源容器

源遏制是指在环境中应用筛选和路由功能，阻止来自特定源 IP 地址或网络范围的资源访问。此处重点介绍了使用 AWS 服务进行源遏制的示例：

安全组：创建隔离安全组并将其应用于 Amazon EC2 实例，或从现有安全组中删除规则，有助于遏制流向 Amazon EC2 实例或 AWS 资源的未经授权的流量。请务必注意，更改安全组不会中断现有的已跟踪连接，新安全组只会有效阻止未来的流量（有关已跟踪和未跟踪连接的更多信息，请参阅 Incident Response Playbook 和安全组连接跟踪）。
策略：可配置 Amazon S3 存储桶策略，以阻止或允许来自 IP 地址、网络范围或 VPC 端点的流量。策略能够屏蔽可疑地址并阻止对 Amazon S3 存储桶进行访问。有关存储桶策略的更多信息，请参阅使用 Amazon S3 控制台添加存储桶策略。
AWS WAF：可在 AWS WAF 上配置 Web 访问控制列表（Web ACL），以便对资源所响应的 Web 请求进行精细控制。可将 IP 地址或网络范围添加到 AWS WAF 上配置的 IP 集中，并对该 IP 集应用匹配条件（如“阻止”）。如果原始流量的 IP 地址或网络范围与 IP 集规则中配置的 IP 地址或网络范围相匹配，则这将阻止资源的 Web 请求。

如下图的源遏制示例所示，事件响应分析师修改了 Amazon EC2 实例的安全组，以限制仅允许特定 IP 地址的新连接。如前文安全组要点所述，更改安全组不会中断现有的已跟踪连接。

源遏制示例

安全组和网络 ACL 不会筛选发往 Amazon Route 53 的流量。在遏制 EC2 实例时，如果想阻止其联系外部主机，请确保同时显式阻止 DNS 通信。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

遏制

技术与访问遏制