本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 保護您的來源 (BP1,BP5) 如果您使用的 Amazon 來源位於您的原產地VPC,您可能需要確保只 CloudFront 有您的 CloudFront 分發才能將請求轉發到您的來源。使用邊對來源請求標頭,您可以在將請求 CloudFront 轉發到來源時,新增或覆寫現有請求標頭的值。您可以使用 *Origin 自訂標頭* (例如標`X-Shared-Secret`頭) 來協助驗證對您來源所發出的要求是從中傳送的 CloudFront。 如需有關使用 Origin *自訂標頭保護來源*的詳細資訊,請參閱[將自訂標頭新增](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/add-origin-custom-headers.html)[至原始要求](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/add-origin-custom-headers.html)和[限制應用程式負載平衡器的存取權](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/restrict-access-to-load-balancer.html)。 如需實作範例解決方案以自動輪替原始存取限制的 *Origin 自訂標頭*值的指南,請參閱[如何使用 AWS WAF 和 Secrets Manager 來增強 Amazon CloudFront 來源安全性](https://aws.amazon.com/blogs/security/how-to-enhance-amazon-cloudfront-origin-security-with-aws-waf-and-aws-secrets-manager/)。 或者,您可以使用[AWS Lambda](https://aws.amazon.com/lambda/)功能自動更新安全群組規則,以僅允許 CloudFront 流量。這可協助確保惡意使用者無法略過,以及存取您的 Web 應用程式 AWS WAF 時 CloudFront ,藉此改善來源的安全性。 如需如何透過自動更新安全群組和`X-Shared-Secret`標頭來保護原始伺服器的詳細資訊,請參閱[如何自動更新 Amazon 的安全群組 CloudFront 和使 AWS WAF 用 AWS Lambda](https://aws.amazon.com/blogs/security/how-to-automatically-update-your-security-groups-for-amazon-cloudfront-and-aws-waf-by-using-aws-lambda/)。 不過,該解決方案涉及額外的組態和執行 Lambda 函數的成本。為了簡化此操作,我們現在引入了一個 [AWS-managed 前綴列表,用 CloudFront於](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html#managed-prefix-list)僅限從 CloudFront面向起點的 IP 地址將入站HTTP/HTTPS流量限制到您的來源。 AWS-managed 前綴列表由創建和維護, AWS 並且可以使用,無需額外費用。您可以參考 (AmazonVPC) 安全群組規則、子網路路由表、一般安全群組規則,以及任何其他可使用受 AWS 管前置詞清單的[受管前置詞清單](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html)。 CloudFront AWS Firewall Manager 如需有關在 Amazon 使用 AWS-managed 前置詞清單的詳細資訊 CloudFront,請參閱[使用 Amazon 的 AWS-managed 前置詞清單限制對來源的存](https://aws.amazon.com/blogs/networking-and-content-delivery/limit-access-to-your-origins-using-the-aws-managed-prefix-list-for-amazon-cloudfront/)取。 CloudFront **注意** 如本文件其他章節所討論的,依賴安全群組來保護您的來源,可以在要求氾濫期間,將[安全性群組連線追蹤](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html)新增為潛在的瓶頸。除非您能夠 CloudFront 使用啟用快取的快取政策來篩選惡意要求,否則最好依賴先前討論過的 *Origin 自訂標頭*,以協助驗證對您來源所發出的要求是從中傳送的 CloudFront,而不是使用安全性群組。將自訂要求標頭與 Application Load Balancer 接聽程式規則搭配使用,可防止因追蹤限制而影響到負載平衡器建立新連線而導致的限制進行調整,進而允許「Application Load Balancer」根據發生攻擊時的流量增加進行調整。DDoS