Q62 — AWS ANS-C01 第1章

第 62/100 题 | ← 返回第1章

一家公司正在开发一个新应用程序,该应用程序部署在多个AWS区域的多个VPC中。这些VPC通过AWS Transit Gateway互连。VPC包含私有子网和公有子网。所有私有子网中的出站互联网流量都必须接受审计和记录。该公司的网络工程师计划使用AWS Network Firewall,并确保所有经过Network Firewall的流量均被完整记录以供审计和告警。网络工程师应如何配置Network Firewall日志以满足这些要求?

正确答案: B. 在Network Firewall中配置Network Firewall日志以捕获所有告警和流量日志。

解析

AWS Network Firewall提供两种日志类型:告警日志(记录规则匹配事件)和流量日志(记录所有经过防火墙的流量数据)。根据AWS官方文档,启用完整日志记录需要同时配置这两种日志类型。选项A仅包含告警日志,未涵盖流量日志。选项C错误地将VPC流日志与防火墙日志混淆。选项D的CloudTrail不记录网络流量元数据。选项B正确配置了告警日志和流量日志的组合,满足审计全部流量的需求。AWS文档明确指出Network Firewall的日志功能需在防火墙设置中独立启用告警及流量日志。