2025年AWS认证子网与Shield高级防护集成专题试卷及解析.docxVIP

2025年AWS认证子网与Shield高级防护集成专题试卷及解析

2025年AWS认证子网与Shield高级防护集成专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWS中，当您需要为VPC中的特定子网配置DDoS防护时，以下哪项服务是专门为网络层（第3/4层）DDoS攻击提供防护的？

A、AWSWAF

B、AWSShieldAdvanced

C、AWSNetworkFirewall

D、AWSSecurityGroups

【答案】B

【解析】正确答案是B。AWSShieldAdvanced是专为网络层（第3/4层）DDoS攻击提供防护的服务，可以保护VPC中的资源如ELB、CloudFront、RDS等。A选项AWSWAF是应用层（第7层）防护；C选项AWSNetworkFirewall是状态性防火墙，主要用于流量过滤；D选项SecurityGroups是实例级别的访问控制。知识点：AWSShield服务类型与防护层级。易错点：容易混淆Shield和WAF的防护层级。

2、当您需要将AWSShieldAdvanced与子网中的ElasticLoadBalancer集成时，以下哪项是必须的前提条件？

A、启用VPCFlowLogs

B、创建AWSWAFWebACL

C、订阅AWSShieldAdvanced

D、配置NATGateway

【答案】C

【解析】正确答案是C。使用AWSShieldAdvanced保护ELB必须先订阅该服务，这是基础前提。A选项VPCFlowLogs是可选的监控功能；B选项WAF是应用层防护，与ShieldAdvanced不直接相关；D选项NATGateway用于出站访问，与DDoS防护无关。知识点：ShieldAdvanced的订阅要求。易错点：可能误认为需要先配置WAF才能使用Shield。

3、在AWSShieldAdvanced中，以下哪项功能允许您为特定资源创建自定义的DDoS缓解规则？

A、自动缓解

B、紧急协助

C、自定义缓解规则

D、实时可见性仪表板

【答案】C

【解析】正确答案是C。自定义缓解规则是ShieldAdvanced的高级功能，允许为特定资源创建定制化的DDoS防护规则。A选项自动缓解是基础功能；B选项紧急协助是AWSDRT提供的支持；D选项仪表板仅用于监控。知识点：ShieldAdvanced的高级功能特性。易错点：容易混淆自动缓解和自定义缓解的区别。

4、当您需要保护子网中的AmazonRDS实例免受DDoS攻击时，以下哪项是正确的配置方式？

A、直接在RDS实例上启用ShieldAdvanced

B、通过SecurityGroups配置防护规则

C、将RDS放在ELB后面，再启用ShieldAdvanced

D、使用AWSWAF保护RDS

【答案】C

【解析】正确答案是C。RDS不能直接受ShieldAdvanced保护，需要通过ELB等受支持的资源间接保护。A选项错误，RDS不在ShieldAdvanced直接支持列表中；B选项SecurityGroups不能防护DDoS；D选项WAF是应用层防护。知识点：ShieldAdvanced支持的保护资源类型。易错点：可能误以为所有AWS服务都能直接受Shield保护。

5、在AWSShieldAdvanced中，以下哪项指标最适合用于检测SYNFlood攻击？

A、网络流量字节数

B、新建连接数

C、CPU使用率

D、数据包丢弃率

【答案】B

【解析】正确答案是B。SYNFlood攻击的特征是大量新建连接请求，因此新建连接数是最直接的检测指标。A选项字节数可能受正常流量影响；C选项CPU使用率是间接指标；D选项丢弃率是结果而非原因。知识点：DDoS攻击类型与检测指标。易错点：容易选择间接指标而非直接反映攻击特征的指标。

6、当您需要为子网中的多个资源统一启用ShieldAdvanced保护时，以下哪项是最高效的方法？

A、逐个手动启用

B、使用AWSCloudFormation模板

C、通过AWSCLI批量操作

D、使用AWSManagementConsole批量选择

【答案】B

【解析】正确答案是B。CloudFormation模板可以以基础设施即代码的方式统一部署和管理多个资源的ShieldAdvanced保护。A选项手动效率低；C选项CLI需要编写脚本；D选项Console不支持批量启用。知识点：AWS基础设施自动化部署。易错点：可能误以为Console支持批量操作。

7、在AWSShieldAdvanced中，以下哪项功能允许您在攻击期间自动调整资源容量？

A、自动缓解

B、容