Q59 — AWS SCS-C02 第1章

第 59/100 题 | ← 返回第1章

一名系统工程师正在排查一个测试环境的连通性问题,该环境包含一个内联部署的虚拟安全设备。除使用该虚拟安全设备外,开发团队还希望利用安全组和网络ACL来满足环境中的各种安全需求。 为使虚拟安全设备能够路由流量,需要进行何种配置?

正确答案: C. 禁用安全设备弹性网络接口上的源/目标检查。

解析

虚拟安全设备在云环境中需要处理非本地IP流量时,源/目标检查会阻止此类行为。AWS官方文档明确指出,当启用实例的网络流量转发功能(如NAT、防火墙)时,必须禁用源/目标检查以确保设备能正确处理中转流量。选项B涉及混杂模式,通常用于数据包嗅探而非路由;选项A会破坏安全分层需求;选项D与设备物理位置无关。AWS VPC网络接口的默认安全检查机制阻止非绑定IP的流量,关闭该检查是路由的必要条件。