Q29 — AWS SAA-C03 第5章
第 29/65 题 | ← 返回第5章
Q329.一家公司在 Auto Scaling 组中的 Application Load Balancer (ALB) 后面的 Amazon EC2 实例上运营电子商务网站.该站点遇到与 IP 地址不断变化的非法外部系统的高请求率相关的性能问题.安全团队担心针对该网站的潜在 DDoS 攻击.公司必须以对合法用户影响最小的方式阻止非法传入请求.解决方案架构师应该推荐什么?
- A. 部署 Amazon Inspector 并将其与 ALB 相关联.
- B. 部署AWS WAF,关联ALB,配置限速规则. ✓
- C. 将规则部署到与 ALB 关联的网络 ACL 以阻止传入流量.
- D. 部署Amazon GuardDuty,配置GuardDuty时开启限速保护.
正确答案: B. 部署AWS WAF,关联ALB,配置限速规则.
解析
要以对合法用户影响最小的方式阻止非法传入请求,解决方案架构师应建议部署 AWS WAF 并将其与 ALB 相关联,然后配置速率限制规则. AWS WAF 是一种 Web 应用程序防火墙,有助于保护 Web 应用程序免受常见的 Web 攻击,例如 SQL 注入和跨站点脚本 (XSS) 攻击.它还允许用户创建自定义规则来阻止特定的 IP 地址或范围、HTTP 标头或查询字符串参数.速率限制规则可以帮助限制来自单个 IP 或 IP 范围的网站请求数量,从而减少 DDoS 攻击的影响.选项 A 不正确,因为 Amazon Inspector 不是用于阻止流量,而是用于评估环境的安全性和合规性.选项 C 不正确,因为网络 ACL 不具备在不影响合法用户的情况下有选择地阻止不需要的流量所需的粒度级别.选项 D 不正确,因为 Amazon GuardDuty 用于威胁检测而不是用于阻止流量.速率限制对于基于速率的规则,输入在任何五分钟内允许来自符合规则条件的 IP 地址的最大请求数.速率限制必须至少为 100.您可以单独指定速率限制,或指定速率限制和条件.如果您仅指定速率限制,则 AWS WAF 会对所有 IP 地址施加限制.如果您指定速率限制和条件,AWS WAF 会对符合条件的 IP 地址施加限制.当 IP 地址达到速率限制阈值时,AWS WAF 会尽快应用分配的操作(阻止或计数),通常在 30 秒内.操作到位后,如果五分钟后 IP 地址没有任何请求,AWS WAF 会将计数器重置为零.