2025年AWS认证AWSWAF针对应用层DDoS攻击的精细化防护专题试卷及解析.pdfVIP

2025年AWS认证AWSWAF针对应用层DDOS攻击的精细化防护专题试卷及解析1

2025年AWS认证AWSWAF针对应用层DDoS攻击

的精细化防护专题试卷及解析

2025年AWS认证AWSWAF针对应用层DDoS攻击的精细化防护专题试卷及解

析

第一部分：单项选择题（共10题，每题2分）

1、在AWSWAF中，哪种规则类型最适合用于识别和阻止来自特定IP地址的频

繁请求，从而缓解应用层DDoS攻击？

A、SQL注入规则组

B、IP集匹配规则

C、跨站脚本（XSS）规则组

D、基于速率的规则

【答案】D

【解析】正确答案是D。基于速率的规则（Ratebasedrule）是专门为DDoS防护设

计的，它可以监控来自单个IP地址的请求速率，并在超过阈值时自动阻止该IP。A和

C是针对特定攻击类型的规则组，不适用于DDoS防护。B虽然可以匹配特定IP，但

无法动态监控请求速率，不适合应对DDoS攻击。知识点：AWSWAF规则类型及适用

场景。易错点：容易混淆IP集匹配和基于速率的规则，后者更适合动态DDoS防护。

2、当需要根据HTTP请求头中的特定特征（如UserAgent）来过滤恶意流量时，应

该使用哪种AWSWAF规则语句？

A、Bytematchstatement

B、Geomatchstatement

C、Sizeconstraintstatement

D、Regexmatchstatement

【答案】A

【解析】正确答案是A。Bytematchstatement可以检查请求的任何部分（包括头

部）是否包含特定字符串，非常适合基于UserAgent的过滤。B用于地理位置匹配，C

用于请求大小限制，D用于正则表达式匹配，虽然也能实现但不如Bytematch高效。

知识点：AWSWAF规则语句类型。易错点：容易误选Regexmatch，但Bytematch

在简单字符串匹配时性能更好。

3、在AWSWAF中，以下哪种组件允许您将多个规则组合在一起，并统一应用到

多个资源？

A、WebACL

B、Rulegroup

C、Managedrulegroup

2025年AWS认证AWSWAF针对应用层DDOS攻击的精细化防护专题试卷及解析2

D、IPset

【答案】B

【解析】正确答案是B。Rulegroup（规则组）可以将多个规则打包，方便统一管理

和复用。A是Web访问控制列表，是规则的容器；C是AWS托管的规则组；D是IP

地址集合。知识点：AWSWAF组件功能。易错点：容易混淆WebACL和Rulegroup，

前者是规则的执行单元，后者是规则的集合。

4、当检测到应用层DDoS攻击时，AWSWAF的哪种功能可以自动调整防护策略？

A、CAPTCHA

B、Challenge

C、Automaticremediation

D、Tokenbasedauthorization

【答案】C

【解析】正确答案是C。自动缓解功能（Automaticremediation）可以与AWSShield

Advanced集成，自动调整WAF规则以应对攻击。A和B是验证机制，D是授权方

式，都不能自动调整策略。知识点：AWSWAF高级功能。易错点：容易忽略Automatic

remediation的自动化特性。

5、在AWSWAF中，以下哪种规则优先级最高？

A、自定义规则

B、托管规则组

C、默认规则

D、规则组中的规则

【答案】A

【解析】正确答案是A。自定义规则的优先级高于托管规则组和默认规则。B和D

的优先级相同但低于A，C优先级最低。知识点：AWSWAF规则优先级。易错点：容

易误认为托管规则组优先级更高。

6、当需要根据请求来源国家/地区进行流量过滤时，应该使用哪种AWSWAF规

则语句？

A、IPmatchstatement

B、Geomatchstatement

C、String