2025年AWS认证网络ACL在零信任架构中的实施专题试卷及解析.pdfVIP

2025年AWS认证网络ACL在零信任架构中的实施专题试卷及解析1

2025年AWS认证网络ACL在零信任架构中的实施专题

试卷及解析

2025年AWS认证网络ACL在零信任架构中的实施专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWS零信任架构中，网络ACL（NACL）的主要作用是什么？

A、提供应用层访问控制

B、作为子网级别的无状态防火墙

C、作为子网级别的有状态防火墙

D、替代安全组进行流量控制

【答案】B

【解析】正确答案是B。网络ACL是AWS提供的子网级别的无状态防火墙，用于

控制进出子网的流量。A选项错误，因为NACL工作在网络层和传输层，不涉及应用

层。C选项错误，NACL是无状态的，与安全组的有状态特性相反。D选项错误，NACL

和安全组是互补关系，不能完全替代。知识点：NACL的基本特性。易错点：容易混淆

NACL的无状态特性与安全组的有状态特性。

2、在零信任模型中，NACL规则的最佳实践是什么？

A、允许所有出站流量，限制入站流量

B、同时限制入站和出站流量

C、允许所有入站流量，限制出站流量

D、完全禁用所有流量

【答案】B

【解析】正确答案是B。零信任原则要求”从不信任，始终验证”，因此需要同时控制

入站和出站流量。A和C选项都违反了零信任的核心原则。D选项过于极端，会影响

正常业务。知识点：零信任架构中的流量控制原则。易错点：容易忽略出站流量的控制，

只关注入站流量。

3、NACL规则编号100的优先级与规则编号150相比如何？

A、100的优先级更高

B、150的优先级更高

C、优先级相同

D、无法比较

【答案】A

【解析】正确答案是A。NACL规则编号越小，优先级越高，因此规则100优先于规

则150。B选项错误。C选项错误，规则编号不同优先级必然不同。D选项错误，NACL

2025年AWS认证网络ACL在零信任架构中的实施专题试卷及解析2

规则编号直接决定优先级。知识点：NACL规则优先级机制。易错点：容易误以为编号

越大优先级越高。

4、在VPC中创建新的子网时，默认的NACL配置是什么？

A、允许所有流量

B、拒绝所有流量

C、允许入站流量，拒绝出站流量

D、拒绝入站流量，允许出站流量

【答案】A

【解析】正确答案是A。默认NACL允许所有入站和出站流量。B、C、D选项都描

述了非默认行为。知识点：默认NACL配置。易错点：容易与安全组的默认行为混淆，

安全组默认拒绝所有入站流量。

5、NACL的临时端口范围通常用于什么场景？

A、HTTP/HTTPS通信

B、DNS查询

C、客户端发起的连接返回流量

D、SSH连接

【答案】C

【解析】正确答案是C。临时端口用于客户端发起连接时的返回流量。A、B、D选

项都使用固定端口。知识点：临时端口的作用。易错点：容易混淆临时端口与知名端口

的用途。

6、在零信任架构中，NACL规则应该多久审查一次？

A、每年一次

B、每季度一次

C、每月一次

D、根据业务需求动态调整

【答案】D

【解析】正确答案是D。零信任要求持续验证和动态调整，固定周期审查不符合其

理念。A、B、C选项都过于僵化。知识点：零信任的动态性原则。易错点：容易沿用传

统安全模型的固定审查周期思维。

7、NACL与安全组的主要区别是什么？

A、NACL工作在应用层，安全组工作在网络层

B、NACL是有状态的，安全组是无状态的

C、NACL控制子网流量，安全组控制实例流量

D、NACL只能用于公有子网

【答案】C

2025年AWS认证网络ACL在零信任架构中的实施专题试卷及解析