ASai
Security group
Một security group hoạt động có trạng thái ở cấp instance và chỉ đặt quy tắc cho phép.
Đây không phải tính năng không trạng thái có thể đặt quy tắc từ chối ở cấp subnet, vì vậy đây là đáp án sai.
Tính năng tường lửa không trạng thái nào kiểm soát lưu lượng ở cấp subnet và cho phép đặt quy tắc từ chối rõ ràng ngoài quy tắc cho phép?
1 / 1
Hãy chọn một đáp án
ĐúngC
Giải thích
Câu hỏi yêu cầu xác định tường lửa không trạng thái cấp subnet có thể từ chối lưu lượng.
- 1「cấp subnet」Kiểm soát tại ranh giới subnet = NACL
- 2「đặt quy tắc từ chối rõ ràng」Có thể viết từ chối cũng như cho phép (đặc điểm của NACL)
- 3「không trạng thái」Lưu lượng trả về cũng cần quy tắc rõ ràng
BSai
Route table
Route table xác định các tuyến (đích và mục tiêu) và không quyết định lưu lượng được phép hay bị từ chối.
Đây không phải tính năng tường lửa, vì vậy đây là đáp án sai.
CĐúng
Network ACL (NACL)
Đúng. Network ACL (NACL) là tường lửa không trạng thái kiểm soát lưu lượng ở cấp subnet. Nó có thể đặt quy tắc từ chối rõ ràng ngoài quy tắc cho phép và chặn lưu lượng không mong muốn tại ranh giới subnet. Vì không trạng thái, quy tắc cho lưu lượng trả về cũng phải được xác định rõ ràng.
DSai
IAM policy
IAM policy xác định quyền cho các thao tác AWS API (ai có thể làm gì).
Đây không phải tính năng kiểm soát lưu lượng mạng ở cấp subnet, vì vậy đây là đáp án sai.
Điểm cần nhớ
NACL = cấp subnet, không trạng thái, cả cho phép và từ chối. Security group = cấp instance, có trạng thái, chỉ cho phép. Sự tương phản này phổ biến.