2025年AWS认证AWSLocalZones网络安全防护策略专题试卷及解析.pdfVIP

2025年AWS认证AWSLOCALZONES网络安全防护策略专题试卷及解析1

2025年AWS认证AWSLocalZones网络安全防护策略

专题试卷及解析

2025年AWS认证AWSLocalZones网络安全防护策略专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSLocalZones中部署应用程序时，以下哪项是确保网络通信安全的首要

措施？

A、使用公有IP地址直接访问实例

B、配置安全组限制入站和出站流量

C、禁用所有网络ACL规则

D、使用默认VPC配置

【答案】B

【解析】正确答案是B。安全组是AWSLocalZones中网络安全的第一道防线，通

过规则控制实例级别的入站和出站流量。A选项会增加攻击面；C选项会完全失去网络

层保护；D选项默认配置通常不符合最小权限原则。知识点：安全组是状态ful防火墙，

必须遵循最小权限规则。易错点：容易混淆安全组和网络ACL的作用层级。

2、AWSLocalZones与父区域之间的网络连接默认使用哪种加密方式？

A、IPsecVPN

B、TLS1.3

C、AWS专用网络骨干网

D、无加密

【答案】C

【解析】正确答案是C。AWSLocalZones通过AWS全球专用网络骨干网与父区域

连接，该网络默认加密且物理隔离。A选项是客户自行配置的VPN；B选项用于应用

层加密；D选项不符合AWS安全标准。知识点：AWS网络基础设施的内置安全特性。

易错点：误认为需要客户手动配置加密。

3、在LocalZones中部署RDS实例时，以下哪种存储类型最符合安全合规要求？

A、通用型SSD（gp2）

B、预配置IOPSSSD（io1）

C、磁介质存储

D、实例存储

【答案】B

【解析】正确答案是B。预配置IOPSSSD提供可预测的性能和加密支持，适合合

规要求高的场景。A选项性能不可预测；C选项已弃用且不加密；D选项数据不持久。

知识点：AWS存储加密与性能的关系。易错点：忽略合规性对存储类型的要求。

2025年AWS认证AWSLOCALZONES网络安全防护策略专题试卷及解析2

4、当需要在LocalZones中实现跨可用区的高可用性时，应优先考虑哪种服务？

A、单个EC2实例

B、AutoScaling组跨多个LocalZone位置

C、NAT网关

D、VPC终端节点

【答案】B

【解析】正确答案是B。AutoScaling组可以跨多个LocalZone位置自动扩展，提

供高可用性。A选项单点故障；C选项仅用于出站互联网访问；D选项用于安全访问

AWS服务。知识点：AWS高可用架构设计原则。易错点：混淆可用区和LocalZone位

置的概念。

5、在LocalZones中启用VPC流日志时，建议将日志发送到哪个服务以实现最佳

安全分析？

A、EC2实例存储

B、S3存储桶

C、电子邮件

D、直接丢弃

【答案】B

【解析】正确答案是B。S3提供持久化存储和与AmazonAthena等服务的集成，适

合长期安全分析。A选项存储空间有限；C选项不适合结构化日志；D选项会丢失审计

信息。知识点：AWS日志管理最佳实践。易错点：忽视日志数据的长期分析价值。

6、以下哪种AWS服务可以帮助检测LocalZones中的异常网络活动？

A、AWSConfig

B、AmazonGuardDuty

C、AWSCloudTrail

D、AWSTrustedAdvisor

【答案】B

【解析】正确答案是B。GuardDuty专门用于威胁检测，包括异常网络活动。A选

项配置审计；C选项API调用记录；D选项成本优化建议。知识点：AWS安全服务分

工。易错点：混淆配置管理和威胁检