Q65 — AWS SCS-C02 第1章
第 65/100 题 | ← 返回第1章
一个公有子网包含两台Amazon EC2实例。该子网配置了自定义网络ACL。一位安全工程师正在设计一种解决方案以提升该子网的安全性。该解决方案必须允许出站流量通过TCP端口443访问使用TLS的互联网服务,同时必须拒绝目标为MySQL端口3306的入站流量。 以下哪组网络ACL规则满足这些要求?
- A. 使用入站规则100允许TCP端口443上的流量。使用入站规则200拒绝TCP端口3306上的流量。使用出站规则100允许TCP端口443上的流量。
- B. 使用入站规则100拒绝TCP端口3306上的流量。使用入站规则200允许TCP端口范围1024-65535上的流量。使用出站规则100允许TCP端口443上的流量。 ✓
- C. 使用入站规则100允许TCP端口范围1024-65535上的流量。使用入站规则200拒绝TCP端口3306上的流量。使用出站规则100允许TCP端口443上的流量。
- D. 使用入站规则100拒绝TCP端口3306上的流量。使用入站规则200允许TCP端口443上的流量。使用出站规则100允许TCP端口443上的流量。
正确答案: B. 使用入站规则100拒绝TCP端口3306上的流量。使用入站规则200允许TCP端口范围1024-65535上的流量。使用出站规则100允许TCP端口443上的流量。
解析
网络ACL规则按优先级顺序执行,数字越小优先级越高。选项B中,入站规则100优先拒绝TCP 3306端口流量,有效阻断MySQL访问;入站规则200允许1024-65535端口范围,保障其他合法入站连接;出站规则100明确放行TCP 443端口,确保TLS加密通信的出站流量。规则顺序与端口配置精准匹配题目要求的安全策略。