Q59 — AWS SCS-C02 第1章
第 59/100 题 | ← 返回第1章
一名系统工程师正在排查一个测试环境的连通性问题,该环境包含一个内联部署的虚拟安全设备。除使用该虚拟安全设备外,开发团队还希望利用安全组和网络ACL来满足环境中的各种安全需求。 为使虚拟安全设备能够路由流量,需要进行何种配置?
- A. 禁用网络ACL。
- B. 将安全设备的弹性网络接口配置为混杂模式。
- C. 禁用安全设备弹性网络接口上的源/目标检查。 ✓
- D. 将安全设备置于具有互联网网关的公有子网中。
正确答案: C. 禁用安全设备弹性网络接口上的源/目标检查。
解析
虚拟安全设备在云环境中需要处理非本地IP流量时,源/目标检查会阻止此类行为。AWS官方文档明确指出,当启用实例的网络流量转发功能(如NAT、防火墙)时,必须禁用源/目标检查以确保设备能正确处理中转流量。选项B涉及混杂模式,通常用于数据包嗅探而非路由;选项A会破坏安全分层需求;选项D与设备物理位置无关。AWS VPC网络接口的默认安全检查机制阻止非绑定IP的流量,关闭该检查是路由的必要条件。