本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
來源遏制
來源遏制是使用 和應用程式來篩選或路由環境內的 ,以防止從特定來源 IP 地址或網路範圍存取資源。使用 AWS 服務的來源抑制範例會反白顯示如下:
-
安全群組 – 建立隔離安全群組並將其套用至 Amazon EC2 執行個體,或從現有安全群組移除規則,有助於包含對 Amazon EC2 執行個體或 AWS 資源的未經授權流量。請務必注意,現有的追蹤連線不會因為變更安全群組而關閉 – 只有未來流量會被新的安全群組有效封鎖 (請參閱此事件回應手冊
和安全群組連線追蹤,以取得追蹤和未追蹤連線的其他資訊)。 -
政策 – Amazon S3 儲存貯體政策可設定為封鎖或允許來自 IP 地址、網路範圍或 VPC 端點的流量。政策會建立封鎖可疑地址和存取 Amazon S3 儲存貯體的能力。如需儲存貯體政策的其他資訊,請參閱使用 Amazon S3 主控台新增儲存貯體政策。
-
AWS WAF – 可在 上設定 Web 存取控制清單 (Web ACLs) AWS WAF ,以對資源回應的 Web 請求提供精細的控制。您可以將 IP 地址或網路範圍新增至在 上設定的 IP 集 AWS WAF,並將相符條件,例如區塊,套用至 IP 集。如果來自來源流量的 IP 地址或網路範圍符合 IP 集規則中設定的流量,這將封鎖資源的 Web 請求。
下圖顯示來源遏制的範例,其中事件回應分析師修改 Amazon EC2 執行個體的安全群組,以便將新連線限制為僅特定 IP 地址。如安全群組項目符號所述,現有的追蹤連線不會因為變更安全群組而關閉。
來源遏制範例
注意
安全群組和網路 ACLs 不會篩選 Amazon Route 53 的流量。包含 EC2 執行個體時,如果您想要防止它聯絡外部主機,請確定您也明確封鎖 DNS 通訊。
