2025年AWS认证AWSWAF与网络ACL、安全组的功能对比与协同专题试卷及解析.pdfVIP

2025年AWS认证AWSWAF与网络ACL、安全组的功能对比与协同专题试卷及解析1

2025年AWS认证AWSWAF与网络ACL、安全组的

功能对比与协同专题试卷及解析

2025年AWS认证AWSWAF与网络ACL、安全组的功能对比与协同专题试卷及

解析

第一部分：单项选择题（共10题，每题2分）

1、以下哪项是AWSWAF的核心功能？

A、控制EC2实例的入站和出站流量

B、过滤HTTP/HTTPS流量中的恶意请求

C、管理VPC级别的网络访问控制

D、提供分布式拒绝服务攻击防护

【答案】B

【解析】正确答案是B。AWSWAF（WebApplicationFirewall）专门用于保护Web

应用程序，通过过滤HTTP/HTTPS流量中的恶意请求来防止SQL注入、XSS等攻击。

选项A是安全组的功能，选项C是网络ACL的功能，选项D虽然WAF可以缓解部

分DDoS攻击，但AWSShield才是专门的DDoS防护服务。知识点：WAF的应用层

防护特性。易错点：容易将WAF与安全组、网络ACL的网络层防护功能混淆。

2、安全组的工作层级是？

A、应用层

B、传输层

C、网络层

D、会话层

【答案】B

【解析】正确答案是B。安全组工作在传输层（第4层），可以控制TCP/UDP端

口的访问。它是有状态的，会自动跟踪连接状态。选项A是WAF的层级，选项C是

网络ACL的层级，选项D会话层不是AWS安全组件的工作层级。知识点：AWS安

全组件的OSI模型层级划分。易错点：容易混淆安全组与网络ACL的工作层级。

3、网络ACL的默认行为是？

A、允许所有入站流量

B、拒绝所有出站流量

C、允许所有流量

D、拒绝所有流量

【答案】D

【解析】正确答案是D。网络ACL的默认行为是拒绝所有流量，必须显式添加规则

来允许流量。安全组默认允许所有出站流量。知识点：网络ACL的默认拒绝机制。易

2025年AWS认证AWSWAF与网络ACL、安全组的功能对比与协同专题试卷及解析2

错点：容易与安全组的默认允许行为混淆。

4、以下哪项是AWSWAF与安全组的主要区别？

A、WAF支持有状态过滤

B、安全组可以检查HTTP请求内容

C、WAF工作在应用层

D、安全组只能用于EC2实例

【答案】C

【解析】正确答案是C。WAF工作在应用层（第7层），可以检查HTTP/HTTPS

请求内容，而安全组工作在传输层（第4层）。选项A错误，WAF是无状态的；选项B

错误，安全组不能检查HTTP内容；选项D错误，安全组还可用于RDS、ELB等多种

资源。知识点：不同安全组件的工作层级差异。易错点：容易忽略各组件的层级差异。

5、当需要同时使用WAF和安全组时，正确的处理顺序是？

A、先WAF后安全组

B、先安全组后WAF

C、同时处理

D、根据流量类型决定

【答案】A

【解析】正确答案是A。流量首先经过WAF进行应用层过滤，然后到达安全组进

行传输层控制。这是因为WAF部署在ALB/CloudFront等前端服务上，而安全组保护

后端资源。知识点：AWS安全组件的流量处理顺序。易错点：容易混淆安全组件的部

署位置和处理顺序。

6、网络ACL规则的特点是？

A、有状态

B、按规则编号顺序评估

C、只能用于公有子网

D、支持IP地址黑名单

【答案】B

【解析】正确答案是B。网络ACL按规则编号从小到大顺序评估，找到匹配规则即

停止。选项A错误，网络ACL是无状态的；选项C错误，可用于公有和私有子网；选

项D部分正确，但不是主要特点。知识点：网络ACL的规则评估机制。易错点：容易

忽略规则编号的重要性。

7、AWSWAF的WebACL可以关联到？

A、EC2实例

B、VPC

C、ALB/CloudFront

2025年AWS认证AWSWAF与网络ACL、安全组的功能对比与协同专题试卷及解析3

D