Quelle fonctionnalité de pare-feu sans état contrôle le trafic au niveau du sous-réseau et permet de définir des règles de refus explicites en plus des règles d'autorisation ?
Question demandant quel pare-feu sans état au niveau du sous-réseau peut refuser le trafic.
Groupe de sécurité
Un groupe de sécurité fonctionne avec état au niveau de l'instance et ne définit que des règles d'autorisation.
Ce n'est pas une fonctionnalité sans état qui peut définir des règles de refus au niveau du sous-réseau, c'est donc incorrect.
Table de routage
Une table de routage détermine les routes (destination et cible) et ne décide pas si le trafic est autorisé ou refusé.
Ce n'est pas une fonctionnalité de pare-feu, c'est donc incorrect.
ACL réseau (NACL)
Correct. Une ACL réseau (NACL) est un pare-feu sans état qui contrôle le trafic au niveau du sous-réseau. Elle peut définir des règles de refus explicites en plus des règles d'autorisation et bloquer le trafic indésirable à la frontière du sous-réseau. Comme elle est sans état, les règles pour le trafic de retour doivent également être définies explicitement.
Politique IAM
Une politique IAM définit les autorisations pour les opérations API AWS (qui peut faire quoi).
Ce n'est pas une fonctionnalité qui contrôle le trafic réseau au niveau du sous-réseau, c'est donc incorrect.
NACL = niveau sous-réseau, sans état, autorisation et refus. Groupe de sécurité = niveau instance, avec état, autorisation seulement. Ce contraste est fréquent.