Q58 — AWS SAP-C02 第2章
第 58/75 题 | ← 返回第2章
Q208. 一家教育公司正在运行一个供全球大学生使用的 Web 应用程序。该应用程序运行在 Application Load Balancer (ALB) 后面的 Auto Scaling 组中的 Amazon Elastic Container Service (Amazon ECS) 集群上。系统管理员检测到每周登录失败尝试的数量出现峰值,这些尝试使应用程序的身份验证服务不堪重负。所有失败的登录尝试来自大约 500 个不同的 IP 地址,这些地址每周都在变化。解决方案架构师必须防止失败的登录尝试使身份验证服务不堪重负。 哪种解决方案能以最高的运营效率满足这些要求?
- A. 使用 AWS Firewall Manager 创建安全组和安全组策略,以拒绝来自这些 IP 地址的访问
- B. 创建一个带有基于速率规则的 AWS WAF Web ACL,并将规则操作设置为阻止。将 Web ACL 连接到 ALB ✓
- C. 使用 AWS Firewall Manager 创建安全组和安全组策略,仅允许访问特定的 CIDR 范围
- D. 创建一个带有 IP 集匹配规则的 AWS WAF Web ACL,并将规则操作设置为阻止。将 Web ACL 连接到 ALB
正确答案: B. 创建一个带有基于速率规则的 AWS WAF Web ACL,并将规则操作设置为阻止。将 Web ACL 连接到 ALB
解析
选项 A 建议使用 AWS Firewall Manager 创建安全组和安全组策略以拒绝来自 IP 地址的访问,但这需要每周不断更新策略以包含 500 个不同的 IP 地址,运营效率不高。 选项 C 建议使用 AWS Firewall Manager 创建安全组和安全组策略仅允许访问特定 CIDR 范围。由于 IP 地址每周变化,此方法无效。 选项 D 建议创建带有 IP 集匹配规则的 AWS WAF Web ACL 并阻止这些 IP 的请求。此选项可能有效,但需要每周不断更新 IP 集匹配规则,运营效率不高。 因此,选项 B 提供了最高效的解决方案,涉及创建带有基于速率规则的 AWS WAF Web ACL,可以根据客户端 IP 地址在五分钟内超过阈值的请求数量来阻止流量。由于失败的登录尝试来自每周变化的大约 500 个不同 IP 地址,基于速率的规则是防止它们使身份验证服务不堪重负的有效方式。