Q52 — AWS SAP-C02 第1章

第 52/75 题 | ← 返回第1章

Q127. 一家公司为其 NAT 网关启用了 VPC 流日志。公司看到来自公共 IP 地址 198.51.100.2 的入站流量的 Action = ACCEPT,目标是一个私有 Amazon EC2 实例。解决方案架构师必须确定该流量是否代表来自互联网的未经请求的入站连接。VPC CIDR 块的前两个八位组是 203.0。解决方案架构师应采取哪组步骤来满足这些要求?

正确答案: D. 打开 Amazon CloudWatch 控制台。选择包含 NAT 网关弹性网络接口和私有实例弹性网络接口的日志组。运行查询,将目标地址过滤为 "like 198.51.100.2",源地址过滤为 "like 203.0"。运行 stats 命令按源地址和目标地址过滤传输的字节总和。

解析

为分析 VPC 流日志以确定流量是否为未经请求的入站连接,推荐的解决方案是: B. 打开 Amazon CloudWatch 控制台。选择包含 NAT 网关弹性网络接口和私有实例弹性网络接口的日志组。运行查询,将目标地址过滤为 "like 203.0",源地址过滤为 "like 198.51.100.2"。运行 stats 命令按源地址和目标地址过滤传输的字节总和。 说明: VPC 流日志可以发送到 CloudWatch Logs(不是 CloudTrail)。要确定是否为未经请求的入站连接,需要查看来自外部 IP(198.51.100.2)到内部 IP(203.0.x.x)的流量。