While securing the connection between a company’s VPC and its on-premises data center, a security engineer sent a ping command from an on-premises host (IP address 203.0.113.12) to an Amazon EC2 instance (IP address 172.31.16.139). The ping command did not return a response. The flow log in the VPC showed the following. What action should be performed to allow the ping to work?
A. In the security group of the EC2 instance, allow inbound ICMP traffic.
B. In the security group of the EC2 instance, allow outbound ICMP traffic.
C. In the VPC’s NACL, allow inbound ICMP traffic.
D. In the VPC’s NACL, allow outbound ICMP traffic.
D
在确保公司虚拟私有云(VPC)与其本地数据中心之间的连接时,一名安全工程师从本地主机(IP地址为203.0.113.12)向一个亚马逊弹性计算云(Amazon EC2)实例(IP地址为172.31.16.139)发送了一个ping命令。但ping命令没有收到响应。安全工程师应采取哪些额外步骤来完成此任务?
本题核心是解决从本地主机ping亚马逊EC2实例无响应的问题,需要分析安全工程师后续应采取的步骤,关键在于明确安全组和网络访问控制列表(NACL)对ICMP流量(ping命令所用)的入站和出站规则设置。
在AWS环境中,安全组和网络访问控制列表(NACL)是控制网络流量的重要组件。安全组作用于实例级别,可控制入站和出站流量;NACL作用于子网级别,同样可控制入站和出站流量。ping命令使用的是ICMP协议,当本地主机ping EC2实例无响应时,很可能是EC2实例的安全组或VPC的NACL未允许相应的ICMP流量通过。
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
A. 不正确。在EC2实例的安全组中,允许入站ICMP流量。VPC 流日志记录显示 ICMP 入站流量已经被允许进入 EC2实例中,不需要再次设置。
B. 不正确。在EC2实例的安全组中,允许出站ICMP流量。安全组是有状态的,所有被允许进入的流量,都是被允许出站的,不需要特别设置。
C. 不正确。在VPC的网络访问控制列表中,允许入站ICMP流量。VPC 流日志记录显示 ICMP 入站流量已经被允许进入 EC2实例中,不需要再次设置。
D. 正确。在VPC的网络访问控制列表中,允许出站ICMP流量。VPC 流日志记录显示,离开EC2实例的出站流量没有被允许,但是进入EC2实例的入站流量已经被允许,唯一的可能性就是NACL 出站流量没有得到允许。对于返回流量,安全组自动允许(有状态),但是NACL 必须明确允许(无状态)。