2025年AWS认证网络ACL在防止SQL注入攻击中的应用专题试卷及解析.pdfVIP

2025年AWS认证网络ACL在防止SQL注入攻击中的应用专题试卷及解析1

2025年AWS认证网络ACL在防止SQL注入攻击中的

应用专题试卷及解析

2025年AWS认证网络ACL在防止SQL注入攻击中的应用专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWS中，网络ACL（NACL）主要工作在OSI模型的哪一层，以防止SQL

注入攻击？

A、应用层

B、传输层

C、网络层

D、会话层

【答案】C

【解析】正确答案是C。网络ACL工作在OSI模型的网络层和传输层，通过IP地

址、端口和协议类型进行流量过滤。它无法检测应用层内容（如SQL语句），因此不能

直接防止SQL注入。A选项应用层防护需要WAF实现；B选项传输层仅涉及端口和

协议；D选项会话层不属于NACL工作范围。知识点：NACL与WAF的防护层级差

异。易错点：混淆NACL和WAF的功能边界。

2、以下哪种网络ACL规则配置能有效阻止来自恶意IP的SQL注入尝试？

A、允许所有出站流量，拒绝特定IP的入站流量

B、拒绝所有入站流量，允许特定IP的出站流量

C、允许特定IP的入站流量，拒绝所有出站流量

D、拒绝所有流量，仅允许HTTPS（443端口）入站

【答案】A

【解析】正确答案是A。NACL通过拒绝已知恶意IP的入站流量可阻断其SQL注

入尝试，同时允许正常出站流量。B选项方向错误；C选项会阻断正常响应；D选项虽

限制端口但无法识别恶意IP。知识点：NACL的有状态与无状态特性。易错点：忽略

NACL默认拒绝所有流量的规则。

3、当AWSWAF检测到SQL注入攻击时，网络ACL应如何协同防护？

A、自动添加恶意IP到NACL拒绝规则

B、仅依赖WAF阻断，无需NACL干预

C、通过VPC流日志分析攻击源

D、限制所有数据库端口访问

【答案】B

【解析】正确答案是B。WAF专门处理应用层攻击，NACL无法识别SQL注入内

容，二者分工明确。A选项需手动配置；C选项仅用于监控；D选项可能影响正常业

2025年AWS认证网络ACL在防止SQL注入攻击中的应用专题试卷及解析2

务。知识点：AWS安全服务协同机制。易错点：误认为NACL能动态响应应用层攻击。

4、网络ACL的规则编号（RuleNumber）对SQL注入防护的影响是？

A、编号越小优先级越高，应优先配置拒绝规则

B、编号越大优先级越高，应优先配置允许规则

C、编号仅影响规则顺序，与防护无关

D、编号必须连续，否则规则失效

【答案】A

【解析】正确答案是A。NACL按编号从小到大评估规则，小编号的拒绝规则可提

前阻断恶意流量。B选项优先级相反；C选项错误；D选项编号可任意设置。知识点：

NACL规则评估逻辑。易错点：忽略规则顺序对安全性的影响。

5、在VPC中部署NACL时，以下哪种配置会削弱SQL注入防护能力？

A、为子网配置相同的NACL规则

B、允许所有ICMP流量通过

C、使用过于宽泛的CIDR块（如/0）

D、启用VPC流日志记录

【答案】C

【解析】正确答案是C。/0会允许所有IP访问，增加SQL注入风险。A选

项合理；B选项仅影响诊断；D选项用于审计。知识点：最小权限原则。易错点：过度

开放网络访问范围。

6、网络ACL与安全组在SQL注入防护中的主要区别是？

A、NACL支持状态检测，安全组不支持

B、NACL作用于子网级别，安全组作用于实例级别

C、安全组可检测SQL语法，NACL不能

D、NACL规则数量上限高于安全组

【答案】B

【解析】正确答案是B。NACL保护整个子网，安全组保护单个实例。A选项相反；

C选项两者