本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 來源遏制 來源遏制是使用 和應用程式來篩選或路由環境內的 ,以防止從特定來源 IP 地址或網路範圍存取資源。使用 AWS 服務的來源抑制範例會反白顯示如下: + **安全群組** – 建立隔離安全群組並將其套用至 Amazon EC2 執行個體,或從現有安全群組移除規則,有助於控制對 Amazon EC2 執行個體或 AWS 資源的未經授權流量。請務必注意,現有的追蹤連線不會因為變更安全群組而關閉,因為新的安全群組只會有效封鎖未來的流量 (如需追蹤和未追蹤連線的其他資訊,請參閱[此事件回應手冊](https://github.com/aws-samples/aws-customer-playbook-framework/blob/main/docs/Ransom_Response_EC2_Linux.md)和[安全群組連線追蹤](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html))。 + **政策** – Amazon S3 儲存貯體政策可設定為封鎖或允許來自 IP 地址、網路範圍或 VPC 端點的流量。政策會建立封鎖可疑地址和存取 Amazon S3 儲存貯體的能力。如需儲存貯體政策的其他資訊[,請參閱使用 Amazon S3 主控台新增儲存貯體政策](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)。 + **AWS WAF **– 可在 上設定 Web 存取控制清單 (Web ACLs) AWS WAF ,以對資源回應的 Web 請求提供精細的控制。您可以將 IP 地址或網路範圍新增至在 上設定的 IP 集 AWS WAF,並將相符條件,例如區塊,套用至 IP 集。如果來自來源流量的 IP 地址或網路範圍符合 IP 集規則中設定的流量,這將封鎖資源的 Web 請求。 下圖中可見來源遏制的範例,其中事件回應分析師修改 Amazon EC2 執行個體的安全群組,以便將新連線限制為僅特定 IP 地址。如安全群組項目符號所述,現有的追蹤連線不會因為變更安全群組而關閉。 ![顯示來源遏制範例的圖表](http://docs.aws.amazon.com/zh_tw/security-ir/latest/userguide/images/source-containment-example.png) **注意** 安全群組和網路 ACLs 不會篩選 Amazon Route 53 的流量。包含 EC2 執行個體時,如果您想要防止它接觸外部主機,請確保您也明確封鎖 DNS 通訊。