安全群組和網路 ACLs (BP5)

Amazon Virtual Private Cloud (AmazonVPC) 可讓您佈建邏輯隔離的區段，您可以在 AWS 雲端 其中啟動您定義的虛擬網路中的 AWS 資源。

安全性群組和網路ACLs類似，因為它們可讓您控制VPC. AWS 但是安全群組可讓您在執行個體層級控制輸入和輸出流量，而網路則在子網VPC路層級ACLs提供類似的功能。使用安全性群組或網路無須額外付費ACLs。

您可以選擇是否要在啟動執行個體時指定安全群組，或是在稍後將執行個體與安全群組建立關聯。除非您建立允許流量的允許規則，否則所有連至安全性群組的網際網路流量都會隱含拒絕。

例如，當您在 Elastic Load Balancer 後方有 Amazon EC2 執行個體時，執行個體本身不需要公開存取，而且應該IPs只有私有執行個體。相反地，您可以使用允許存取 0.0.0.0/0 (以避免連線追蹤問題 — 請參閱下方附註) 與目標群組子網路上的網路存取控制清單 () 搭配目標群組子網路上的網路存取控制清單 (NACL)，提供 Elastic Load Balancer 連接埠的 Elastic Load Balancing 器存取權限，以便僅允許彈性負載平衡 IP 範圍與執行個體通訊。如此可確保網際網路流量無法直接與 Amazon EC2 執行個體通訊，進而使攻擊者更難瞭解並影響您的應用程式。

建立網路時ACLs，您可以同時指定允許和拒絕規則。如果您想要明確拒絕特定類型的應用程式流量，這會很有用。例如，您可以定義拒絕存取整個子網路的 IP 位址 (做為CIDR範圍)、通訊協定和目的地連接埠。如果您的應用程式僅用於TCP流量，您可以建立規則來拒絕所有UDP流量，反之亦然。此選項在回應攻DDoS擊時非常有用，因為它可讓您建立自己的規則，以在知道來源IPs或其他簽章時緩解攻擊。

如果您已訂閱 AWS Shield Advanced，則可以將彈性 IP 位址註冊為受保護的資源。DDoS針對已註冊為受保護資源的彈性 IP 位址的攻擊會更快速地偵測到，進而縮短緩解的時間。偵測到攻擊時，DDoS緩和系統會讀取與目標 Elastic IP 位址對應的網路，並在網路邊界 (而非子 AWS 網路層級) 強制執行ACL該網路。如此可大幅降低您受到許多基礎架構層DDoS攻擊的影響風險。

如需有關設定安全群組和網路ACLs以最佳化DDoS恢復能力的詳細資訊，請參閱如何透過減少攻擊面協助準備攻擊。DDoS

如需使用 Shield 進階搭配彈性 IP 位址做為受保護資源的詳細資訊，請參閱訂閱步驟 AWS Shield Advanced。