ASai
Internet gateway
Internet gateway là một thành phần kết nối một VPC (mạng ảo riêng của bạn trên AWS) với internet.
Nó không phải là tường lửa kiểm soát lưu lượng theo từng instance, nên không đúng.
Tường lửa ảo cấp instance nào kiểm soát, cho từng instance EC2 riêng lẻ, lưu lượng được phép (vào/ra) theo cổng và theo nguồn?
1 / 1
Hãy chọn một đáp án
ĐúngB
Giải thích
Chọn tường lửa ảo cấp instance.
- 1「từng instance EC2 riêng lẻ」Kiểm soát theo từng instance = security group
- 2「Tường lửa ảo cấp instance」Chính là định nghĩa của security group
- 3「lưu lượng được phép」Kiểm soát bằng các quy tắc cho phép
BĐúng
Security group
Chính xác. Security group là một tường lửa ảo gắn vào các tài nguyên như instance EC2, nơi bạn đặt các quy tắc cho phép theo cổng và theo nguồn/đích. Nó stateful, nên lưu lượng phản hồi cho các kết nối được phép sẽ tự động được cho phép. Đây là nền tảng của việc kiểm soát lưu lượng theo từng instance.
CSai
Route table
Route table là thông tin định tuyến quyết định đích và bước nhảy kế tiếp của lưu lượng trong một subnet.
Nó không phải là tường lửa cho phép hay từ chối lưu lượng, nên không đúng.
DSai
Amazon CloudFront
CloudFront là một dịch vụ CDN phân phối nội dung.
Nó không phải là tường lửa kiểm soát lưu lượng cấp instance, nên không đúng.
Điểm cần nhớ
Security group = theo từng instance, stateful, chỉ quy tắc cho phép. Theo từng subnet, stateless, và cả cho phép lẫn từ chối là NACL. Phân biệt chúng theo tầng và đặc điểm.