2025年AWS认证自动化更新CloudFrontWAF规则专题试卷及解析.pdfVIP

2025年AWS认证自动化更新CLOUDFRONTWAF规则专题试卷及解析1

2025年AWS认证自动化更新CloudFrontWAF规则专

题试卷及解析

2025年AWS认证自动化更新CloudFrontWAF规则专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSWAF中，以下哪种规则类型最适合用于自动缓解已知的攻击模式？

A、IP匹配条件

B、字符串匹配条件

C、SQL注入匹配条件

D、速率限制规则

【答案】C

【解析】正确答案是C。SQL注入匹配条件是AWSWAF预置的托管规则组，专门

用于检测和阻止SQL注入攻击，属于已知的攻击模式。A选项IP匹配条件只能基于

IP地址进行过滤，无法识别攻击模式；B选项字符串匹配条件需要手动配置特征，不

够自动化；D选项速率限制规则主要用于防止DDoS攻击，不针对特定攻击模式。知识

点：AWSWAF托管规则组的使用场景。易错点：混淆不同规则类型的适用场景。

2、CloudFront与WAF集成时，WAF规则的最佳部署位置是？

A、源服务器

B、CloudFront边缘节点

C、AWSLambda函数

D、ApplicationLoadBalancer

【答案】B

【解析】正确答案是B。WAF规则应部署在CloudFront边缘节点，这样可以最接

近用户的位置过滤恶意流量，减少延迟和源服务器负载。A选项源服务器部署会增加延

迟；C选项Lambda函数更适合业务逻辑处理；D选项ALB部署无法利用CloudFront

的全球边缘网络优势。知识点：CloudFront+WAF的架构设计原则。易错点：忽略边缘

计算的优势。

3、自动化更新WAF规则时，以下哪种AWS服务最适合作为触发器？

A、AWSStepFunctions

B、AWSLambda

C、AmazonSNS

D、AWSCloudFormation

【答案】B

【解析】正确答案是B。AWSLambda最适合作为自动化更新WAF规则的触发器，

因为它可以响应各种事件（如安全威胁情报更新）并执行规则更新逻辑。A选项Step

2025年AWS认证自动化更新CLOUDFRONTWAF规则专题试卷及解析2

Functions更适合复杂工作流；C选项SNS主要用于通知；D选项CloudFormation适

合基础设施即代码，但不适合实时触发。知识点：AWSLambda在安全自动化中的应

用。易错点：混淆不同服务的触发机制。

4、在WAF规则评估中，以下哪种规则优先级最高？

A、Block规则

B、Allow规则

C、Count规则

D、基于规则顺序决定

【答案】D

【解析】正确答案是D。WAF规则按顺序评估，第一个匹配的规则决定动作（允

许/阻止/计数），而非基于规则类型。A、B、C选项都是规则动作，不影响优先级。知

识点：WAF规则评估机制。易错点：误以为规则类型决定优先级。

5、以下哪种方式最适合实现WAF规则的版本控制？

A、AWSConfig

B、AWSCloudTrail

C、AWSCodeCommit

D、AmazonS3版本控制

【答案】C

【解析】正确答案是C。AWSCodeCommit是托管Git服务，最适合管理WAF规

则的代码版本。A选项Config用于资源配置跟踪；B选项CloudTrail记录API调用；

D选项S3版本控制不适合代码管理。知识点：基础设施代码版本管理最佳实践。易错

点：混淆配置跟踪与版本控制。

6、在自动化WAF规则更新中，以下哪种指标最需要监控？

A、CloudFront请求数

B、WAF阻止的请求数

C、Lambda执行时间

D、CloudFormation部署状态

【答案】B

【解析】