2025年AWS认证AWSWAF全面安全策略规划与综合案例复盘专题试卷及解析.pdfVIP

2025年AWS认证AWSWAF全面安全策略规划与综合案例复盘专题试卷及解析1

2025年AWS认证AWSWAF全面安全策略规划与综合

案例复盘专题试卷及解析

2025年AWS认证AWSWAF全面安全策略规划与综合案例复盘专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSWAF中，哪种规则类型最适合用于阻止已知的恶意IP地址列表？

A、SQL注入规则组

B、IP匹配条件

C、XSS匹配条件

D、地理匹配条件

【答案】B

【解析】正确答案是B。IP匹配条件专门用于根据源IP地址允许或阻止请求，这

是处理已知恶意IP列表的最直接方法。A选项针对SQL注入攻击，C选项针对XSS

攻击，D选项基于地理位置而非具体IP。知识点：AWSWAF规则类型。易错点：可

能误选D，但地理匹配是按国家/地区而非具体IP。

2、当需要保护Web应用免受跨站脚本攻击时，应优先使用哪种AWSWAF托管

规则组？

A、AWSManagedRulesCommonRuleSet

B、AWSManagedRulesKnownBadInputsRuleSet

C、AWSManagedRulesSQLiRuleSet

D、AWSManagedRulesAmazonIpReputationList

【答案】A

【解析】正确答案是A。CommonRuleSet包含针对常见Web漏洞的规则，包括XSS

保护。B选项针对已知恶意输入，C选项专门针对SQL注入，D选项针对恶意IP。知

识点：托管规则组功能。易错点：可能误选B，但KnownBadInputs不专门针对XSS。

3、在AWSWAF中，“Ratebasedstatement”主要用于防御哪种攻击？

A、SQL注入

B、DDoS攻击

C、文件包含漏洞

D、跨站请求伪造

【答案】B

【解析】正确答案是B。Ratebasedstatement通过限制请求速率来防御应用层DDoS

攻击。A、C、D选项需要其他类型的规则。知识点：速率限制规则。易错点：可能误

选A，但SQL注入需要内容检测而非速率限制。

4、当需要根据请求头中的特定值进行过滤时，应使用哪种AWSWAF组件？

2025年AWS认证AWSWAF全面安全策略规划与综合案例复盘专题试卷及解析2

A、Bytematchstatement

B、Regexmatchstatement

C、Sizeconstraintstatement

D、Stringmatchstatement

【答案】D

【解析】正确答案是D。Stringmatchstatement专门用于匹配请求头、URI等中的

字符串。A选项匹配字节序列，B选项使用正则表达式，C选项限制大小。知识点：匹

配语句类型。易错点：可能误选B，但简单字符串匹配不需要正则表达式。

5、AWSWAFWebACL的容量单位(WCU)主要用于衡量什么？

A、请求处理速度

B、规则复杂度

C、存储空间

D、并发连接数

【答案】B

【解析】正确答案是B。WCU衡量WebACL中规则的复杂度和数量，不是性能指

标。A、C、D选项与WCU无关。知识点：WCU概念。易错点：可能误选A，但WCU

不直接反映处理速度。

6、在AWSWAF中，“Rulegroup”的主要作用是什么？

A、存储日志

B、管理证书

C、组织可重用的规则集合

D、配置监控

【答案】C

【解析】正确答案是C。规则组用于将多个规则组合成可重用的集合。A、B、D选

项是其他AWS服务功能。知识点：规则组概念。易错点：可能误选A，但日志存储是

单独功能。

7、当需要阻止包含特定SQL注入特征的请求时，应优先使用哪种AWSWAF托

管规则？

A、AWSManagedRulesCommonRuleSet

B、AWSManagedRu