如何限制进出 Amazon VPC 资源的流量？

解决方法

使用安全组在 EC2 实例或网络接口级别限制流量

您可以使用安全组限制 Amazon Elastic Compute Cloud (Amazon EC2) 实例或网络接口级别的流量。配置 Amazon VPC 的安全组规则，使其仅允许所需的流量。

使用网络 ACL 在子网级别限制流量

创建网络访问控制列表（网络 ACL），以根据协议、源和目标 IP 地址以及源和目标端口限制流量。

**注意：**网络 ACL 中的每条规则都包含一个规则编号。Amazon VPC 根据编号最低的规则顺序评估您的规则。

使用 AWS WAF 限制传入流量

您可以使用 AWS WAF 来限制第 7 层 HTTP 和 HTTPS 的传入流量。使用 IP 集匹配规则语句配置 AWS WAF，以限制传入的 HTTP 和 HTTPS 流量。

**注意：**当您配置 IP 集匹配规则语句时，AWS WAF 会根据语句中指定的 IP 地址检查 Web 请求的 IP 地址。该语句仅允许访问已知的 IP 地址并阻止恶意 IP 地址，以缓解分布式阻断服务 (DDoS) 攻击。

使用适用于 AWS WAF 的 AWS 托管规则或自定义规则来保护您的应用程序。有关详细信息，请参阅 How to customize behavior of AWS Managed Rules for AWS WAF（如何为 AWS WAF 自定义 AWS 托管规则的行为）。有关 Web ACL 的信息，请参阅使用 Web ACL。

使用 Network Firewall 限制流向 Amazon VPC 资源的流量

创建 AWS Network Firewall，限制流向您的 Amazon VPC 资源的不必要流量。

使用有状态域列表规则组来允许或阻止对特定域的访问。您还可以在单个 VPC 中部署 Network Firewall，以检查进出 AWS 资源的流量。有关详细信息，请参阅 Deployment models for AWS Network Firewall（AWS Network Firewall 的部署模型）。

有关 Network Firewall 灵活规则引擎的信息，请参阅 Hands-on walkthrough of the AWS Network Firewall flexible rules engine（AWS Network Firewall 灵活规则引擎的实际操作演练）。

使用 Route 53 DNS 防火墙过滤来自您的 Amazon VPC 资源的 DNS 流量

创建 Route 53 DNS 防火墙规则组，过滤从您的 Amazon VPC 资源到解析器的 DNS 流量。确保将规则组与 Amazon VPC 相关联。有关详细信息，请参阅开始使用 Route 53 解析器 DNS 防火墙。

使用 VPC 端点策略限制对 Amazon VPC 端点的访问

更新 Amazon VPC 的端点策略，以定义哪些用户可以通过 Amazon VPC 端点访问与该策略关联的服务。端点策略还定义了用户可以执行的操作。

注意：默认端点策略授予对端点的完全访问权限。

使用 VPC BPA 限制对 VPC 和子网的公共互联网访问

要防止通过整个 AWS 账户对 VPC 资源的公共互联网访问，请配置以下 VPC 屏蔽公共访问权限 (BPA) 功能：

• 启用双向模式以阻止您的 AWS 区域中所有进出互联网网关和仅限出口的互联网网关的流量，您排除的 VPC 和子网除外。
• 启用仅限入口模式以阻止您所在地区的亚马逊 VPC 的所有互联网流量，您排除的 VPC 和子网除外。
• 创建排除项，使单个 VPC 或子网免受 VPC BPA 的约束。

有关详细信息，请参阅使用 BPA。

相关信息

如何在我的 EC2 实例上允许或阻止特定 IP？

How to get started with Amazon Route 53 Resolver DNS Firewall（如何开始使用 Amazon Route 53 解析器 DNS 防火墙）

Secure your Amazon VPC DNS resolution with Amazon Route 53 Resolver DNS Firewall（使用 Amazon Route 53 解析器 DNS 防火墙保护 Amazon VPC DNS 解析）