Q78 — AWS SCS-C02 第1章

第 78/100 题 | ← 返回第1章

一家公司在其 AWS 账户的单个 VPC 内托管多个应用程序。这些应用程序运行在一个应用负载均衡器(Application Load Balancer)之后,该负载均衡器关联了一个 AWS WAF Web ACL。该公司安全团队发现,互联网上某一特定 IP 地址段正发起多次端口扫描。 安全工程师需要拒绝来自这些恶意 IP 地址的访问。 以下哪种解决方案可满足此要求?

正确答案: A. 修改 AWS WAF Web ACL,添加基于 IP 集(IP set)匹配规则语句,以拒绝来自该 IP 地址段的入站请求。

解析

题干涉及在AWS环境中阻止特定IP地址范围的访问。问题的核心在于选择正确的AWS服务功能来实施阻止措施。AWS WAF提供的IP set match规则允许直接基于源IP地址范围过滤请求,适用于需要屏蔽已知恶意IP的场景。安全组(选项B)通常用于实例级别的流量控制,但管理多个安全组效率低且可能遗漏。速率规则(选项C)针对请求频率而非固定IP范围。正则匹配(选项D)用于检查请求内容而非IP地址。AWS官方文档明确指出,IP匹配规则是处理此类需求的标准方法。选项A直接对应这一功能,有效阻断指定IP访问。