall pada jaringan berdasarkan tugas
pada jobsheet secara kreatif
4.10.3 Setelah berdiskusi, praktik dan presentasi, peserta didik dapat
menyimpulkan dengan membuat (P4) laporan konfigurasi firewall pad
jaringan sesuai dengan sistematika laporan yang sudah ditentukan oleh
guru secara inovatif

1|Admi ni s tras i InfraStruktu r J ari ngan

TKJ – SMKN 1 Karawang
D. Materi Pembelajaran
1. Definisi
Istilah “firewall” sendiri sebenarnya juga dikenal dalam disiplin lain, dan dalam
kenyataannya, istilah ini tidak hanya bersangkutan dengan terminologi jaringan. Kita
juga menggunakan firewall, misalnya untuk memisahkan garasi dari rumah, atau
memisahkan satu apartemen dengan apartemen lainnya. Dalam hal ini, firewall adalah
penahan (barrier) terhadap api yang dimaksudkan untuk memperlambat penyebaran
api seandainya terjadi kebakaran sebelum petugas pemadam kebakaran datang untuk
memadamkan api. Contoh lain dari firewall juga bisa ditemui pada kendaran bermotor,
dimana firewall memisahkan antara ruang penumpang dan kompartemen mesin.
Untuk firewall didalam terminologi jaringan, memiliki beberapa pengertian antara
lain adalah sebagai berikut:
a. Firewall didefinisikan sebagai suatu cara atau mekanisme yang diterapkan baik
terhadap hardware, software ataupun system itu sendiri dengan tujuan untuk
melindungi, baik dengan menyaring, membatasi atau bahkan menolak suatu
atau semua hubungan/kegiatan suatu segmen pada jaringan pribadi dengan
jaringan luar yang bukan merupakan ruang lingkupnya.
b. Firewall didefinisikan sebagai sebuah komponen atau kumpulan komponen
yang membatasi akses antara sebuah jaringan yang diproteksi dan internet, atau
antara kumpulan kumpulan jaringan lainnya.
c. Definisi lain mengatakan bahwa, firewall adalah sebuah komputer yang
memproteksi jaringan dari jaringan yang tidak dipercaya yang memisahkan
antara jaringan lokal dengan jaringan publik, dengan melakukan metode
filtering paket data yang masuk dan keluar.
d. Menurut wabopedia.com definisi firewall adalah sebuah sistem yang didesain
untuk mencegah akses yang tidak sah ke atau dari jaringan pribadi (Privat
Network). Sedangkan menurut MTCNA definisinya adalah firewall diposisikan
antara jaringan lokal dan jaringan publik bertujuan melindungi komputer dari
serangan, dan secara efektif mengontrol koneksi data menuju, dari dan
melewati router.
e. Ilmuwan lain mendefinisikan firewall sebagai sebuah titik diantara dua/lebih
jaringan dimana semua lalu lintas (trafik) harus melaluinya (choke point); trafik
dapat dikendalikan oleh dan diautentifikasi melalui sautu perangkat, dan
seluruh trafik selalu dalam kondisi tercatat (logged).
Dari beberapa definisi diatas, penulis dapat memberikan definisi dimana firewall
adalah sebuah pembatas antara suatu jaringan lokal dengan jaringan lainnya yang
sifatnya publik (dapat diakses oleh siapapun) sehingga setiap data yang masuk dapat

2|Admi ni s tras i InfraStruktu r J ari ngan

TKJ – SMKN 1 Karawang
diidentifikasi untuk dilakukan penyaringan sehingga aliran data dapat dikendalikan
untuk mencegah bahaya/ancaman yang dating dari jaringan publik.
Dalam jaringan komputer, khususnya yang berkaitan dengan aplikasi yang
melibatkan berbagai kepentingan, akan banyak terjadi hal yang dapat mengganggu
kestabilan koneksi jaringan komputer tersebut, baik yang berkaitan dengan hardware
(pengamanan fisik, sumber daya listrik) maupun yang berkaitan dengan software
(sistem, konfigurasi, sistem akses, dll). Gangguan pada sistem dapat terjadi karena
faktor ketidaksengajaan yang dilakukan oleh pengelola (human error), akan tetapi
tidak sedikit pula yang disebabkan oleh pihak ketiga. Gangguan dapat berupa
perusakan, penyusupan, pencurian hak akses, penyalahgunaan data maupun sistem,
sampai tindakan kriminal melalui aplikasi jaringan komputer. Pengamanan terhadap
sistem hendaknya dilakukan sebelum sistem tersebut difungsikan. Percobaan koneksi
(trial) sebaiknya dilakukan sebelum sistem yang sebenarnya difungsikan. Dalam
melakukan persiapan fungsi sistem hendaknya disiapkan pengamanan dalam bentuk:
1) Memisahkan terminal yang difungsikan sebagai pengendali jaringan atau titik
pusat akses (Server) pada suatu area yang digunakan untuk aplikasi tertentu.
2) Menyediakan pengamanan fisik berupa ruangan khusus untuk pengamanan
perangkat yang disebut pada butir nomor 1 Ruangan tersebut dapat diberikan
label Network Operating Center (NOC) dengan membatasi personil yang
diperbolehkan masuk.
3) Memisahkan sumber daya listrik untuk NOC dari pemakaian yang lain. Hal ini
untuk menjaga kestabilan fungsi sistem. Perlu juga difungsikan Uninteruptable
Power Supply (UPS) dan Stabilizer untuk menjaga kestabilan supply listrik
yang diperlukan perangkat pada NOC.
4) Merapikan wiring ruangan dan memberikan label serta pengklasifikasian kabel.
5) Memberikan Soft Security berupa Sistem Firewall pada perangkat yang
difungsikan di jaringan.
6) Merencanakan maintenance dan menyiapkan Back Up sistem.
Firewall (pada gambar 1.1) adalah salah satu aplikasi pada sistem operasi yang
dibutuhkan oleh jaringan komputer untuk melindungi intergritas data/sistem jaringan
dari serangan-serangan pihak yang tidak bertanggung jawab atau lalu lintas jaringan
yang tidak aman. Caranya dengan melakukan filterisasi terhadap paket-paket yang
melewatinya.

3|Admi ni s tras i InfraStruktu r J ari ngan

TKJ – SMKN 1 Karawang
 Gambar 1.1 Ilustrasi Penerapan Firewall

Firewall tersusun dari aturan-aturan yang diterapkan baik terhadap hardware,

software ataupun sistem itu sendiri dengan tujuan untuk melindungi jaringan, baik
dengan melakukan filterisasi, membatasi, ataupun menolak suatu permintaan koneksi
dari jaringan luar lainnya seperti internet.
Oleh karena seringnya firewall digunakan untuk melindungi jaringannya, maka
firewall juga berfungsi sebagai pintu penyangga antara jaringan yang dilindunginya
dengan jaringan lainnya atau biasa disebut gateway.

Gambar 2.1 Arsitektur Firewall Pada Jaringan Komputer

Gambar 2.1 menunjukkan firewall yang melindungi jaringan lokal dengan cara
mengendalikan aliran paket yang melewatinya. Firewall dirancang untuk
mengendalikan aliran paket berdasarkan asal, tujuan, port dan informasi tipe paket.
Firewall berisi sederet daftar aturan yang digunakan untuk menentukan nasib paket
data yang datang atau pergi dari firewall menurut kriteria dan parameter tertentu.
Semua paket yang diperiksa firewall akan melakukan mengalami perlakuan yang
diterapkan pada rule atau policy yang diterapkan pada chains firewall. Masing-masing
tabel dikenakan untuk tipe aktivitas paket tertentu dan dikendalikan oleh rantai aturan

4|Admi ni s tras i InfraStruktu r J ari ngan

TKJ – SMKN 1 Karawang
filter paket yang sesuai. Rantai (chains) adalah daftar aturan yang dibuat untuk
mengendalikan paket
Pada firewall terjadi beberapa proses yang memungkinkannya melindungi
jaringan. Proses yang terjadi pada firewall ada tiga macam yaitu:
1) Modifikasi header paket,
2) Translasi alamat jaringan, dan
3) Filter paket
Modifikasi header paket digunakan untuk memodifikasi kualitas layanan bit paket
TCP sebelum mengalami proses routing.
Translasi alamat jaringan antara jaringan privat dan jaringan publik terjadi pada
firewall. Translasi yang terjadi dapat berupa translasi satu ke satu (one to one), yaitu
satu alamat IP privat dipetakan kesatu alamat IP publik atau translasi banyak kesatu
(many to one) yaitu beberapa alamat IP privat dipetakan kesatu alamat publik.
Filter paket digunakan untuk menentukan nasib paket apakah dapat diteruskan atau
tidak.

2. Prinsip dan cara kerja firewall

– Semua komunikasi jaringan melewati firewall
– Hanya lalu lintas data dari jaringan terpercaya yang diperbolehkan lewat oleh
firewall
– Firewall memiliki kemampuan melindungi omputer dari serangan berbahaya
yang berasal dari internet
Cara Kerja firewall dengan menggunakan metode-metode untuk mengatur lalu
lintas jaringan dari internet ke komputer kita.
1) Packet Filtering
Paket dianalisa dan dibandingkan dengan filter. Filter paket memiliki
seperangkat aturan untuk menerima atau menolak dengan pra-dikonfigurasi.
2) Stateful Inspeksi
Ini adalah metode baru, ia membandingkan aspek kunci setiap database sumber
yang dipercaya. Jika paket diizinkan maka akan lanjut, jika tidak maka akan dibuang.
Firewall dapat di konfigurasi dengan menambahkan filter berdasarkan yang di
bawah ini:
a. Alamat IP
Dalam kasus ini apapun jika alamat IP di luar jaringan dikatakan kurang
baik, maka dimungkinkan untuk mengatur filter untuk memblokir semua
lalu lintas ke dan dari alamat IP. Misalnya , jika alamat IP tertentu ditemukan

5|Admi ni s tras i InfraStruktu r J ari ngan

TKJ – SMKN 1 Karawang
 akan membuat terlalu banyak koneksi ke server , administrator dapat
memutuskan untuk memboklir lalu lintas dari IP ini menggunakan firewall.
b. Nama Domain
Karena sulit mengingat alamat IP, hal ini adalah cara yang paling mudah untuk
menambahkan filter berdasarkan nama domain. Perusahaan dapat
memutuskan untuk memboklir semua akses ke nama domain tertentu , atau
mungkin menyediakan akses hanya untuk daftar nama domain yang dipilih.
c. Port/ Protokol
Setiap layanan internet menggunakan nomor port, setiap layanan dengan satu
kata sederhana dan bisa dibandingkan dengan pintu virtual dari server melalui
sebuah layanan yang telah disediakan. Sebagai contoh , jika server menjalankan
layanan web (HTTP) maka biasanya tersedia pada port 80. Demikian pula
berbagai layanan seperti Telnet (Port 23), FTP (Port 21) dan SMTP (Port 25)
dapat berjalan pada server. Jika layanan ini ditujukan untuk public, maka
biasanya port akan dibiarkan terbuka. Jika tidak, maka akan diblok
menggunakan firewall untuk mencegah penyusup menggunakan port terbuka
untuk membuat sambungan.
d. Kata Khusus atau Frase
Firewall dapat dikonfigurasi untuk menyaring satu atau lebih kata atau frase
yang spesifik sehingga, baik paket masuk dan keluar yang dipandai untuk kata-
kata yang ada dalam saringan. Misalnya , anda mungkin mengatur settingan
firewall untuk menyaring setiap paket yang berisi istilah ofensif atau frase
untuk dapat masuk maupun keluar dari jaringan anda.

3. Teknik yang digunakan oleh firewall

1) Service control (kendali terhadap layanan)
Berdasarkan tipe-tipe layanan yang digunakan di Internet dan boleh diakses baik
untuk kedalam ataupun keluar firewall. Biasanya firewall akan mencek IP Address
dan juga nomor port yang di gunakan baik pada protokol TCP dan UDP, bahkan
bisa dilengkapi software untuk proxy yang akan menerima dan menterjemahkan
setiap permintaan akan suatu layanan sebelum mengijinkannya. Bahkan bisa jadi
software pada server itu sendiri , seperti layanan untuk web ataupun untuk mail.
2) Direction Conrol (kendali terhadap arah)
berdasarkan arah dari berbagai permintaan (request) terhadap layanan yang akan
dikenali dan diijinkan melewati firewall.

6|Admi ni s tras i InfraStruktu r J ari ngan

TKJ – SMKN 1 Karawang
3) User control (kendali terhadap pengguna)
berdasarkan pengguna/user untuk dapat menjalankan suatu layanan, artinya ada
user yang dapat dan ada yang tidak dapat menjalankan suatu servis, hal ini di
karenakan user tersebut tidak di ijinkan untuk melewati firewall. Biasanya
digunakan untuk membatasi user dari jaringan lokal untuk mengakses keluar,
tetapi bisa juga diterapkan untuk membatasi terhadap pengguna dari luar.
4) Behavior Control (kendali terhadap perlakuan)
berdasarkan seberapa banyak layanan itu telah digunakan. Misal, firewall dapat
memfilter email untuk menanggulangi/mencegah spam.

4. Jenis-jenis firewall
Firewall dapat dibedakan berdasarkan caranya bekerja. Jenis-jenis firewall tersebut
adalah:
1) Packet Filtering Gateway (Level 3 OSI)
Packet filtering gateway dapat diartikan sebagai firewall yang bertugas
melakukan filterisasi terhadap paket-paket yang datang dari luar jarigan yang
dilindunginya.
Packet filtering firewall memvalidasi paket berdasarkan protocol, sumber dan
tujuan IP Address,sumber dan tujuan nomer port, waktu sesi, (DSCP), Type Of
Service (ToS), dan banyak lagi parameter yang ada dalam IP header. Packet
filtering dapat dicapai dengan menggunakan ACL (Access Control List) yang berada
di Router /Switch yanag bekerja dengan sangat cepat terutama ketika berada di
Application Specific Integratied Circuit (ASIC). trafik data akan masuk kedalam
interface yang dipilih dan memfilter paket data sebelum diteruskan,memblok dan
mengijinkan paket sesuai dengan setingan ACL.
Filterirasi paket ini hanya terbatas pada sumber paket, tujuan paket, dan
atribut-atribut dari paket tersebut, misalnya paket tersebut bertujuan ke server kita
yang menggunakan alamat IP 202.51.226.35 dengan port 80. Port 80 adalah atribut
yang dimiliki oleh paket tersebut.
Seperti yang terlihat pada gambar 2.3, firewall tersebut akan melewatkan
paket dengan tujuan ke Web Server yang menggunakan port 80 dan menolak paket
yang menuju Web Server dengan port 23.
Bila kita lihat dari sisi arsitektur TCP/IP, firewall ini akan bekerja pada layer
internet. Firewall ini biasanya merupakan bagian dari sebuah router firewall.
Software yang dapat digunakan untuk implementasi packet filtering
diantaranya adalah iptables dan ipfoward.

7|Admi ni s tras i InfraStruktu r J ari ngan

TKJ – SMKN 1 Karawang
 Gambar 2.1 Lapisan untuk Proses Packet Filtering Gateway

Gambar 2.2 Gambaran hubungan kerja firewall dengan lapisan model

Referensi TCP/IP pada Packet-Filtering Firewalls
2) Application Layer Gateway / Proxy Firewalls (Layer 5 TCP/IP Application)
Model firewall ini juga dapat disebut Proxy Firewall. Mekanismenya tidak
hanya berdasarkan sumber, tujuan dan atribut paket, tapi bisa mencapai isi (content)
paket tersebut.

Gambar 2.3 Web server dengan Firewall

Mekanisme lainnya yang terjadi adalah paket tersebut tidak akan secara
langsung sampai ke server tujuan, akan tetapi hanya sampai firewall saja.
Selebihnya firewall ini akan membuka koneksi baru ke server tujuan setelah
paket tersebut diperiksa berdasarkan aturan yang berlaku.

8|Admi ni s tras i InfraStruktu r J ari ngan

TKJ – SMKN 1 Karawang
 Bila kita melihat dari sisi layer TCP/IP, firewall jenis ini akan melakukan
filterisasi pada layer aplikasi (Application Layer).

Gambar 2.4 Proxy Firewall dilihat pada Model TCP/IP

Firewall jenis ini yang sering kita sebut proxy, dimana proxy mampu
membaca isi paket data yang berisi content yang akan dikirim /diterima user,
firewall bisa mengidentifikasi paket yang berisi pecahan file dengan extensi tertentu
dan content dengan kandungan text tertentu. Makanya firewall jenis ini digunakan
untuk memmfilter content yang akan diterima user . seperti mem-block download
file executable untuk menghindari penyebaran malware, memblock situs tertentu
misalnya memblock situs yang mengandung kalimat porno dan sosial media.

Gambar 2.5 Gambaran hubungan kerja firewall dengan lapisan model Referensi
TCP/IP pada Application/Proxy Firewalls
3) Circuit Level Gateway (Layer 4 OSI &TCP/IP Session )
Model firewall ini bekerja pada bagian Lapisan Transport model referensi
TCP/IP. Firewall ini akan melakukan pengawasan terhadap awal hubungan TCP
yang biasa disebut sebagai TCP Handshaking, yaitu proses untuk menentukan
apakah sesi hubungan tersebut diperbolehkan atau tidak. Bentuknya hampir sama
dengan Application Layer Gateway, hanya saja bagian yang difilter terdapat ada
lapisan yang berbeda, yaitu berada pada layer Transport.

9|Admi ni s tras i InfraStruktu r J ari ngan

TKJ – SMKN 1 Karawang
 Gambar 2.6 Circuit Level Gateway dilihat pada Model TCP/IP

Gambar 2.7 Gambaran hubungan kerja firewall dengan lapisan model

Referensi TCP/IP pada Circuit-Level Gateway Firewall
4) Statefull Multilayer Inspection Firewall
Model firewall ini merupakan penggabungan dari ketiga firewall sebelumnya.
Firewall jenis ini akan bekerja pada lapisan Aplikasi, Transport dan Internet.
Dengan penggabungan ketiga model firewall yaitu Packet Filtering Gateway,
Application Layer Gateway dan Circuit Level Gateway, mungkin dapat dikatakan
firewall jenis ini merupakan firewall yang, memberikan fitur terbanyak dan
memberikan tingkat keamanan yang paling tinggi.

Gambar 2.8 State Multilayer Inspection Firewall dilihat pada model TCP/IP

10 | A d m i n i s t r a s i I n f r a S t r u k t u r J a r i n g a n
TKJ – SMKN 1 Karawang
 Gambar 2.9 Gambaran hubungan kerja firewall dengan lapisan model
Referensi TCP/IP pada Stateful Multilayer Gateways
5) Reverse-Proxy Firewalls
Pada umumnya firewall digunakan untuk melindungi client, Reverse-Proxy
Firewalls dibuat dan diirancang untuk melindungi Server , server diletakan di
dalam jaringan internet yang liar dan berbahaya, Reverse-Proxy Firewalls akan
menjadi tameng dalam menghadapi serangan dari hacker dari internet. contoh
Reverse-Proxy Firewalls adalah Cloudflare CDN (Content Delivery Network )
yang bertugas digaris depan untuk melayani permintaan pengunjung dan
menangkal serangan hacker. Reverse-Proxy Firewalls akan menyembunyikan IP
asli dari server sehingga hacker akan berusaha lebih keras untuk menemukan IP
asli dari server yang ingin diserang. Reverse-Proxy Firewalls juga berfungsi
sebagai cache untuk meringankan beban dari server.

Gambar 2.10 Gambaran firewall Reverse-Proxy Firewalls

6) Reusing IP Addresses
maksudnya adalah satu IP digunakan oleh banyak komputer didalam jaringan. Kita
ambil contoh ketika kita langganan internet di speedy atau yang lain. kita hanya
mendapat satu IP untuk terkoneksi ke internet, tetapi kita punya banyak perangkat
dirumah atau tempat usaha, akan sangat mahal jika kita membeli banyak paket hanya
untuk mendapat jumlah IP yang sesuai dengan jumlah perangkat kita yang ingin konek
ke internet.

11 | A d m i n i s t r a s i I n f r a S t r u k t u r J a r i n g a n
TKJ – SMKN 1 Karawang
 Solusinya adalah dengan menggunakan NAT (Network Address Translation) fungsi
ini ada didalam setiap router, dimana koneksi internet akan dishare ke banyak
perangkat menggunakan ip private. benefit dari metode ini dalah IP local kita akan
tersembunyi dari dunia luar (internet) yang keliatan hanya IP public saja.

Gambar 2.11 Gambaran firewall Reusing IP Addresses

5. Karakteristik firewall
1) Firewall harus lebih kuat dan kebal terhadap serangan luar. Hal ini berarti bahwa
Sistem Operasi akan lebih relatif lebih aman dan pengguna sistemnya dapat
dipercaya.
2) Hanya aktivitas atau kegiatan yang dikenal/terdaftar saja yang dapat melewati atau
melakukan hubungan. Hal ini dilakukan dengan mengatur policy pada konfigurasi
keamanan lokal.
3) Semua aktivitas atau kegiatan dari dalam ke luar harus melewati firewall. Hal ini
dilakukan dengan membatasi atau memblok semua akses terhadap jaringan lokal,
kecuali jika melewati firewall terlebih dahulu.
Ada dua jenis karakteristik firewall jika dilihat dari fungsi firewall tersebut yaitu :
1) Personal Firewall
Personal firewall merupakan firewall yang digunakan oleh individu atau pribadi
untuk membentengi komputer PC ataupun notebook dari serangan serangan
berbahaya yang datang dari luar (biasanya internet). Personal firewall ini biasanya
berbentuk software yang sudah ada dalam sebuah sistem operasi yang digunakan,
bisa juga berupa software yang harus diinstall terlebih dahulu seperti misalnya anti
virus. Personal firewall sangat bermanfaat untuk mencegah spyware, spamming,
dan virus masuk ke komputer atau notebook kita.
2) Network Firewall
Network firewall khusus difungsikan pada sebuah jaringan komputer untuk
keamanan jaringan. Tersedia bermacam-macam jenis firewall untuk neetwork
firewall ini, contohnya adalah ISA Server, Cisco PIX, Cisco ASA, dan IP Tables.

12 | A d m i n i s t r a s i I n f r a S t r u k t u r J a r i n g a n
TKJ – SMKN 1 Karawang
 Semua jenis firewall tersebut fungsinya hanya satu, yaitu mengamankan jaringan
komputer.

6. Arsitektur firewall
1) Arsitektur dual-homed host
Arsitektur ini dibuat di sekitar komputer dual-homed host, yaitu komputer yang
memiliki paling sedikit dua interface jaringan. Untuk mengimplementasikan tipe
arsitektur dual-homed host, fungsi router pada host ini di non-aktifkan. Sistem di dalam
firewall dapat berkomunikasi dengan dual-homed host dan sistem di luar firewall dapat
berkomunikasi dengan dual-homed host, tetapi kedua sistem ini tidak dapat
berkomunikasi secara langsung.

Gambar 6.1 Arsitektur Dual Homed Host

2) Arsitektur screened host
Arsitektur ini menyediakan service dari sebuah host pada jaringan internal dengan
menggunakan router yang terpisah. Pengamanan pada arsitektur ini dilakukan dengan
menggunakan paket filtering.
Tiap sistem eksternal yang mencoba untuk mengakses sistem internal harus
berhubungan dengan bastion host. Bastion host diperlukan untuk tingkat keamanan
yang tinggi. Bastion host berada dalam jaringan internal.

13 | A d m i n i s t r a s i I n f r a S t r u k t u r J a r i n g a n
TKJ – SMKN 1 Karawang
 Gambar 6.2 Arsitektur screened host
3) Arsitektur screened subnet
Arsitektur screened subnet menambahkan sebuah layer pengaman tambahan pada
arsitektur screened host, yaitu dengan menambahkan sebuah jaringan parameter yang
lebih mengisolasi jaringan internal dari jaringan internet.
Jaringan perimeter mengisolasi bastion host sehingga tidak langsung terhubung ke
jaringan internal. Arsitektur ini yang paling sederhana memiliki dua buah screening
router, yang masing-masing terhubung ke jaringan parameter. Router pertama terletak
di antara jaringan parameter dan jaringan internal, dan router kedua terletak diantara
jaringan parameter dan jaringan eksternal (biasanya internet).

Gambar Arsitektur screened subnet

14 | A d m i n i s t r a s i I n f r a S t r u k t u r J a r i n g a n
TKJ – SMKN 1 Karawang
7. Teknik konfigurasi firewall
1) Screened Host FIrewall system (single-homed bastion)
Pada konfigurasi ini, fungsi firewall akan dilakukan oleh packet filtering router dan
bastion host .Router ini dikonfigurasikan sedemikian sehingga untuk semua arus
data dari Internet, hanya paket IP yang menuju bastion host yang di ijinkan.
Sedangkan untuk arus data (traffic) dari jaringan internal, hanya paket IP dari
bastion host yang di ijinkan untuk keluar.
Konfigurasi ini mendukung fleksibilitas dalam Akses internet secara langsung,
sebagai contoh apabila terdapat web server pada jaringan ini maka dapat di
konfigurasikan agar web server dapat diakses langsung dari internet. Bastion Host
melakukan fungsi Authentikasi dan fungsi sebagai proxy. Konfigurasi ini
memberikan tingkat keamanan yang lebih baik daripada packet-filtering router
atau application-level gateway secara terpisah.
2) Screened Host Firewall system (Dual-homed bastion)
Pada konfigurasi ini, secara fisik akan terdapat patahan/celah dalam jaringan.
Kelebihannya adalah dengan adanya du ajalur yang meisahkan secara fisik maka
akan lebih meningkatkan keamanan dibanding konfigurasi pertama, adapun untuk
server-server yang memerlukan direct akses (akses langsung) maka dapat di
letakkan ditempat/segmenrt yang langsung berhubungan dengan internet Hal ini
dapat dilakukan dengan cara menggunakan 2 buah NIC (Network Interface Card)
pada bastion Host.
3) Screened subnet firewall
Ini merupakan konfigurasi yang paling tinggi tingkat keamanannya. kenapa?
karena pada konfigurasi ini di gunakan 2 buah packet filtering router, 1 diantara
internet dan bastion host, sedangkan 1 lagi diantara bastian host dan jaringan local
konfigurasi ini membentuk subnet yang terisolasi.
adapun kelebihannya adalah :
– terdapat 3 lapisan/tingkat pertahanan terhadap penyusup/intruder .
– router luar hanya melayani hubungan antara internet dan bastion host
sehingga jaringan lokal menjadi tak terlihat (invisible)
– Jaringan lokal tidak dapat mengkonstuksi routing langsung ke internet, atau
dengan kata lain , Internet menjadi Invinsible (bukan berarti tidak bisa
melakukan koneksi internet).
8. Fitur Mikrotik Firewall
Didalam router mikrotik juga terdapat fitur firewall yang berfungsi untuk
melindungi dengan cara mendrop atau mengaccept sebuah paket yang akan masuk,
melewati, atau keluar router.

15 | A d m i n i s t r a s i I n f r a S t r u k t u r J a r i n g a n
TKJ – SMKN 1 Karawang
 Dalam fitur firewall terdapat beberapa direktori yaitu :
1) Filter
2) Nat (source-nat and destination-nat)
3) Mangle
4) Address List
5) Layer 7 Protocol (baru di versi 3)
6) Service Ports
7) Connections (For monitoring only)
a. Traffic Flow
Traffic-Flow merupakan sebuah sistem yang menampilkan informasi statistik akan
besar atau banyaknya paket-paket yang melewati sebuah router. Maka dengan fitur ini
kita bisa melakukan monitoring terhadap sebuah jaringan dan memungkinkan bagi kita
untuk mengidentifikasi berbagai macam masalah yang terjadi di dalamnya. Selain itu,
dengan memanfaatkan fitur ini kita dapat melakukan analisa dan meningkatkan
performa dari router.
Setiap paket data memiliki asal (source) dan tujuan (destination). Traffic flow
bisa dibedakan menjadi 3 kategori, dilihat dari sudut pandang router.
➢ Dari Luar router menuju ke luar router lagi.
Contoh : traffic client browsing ke internet
➢ Dari luar router menuju ke dalam router itu sendiri (Local process).
Contoh : traffic winbox ke router
➢ Dari dalam router (local process) menuju ke luar router.
Contoh : traffic ping dari new terminal winbox
b. Simple Packet Flow

Gambar 8.1 Paket Flow Firewall pada ROS MikroTIK v6

16 | A d m i n i s t r a s i I n f r a S t r u k t u r J a r i n g a n
TKJ – SMKN 1 Karawang
Di dalam packet flow terdapat 5 pos pemeriksaan didalamnya yaitu :
1) Input
Input = pos pemeriksaan paket data yang terletak di depan Local Proses, semua
data yang menuju ke dalam router itu sendiri (Local Proses) akan melewati pos ini.
2) Output
Output = pos pemeriksaan paket data yang terletak di belakang Local Proses, semua
paket data yang keluar dari dalam router (local proses) sebelum menuju ke output
interface akan di proses dalam chain output.
3) Forward
Forward = pos pemeriksaan paket data yang terletak di antara PreRouting dan
PostRouting ,semua paket data dari luar router menuju ke luar router akan diproses
di chain Forward.
4) Prerouting
Prerouting = pos pemeriksaan paket data yang terletak dibelakang input
interface,semua data yang masuk dari input interface akan melalui dan diproses
pada chain Prerouting sebelum ke proses selanjutnya.
5) Postrouting
Postrouting = pos pemeriksaan yang terletak di depan output interface,semua data
yang keluar menuju output interface akan terlebih dahulu di proses pada Chain
PostRouting.

c. Connection Tracking and State

➢ Connection Tracking
Connection Tracking adalah “jantung” dari firewall, mengumpulkan
informasi tentang active connections. Dengan mendisable connection tracking
router akan kehilangan fungsi NAT, filter rule dan mangle. Setiap connection
tracking membaca pertukaran traffic 2 arah (src dan dst address).
Connection tracking membutuhkan CPU resources (disable saja jika kita
tidak menggunakan firewall).

17 | A d m i n i s t r a s i I n f r a S t r u k t u r J a r i n g a n
TKJ – SMKN 1 Karawang
 Gambar 8.2 Connection Tracking Pada Firewall MikroTIK
Connection tracking mempunyai kemampuan untuk melihat informasi
koneksi yang melewati router, seperti source dan destination IP dan Port yang
sedang di gunakan, status koneksi,tipe protocol dan lain-lain.
Setiap paket data itu memiliki status koneksi ( connection started ) yang dapat
dilihat pada connection tracking, ini gan, status koneksi nya :
• Invalid : paket tidak dimiliki oleh koneksi apapun, tidak berguna.
• New : paket yang merupakan pembuka sebuah koneksi/paket pertama dari
sebuah koneksi.
• Established : merupakan paket kelanjutan dari paket dengan status new.
• Related : paket pembuka sebuah koneksi baru, tetapi masih berhubungan denga
koneksi sebelumnya.
Berikut gambaran Status koneksi/Connection State.

Gambar 8.3 Gambaran Status Connection State Pada Firewall

MikroTIK
➢ Implikasi Connection State
Pada rule Firewall filter, pada baris paling atas biasanya kita membuat rule :
1. Connection state=invalid >> drop
2. Connection state=related >> accept
3. Connection state=established >> accept

18 | A d m i n i s t r a s i I n f r a S t r u k t u r J a r i n g a n
TKJ – SMKN 1 Karawang
 4. Connection state=new >> diproses ke rule berikutnya
Sistem rule seperti ini akan sangat menghemat resources router, karena
proses filtering hanya dilakukan pada saat connection dimulai (connection-
state=new).
d. Mangle
Mangle adalah cara untuk menandai paket-paket data tertentu, dan kita akan
menggunakan tanda tersebut pada fitur lainnya, misalnya pada filter, routing, NAT,
ataupun queue. Pada mangle kita juga bisa melakukan pengubahan beberapa parameter
pada IP Header, misalnya TOS (DSCP) dan TTL fields. Tanda mangle ini hanya bisa
digunakan pada router yang sama, dan tidak terbaca pada router lainnya. Pembacaan
rule mangle akan dilakukan dari atas ke bawah secara berurutan.

Gambar 8.4 Gambar Chain pada Mangle

19 | A d m i n i s t r a s i I n f r a S t r u k t u r J a r i n g a n
TKJ – SMKN 1 Karawang
 e. Type Of Mark
Ada tiga tipe mark, diantaranya ialah :
1. Packet Mark
Penandaan untuk setiap paket data
2. Connection Mark
Penandaan untuk koneksi
3. Route Mark
Penandaan paket khusus untuk routing
Pada saat yang bersamaan, setiap paket data hanya bisa memiliki 1 conn-mark, 1
packet-mark, dan 1 route-mark.
f. Connection Mark
Adalah fitur mangle untuk menandai suatu koneksi (berlaku baik untuk request,
maupun untuk response) sebagai satu kesatuan. Untuk jaringan dengan src-nat
atau kalau kita mau melakukan marking berdasarkan protokol tcp, disarankan
untuk melakukan mark-connection terlebih dahulu, baru membuat mark-packet
atau mark-routing berdasarkan conn-mark nya. Mark-connection cukup dibuat
pada saat proses request saja.
g. Passthrough
• Passthrough=no
- berarti jika parameter sesuai, maka baris mangle berikutnya tidak lagi
dibaca
- value mangle sudah final, tidak diubah lagi
• Passthrough=yes
- akan tetap membaca baris mangle berikutnya
- value mangle bisa diubah lagi di baris berikutnya
Biasanya pada :
- mark-connection, passthrough = yes
- mark-packet, passthrough=no
h. Mangle dengan SRC NAT
Karena urutan proses NAT dan mangle diperhatikan pada bagan Packet Flow,
maka kita harus menggunakan conn-mark terlebih dahulu jika kita ingin membuat
mangle untuk menandai proses uplink dan downlink IP tertentu di
chain Prerouting. Jika dipasang mangle di chain Forward maka bisa langsung
digunakan packet mark.
i. Chain pada Firewall Mikrotik
Firewall beroperasi dengan menggunakan aturan firewall. Setiap aturan terdiri dari
dua bagian - matcher yang sesuai arus lalu lintas terhadap kondisi yang diberikan

20 | A d m i n i s t r a s i I n f r a S t r u k t u r J a r i n g a n
TKJ – SMKN 1 Karawang
dan tindakan yang mendefinisikan apa yang harus dilakukan dengan paket yang
cocok. Aturan firewall filtering dikelompokkan bersama dalam chain. Hal ini
memungkinkan paket yang akan dicocokkan terhadap satu kriteria umum dalam
satu chain, dan kemudian melewati untuk pengolahan terhadap beberapa kriteria
umum lainnya untuk chain yang lain.
Misalnya paket harus cocok dengan alamat IP:port. Tentu saja, itu bisa dicapai
dengan menambahkan beberapa rules dengan alamat IP:port yang sesuai
menggunakan chain forward, tetapi cara yang lebih baik bisa menambahkan satu
rule yang cocok dengan lalu lintas dari alamat IP tertentu, misalnya: filter firewall
/ ip add src-address = 1.1.1.2/32 jump-target = "mychain".

Gambar 8.5 Gambar Chain Firewall

21 | A d m i n i s t r a s i I n f r a S t r u k t u r J a r i n g a n
TKJ – SMKN 1 Karawang
 Ada tiga chain yang telah ditetapkan pada RouterOS Mikrotik :
a. Input - digunakan untuk memproses paket memasuki router melalui salah
satu interface dengan alamat IP tujuan yang merupakan salah satu alamat
router. Chain input berguna untuk membatasi akses konfigurasi terhadap
Router Mikrotik.
b. Forward - digunakan untuk proses paket data yang melewati router.
c. Output - digunakan untuk proses paket data yang berasal dari router dan
meninggalkan melalui salah satu interface.
j. Firewall Filters – Blocking Rules
• Adalah cara untuk memfilter paket, dilakukan untuk meningkatkan keamanan
jaringan, dan mengatur flow data dari, ke client, ataupun router
• Pembacaan rule filter dilakukan dari atas ke bawah secara berurutan. Jika
melewati rule yang kriterianya sesuai akan dilakukan action yang ditentukan,
jika tidak sesuai, akan dianalisa ke baris selanjutnya.
k. Action Filter Firewall RouterOS MikroTIK
Pada konfigurasi firewall mikrotik ada beberapa pilihan Action, diantaranya :
• Accept : paket diterima dan tidak melanjutkan membaca baris berikutnya
• Drop : menolak paket secara diam-diam (tidak mengirimkan pesan penolakan
ICMP)
• Reject : menolak paket dan mengirimkan pesan penolakan ICMP
• Jump : melompat ke chain lain yang ditentukan oleh nilai parameter jump-target
• Tarpit : menolak, tetapi tetap menjaga TCP connection yang masuk (membalas
dengan SYN/ACK untuk paket TCP SYN yang masuk)
• Passthrough : mengabaikan rule ini dan menuju ke rule selanjutnya
• log : menambahkan informasi paket data ke log

Gambar 8.5 Gambar Action List yang dapat digunakan pada firewall

22 | A d m i n i s t r a s i I n f r a S t r u k t u r J a r i n g a n
TKJ – SMKN 1 Karawang
l. Filter Rules
Filter rule biasanya digunakan untuk melakukan kebijakan boleh atau tidaknya
sebuah trafik ada dalam jaringan, identik dengan accept atau drop. Pada
menu Firewall → Filter Rules terdapat 3 macam chain yang tersedia. Chain
tersebut antara lain adalah Forward, Input, Output. Adapun fungsi dari masing-
masing chain tersebut adalah sebagai berikut:
• Forward :
Digunakan untuk memproses trafik paket data yang hanya melewati router.
Misalnya trafik dari jaringan public ke local atau sebaliknya dari jaringan local
ke public, contoh kasus seperti pada saat kita melakukan browsing. Trafik
laptop browsing ke internet dapat dimanage oleh firewall dengan
menggunakan chain forward.
• Input :
Digunakan untuk memproses trafik paket data yang masuk ke dalam router
melalui interface yang ada di router dan memiliki tujuan IP Address berupa ip
yang terdapat pada router. Jenis trafik ini bisa berasal dari jaringan public
maupun dari jaringan lokal dengan tujuan router itu sendiri. Contoh:
Mengakses router menggunakan winbox, webfig, telnet baik dari Public
maupun Local.

• Output :
Digunakan untuk memproses trafik paket data yang keluar dari router. Dengan
kata lain merupakan kebalikan dari 'Input'. Jadi trafik yang berasal dari dalam
router itu sendiri dengan tujuan jaringan Public maupun jaringan Local.Misal
dari new terminal winbox, kita ping ke ip google. Maka trafik ini bisa
ditangkap dichain output.
m. Basis Address List
Address-list digunakan untuk memfilter group IP address dengan 1 rule
firewall. Address-list juga bisa merupakan list IP hasil dari rule firewall yang
memiliki action “add to address list”. Satu line address-list dapat berupa subnet,
range, atau 1 host IP address.
Kita dapat melakukan pengelompokan IP Address dengan Address List.
Address List (seperti halnya mangle) bisa dijadikan parameter dalam pembuatan
filter, queue, mangle, NAT, dll. Dengan Filter dan Mangle, kita bisa secara
otomatis memasukkan IP Address tertentu ke dalam address list dan juga
menentukan jangka waktu expire nya.

23 | A d m i n i s t r a s i I n f r a S t r u k t u r J a r i n g a n
TKJ – SMKN 1 Karawang
n. NAT (Network Address Translation)
NAT (Network Address Translation) atau Penafsiran alamat jaringan adalah
suatu metode untuk menghubungkan lebih dari
satu komputer ke jaringan internet dengan menggunakan satu alamat IP.
Banyaknya penggunaan metode ini disebabkan karena ketersediaan alamat IP yang
terbatas, kebutuhan akan keamanan (security), dan kemudahan serta fleksibilitas
dalam administrasi jaringan.
NAT merupakan salah satu protocol dalam suatu sistem jaringan, NAT
memungkinkan suatu jaringan dengan ip atau internet protocol yang bersifat privat
atau privat ip yang sifatnya belum teregistrasi di jaringan internet
untuk mengakses jalur internet, hal ini berarti suatu alamat ip dapat mengakses
internet dengan menggunakan ip privat atau bukan menggunakan ip public, NAT
biasanya dibenamkan dalam sebuah router, NAT juga sering digunakan untuk
menggabungkan atau menghubungkan dua jaringan yang berbeda, dan
mentranslate atau menterjemahkan ip privat atau bukan ip public dalam jaringan
internal ke dalam jaringan yang legal network sehingga memiliki hak untuk
melakukan akses data dalam sebuah jaringan.
NAT digunakan untuk melakukan pengubahan baik src-address ataupun dst-
address. Setelah paket data pertama dari sebuah koneksi terkena NAT, maka paket
berikutnya pada koneksi tersebut juga akan terkena NAT. NAT akan diproses
terurut mulai baris paling atas hingga ke bawah.

Gambar 8.6 Firewall NAT pada MikroTIK

Di MikroTik ada dua type NAT :
1) Srcnat (Source NAT) : pengalihan dijalankan untuk paket data yang
berasal dari jaringan natted. NAT dapat merubah alamat IP asal paket
dari jaringan natted dengan alamat IP umum. Source NAT senantiasa
dikerjakan sesudah routing saat sebelum paket keluar menuju jaringan.
Masquerade yaitu perumpamaan dari srcnat.
2) Dstnat (Destination NAT) : pengalihan dikerjakan untuk paket data
yang menuju jaringan lokal. Ini umum difungsikan untuk membuat host

24 | A d m i n i s t r a s i I n f r a S t r u k t u r J a r i n g a n
TKJ – SMKN 1 Karawang
 dalam jaringan lokal dapat diakses dari luar jaringan (internet). NAT
dapat merubah alamat IP arah paket dengan alamat IP lokal. Destination
NAT senantiasa dikerjakan saat sebelum routing saat paket dapat masuk
dari jaringan. Port Forward, Port Mapping, transparent proxy yaitu
perumpamaan dari dstnat.
• Src-NAT and Masquerade
Untuk menyembunyikan IP Address lokal dan menggantikannya dengan IP
Address publik yang sudah terpasang pada router
– src-nat
Kita bisa memilih IP Address publik yang digunakan untuk menggantikan.
– Masquerade
Masquerade mungkin bisa di artikan sebagai topeng untuk bisa
terkenoneksi ke jaringan internet menggunakan ip private, atau simplenya
masquerade mikrotik atau masquerade linux merupakan sebuah metode
yang mengizinkan dan memperbolehkan ip private untuk terkoneksi ke
internet dengan mengunakan bantuan sebuah ip public /bertopengkan
sebuah ip publik.
Dengan bantuan masquerade sebuah ip publik dapat mendistribusikan
koneksi internet ke banyak ip private. Ip private merupakan ip address yang
tidak masuk kedalam routing table router jaringan internet global. Dan ip
private hanya bisa di gunakan didalam jaringan lokal. Karena ip private ini
hanya bisa di gunakan dalam jaringan LAN atau local area network, maka
lahirlah masquerade yang menjadi topeng agar ip private (LAN) dapat
berinteraksi ke internet.
Secara otomatis akan menggunakan IP Address pada interface publik.
Digunakan untuk mempermudah instalasi dan bila IP Address publik pada
interface publik menggunakan IP Address yang dinamik (misalnya DHCP,
PPTP atau EoIP)
• Dst-nat and Redirect
Untuk melakukan penggantian IP Address tujuan, atau mengarahkan koneksi
ke localhost.
– dst-nat
Kita bisa mengganti IP Address dan port tujuan dari seuatu koneksi.
– Redirect
Untuk mengalihkan koneksi yang tadinya melwati router, dan dialihkan
menuju ke loclhost.

25 | A d m i n i s t r a s i I n f r a S t r u k t u r J a r i n g a n
TKJ – SMKN 1 Karawang
 RANGKUMAN
1. Dapat ditarik kesimpulan firewall adalah sebuah pembatas antara suatu jaringan
lokal dengan jaringan lainnya yang sifatnya publik (dapat diakses oleh
siapapun) sehingga setiap data yang masuk dapat diidentifikasi untuk dilakukan
penyaringan sehingga aliran data dapat dikendalikan untuk mencegah
bahaya/ancaman yang dating dari jaringan publik.
2. Prinsip firewall adalah Semua komunikasi jaringan melewati firewall, Hanya
lalu lintas data dari jaringan terpercaya yang diperbolehkan lewat oleh
firewall, Firewall memiliki kemampuan melindungi omputer dari serangan
berbahaya yang berasal dari internet dan cara kerja firewall ada 2 yaitu Packet
Filtering dan Stateful Inspeksi.
3. Jenis-Jenis firewall yaitu (1) Packet Filtering Gateway, (2) Application Layer
Gateway, (3) Circuit Level Gateway, (4) Statefull Multilayer Inspection
Firewall, (5) Reverse-Proxy Firewalls dan (6) Reusing IP Addresses
4. Ada dua jenis karakteristik firewall jika dilihat dari fungsi firewall tersebut
yaitu Personal Firewall dan Network Firewall.
5. Arsitektur firewall ada 3 yaitu Arsitektur dual-homed host, Arsitektur
screened host dan Arsitektur screened subnet
6. Teknik konfigurasi firewall ada 3 teknik yaitu Screened Host FIrewall system
(single-homed bastion), Screened Host Firewall system (Dual-homed bastion)
dan Screened subnet firewall
7. Dalam Router OS Mikrotik terdapat fitur firewall, dimana dalam fitur firewall
terdapat beberapa direktori yaitu Rules, NAT (source-nat and destination-nat),
Mangle, Address List, Layer 7 Protocol (baru di versi 3), Service Ports dan
Connections

26 | A d m i n i s t r a s i I n f r a S t r u k t u r J a r i n g a n
TKJ – SMKN 1 Karawang
 DAFTAR PUSTAKA

1. Catur Budi Waluyo. Arsitektur dan jenis-jenis Firewall dalam jaringan computer.
https://www.calesmart.com/artikel/Arsitektur-dan-jenis-jenis-Firewall-dalam-
jaringan-komputer_158.html
2. Destrianword. 2017. Jenis-Jenis dan Hubungan Kerjanya dengan Susunan
Lapisan Model Refrensi TCP/IP.
https://dewiristiaword.wordpress.com/2017/04/19/firewall-jenis-jenis-dan-
hubungan-kerjanya-dengan-susunan-lapisan-model-refrensi-tcpip/
3. http://bannyarysatria.blogspot.com/2015/06/makalah-firewall.html
4. Shibyan. Sistem Keamanan Jaringan (Firewall).
http://shibyansae.blogspot.com/p/modul-belajar.html

27 | A d m i n i s t r a s i I n f r a S t r u k t u r J a r i n g a n
TKJ – SMKN 1 Karawang