Q10 — AWS SAA-C03 第1章

第 10/65 题 | ← 返回第1章

Q10.解决方案架构师正在设计一个两层 Web 应用程序.该应用程序包含一个面向公众的 Web 层,托管在公共子网中的 Amazon EC2 上.数据库层由在私有子网中的 Amazon EC2 上运行的 Microsoft SQL Server 组成,安全性是公司的重中之重.这种情况应该如何配置安全组呢? (选择两项)

正确答案: A. 为 web 层配置安全组以允许来自 0.0.0.0.0/0 的端口 443 上的入站流量, C. 为数据库层配置安全组以允许来自 web 层安全组的端口 1433 上的入站流量

解析

在这种情况下,需要一个入站规则以允许从任何互联网客户端到 SSL/TLS 端口 443 上的 Web 前端的流量,因此应将源设置为 0.0.0.0/0 以允许任何入站流量.为了保护从 Web 前端到数据库层的连接,应该从公共 EC2 安全组创建一个出站规则,目标是私有 EC2 安全组.对于 MySQL,端口应设置为 1433.私有 EC2 安全组还需要允许 1433 上来自公共 EC2 安全组的入站流量.正确:“为 Web 层配置安全组以允许来自 0.0.0.0/0 的端口 443 上的入站流量”是正确的答案.正确:“配置数据库层的安全组以允许来自 Web 层安全组的端口 1433 上的入站流量”也是正确答案.不正确:“为 Web 层配置安全组以允许来自 0.0.0.0/0 的端口 443 上的出站流量”不正确,因为这是向后配置的.不正确:“配置数据库层的安全组以允许端口 443 和 1433 上的出站流量流向 Web 层的安全组”是不正确的,因为 MySQL 数据库实例不需要在这些端口中的任何一个上发送出站流量.不正确:“配置数据库层的安全组以允许来自 Web 层安全组的端口 443 和 1433 上的入站流量”是不正确的,因为数据库层不需要允许端口 443 上的入站流量.参考:https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html 使用我们的考试专用备忘单节省时间:https://digitalcloud.training/certification-training/aws-solutions-architect-associate/networking-and-content-delivery/amazon-vpc/