2025年AWS认证CloudFront起源安全组与网络ACL配置专题试卷及解析.pdf

2025年AWS认证CLOUDFRONT起源安全组与网络ACL配置专题试卷及解析1

2025年AWS认证CloudFront起源安全组与网络ACL

配置专题试卷及解析

2025年AWS认证CloudFront起源安全组与网络ACL配置专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、当CloudFront分发需要访问位于私有VPC中的源服务器时，以下哪种方法是

最安全的？

A、通过公共互联网直接访问源服务器

B、使用VPC对等连接

C、配置CloudFront源访问控制（OAC）

D、使用NAT网关

【答案】C

【解析】正确答案是C。CloudFront源访问控制（OAC）是最安全的方法，它允许

CloudFront直接访问私有VPC中的资源而无需暴露到公共互联网。A选项不安全，B

选项需要额外配置，D选项会增加成本和复杂性。知识点：CloudFront安全访问私有资

源。易错点：容易混淆OAC和OAI的区别。

2、网络ACL中的规则默认行为是什么？

A、允许所有流量

B、拒绝所有流量

C、仅允许HTTP/HTTPS流量

D、需要手动配置

【答案】B

【解析】正确答案是B。网络ACL默认拒绝所有流量，必须显式配置允许规则。A

是安全组的默认行为，C和D不正确。知识点：网络ACL默认行为。易错点：容易与

安全组的默认允许行为混淆。

3、安全组是有状态的，这意味着什么？

A、必须同时配置入站和出站规则

B、允许的入站流量会自动允许相应的出站流量

C、需要手动跟踪连接状态

D、仅适用于EC2实例

【答案】B

【解析】正确答案是B。安全组的有状态特性意味着允许的入站流量会自动允许相

应的出站响应流量。A和C描述的是无状态行为，D不完整。知识点：安全组有状态

特性。易错点：容易忽略有状态带来的自动响应流量允许。

4、CloudFront边缘位置与源服务器之间的通信可以通过什么协议加密？

2025年AWS认证CLOUDFRONT起源安全组与网络ACL配置专题试卷及解析2

A、仅HTTP

B、仅HTTPS

C、HTTP和HTTPS

D、FTP

【答案】C

【解析】正确答案是C。CloudFront支持HTTP和HTTPS协议与源服务器通信，

但推荐使用HTTPS以确保安全。A和D不安全，B不完整。知识点：CloudFront与

源通信协议。易错点：容易忽略HTTP的选项。

5、网络ACL的规则评估顺序是什么？

A、按规则编号从小到大

B、按规则编号从大到小

C、随机顺序

D、按创建时间

【答案】A

【解析】正确答案是A。网络ACL按规则编号从小到大顺序评估，找到匹配规则即

停止。B、C、D都不正确。知识点：网络ACL规则评估顺序。易错点：容易与安全组

的评估方式混淆。

6、安全组规则可以基于什么进行过滤？

A、仅IP地址

B、仅端口

C、IP地址、端口和协议

D、仅协议

【答案】C

【解析】正确答案是C。安全组可以基于IP地址、端口和协议进行过滤。A、B、D

都不完整。知识点：安全组规则过滤条件。易错点：容易忽略协议的过滤条件。

7、CloudFront的OAC（OriginAccessControl）相比OAI（OriginAccessIdentity）

的主要优势是什么？

A、成本更低

B、支持更多AWS服务

C、更强的安全性和更简单的配置

D、更快的性能

【答案】C

【解析】正确答案是C。OAC提供更强的安全性和更简单的配置，是AWS推荐的

新方法。A、B、D都不是主要优势。知识点：OACvsOAI。易错点：容易混淆OAC

和OAI的区别。

2025年AWS认证CLOUDFRONT起源安全组与网络ACL配置专题试卷及解析3

8、网络ACL的规则可以应用到什么范围？

A、单个子网

B、多个