ANS-C01

核心服务

• Amazon VPCAWS 文档 ↗

  逻辑隔离的虚拟网络，以子网、路由表、NACL、安全组、互联网网关、NAT 网关和 VPC 对等连接作为构建块。

  为什么会出现在考试中： ANS-C01 的每个网络设计和网络实施场景都以 VPC 拓扑开始——CIDR 规模、多可用区子网以及路由表目标是核心考点。

• AWS Transit GatewayAWS 文档 ↗

  区域性网络传输中心，通过附件和传输网关路由表互连数千个 VPC 和本地网络，并支持跨区域对等连接。

  为什么会出现在考试中： 关于中心辐射型、分段以及大规模替换全网状 VPC 对等连接的网络设计问题都将 Transit Gateway 列为标准答案。

• AWS Direct ConnectAWS 文档 ↗

  专用的 1/10/100 Gbps AWS 私有线路，具有私有、公共和传输虚拟接口、BGP 对等连接、巨型帧以及用于多区域访问的 Direct Connect Gateway。

  为什么会出现在考试中： 网络实施部分测试混合连接的权衡——Direct Connect 与 VPN 的对比、LAG 捆绑、MACsec 和 BGP 路径操作都是考试重点。

• AWS Site-to-Site VPN & AWS Client VPNAWS 文档 ↗

  针对站点到站点 VPN，IPsec 隧道（静态或 BGP）终止于虚拟私有网关或传输网关；针对客户端 VPN，提供基于 OpenVPN 的托管终端节点，支持 mTLS 或 SAML 认证。

  为什么会出现在考试中： 混合连接问题会权衡 VPN 作为 Direct Connect 备份、ECMP 捆绑隧道以及加速 VPN 的选择——这些都在网络实施领域中进行测试。

• AWS Cloud WANAWS 文档 ↗

  托管式全球广域网，通过策略驱动的分段和路由，将 VPC、Direct Connect、VPN 和 SD-WAN 附件统一到一个核心网络下。

  为什么会出现在考试中： 多区域全球拓扑的网络设计场景越来越多地将 Cloud WAN 视为取代通过 TGW 对等连接拼接 Transit Gateway 的现代替代方案。

• Amazon Route 53 & Route 53 ResolverAWS 文档 ↗

  权威 DNS 服务，提供加权/延迟/地理位置/故障转移路由，以及运行入站和出站端点以实现 VPC 与本地环境之间混合 DNS 的 Resolver 服务。

  为什么会出现在考试中： 混合 DNS 解析（转发规则、条件转发器、私有托管区域）是 ANS-C01 考试中反复出现的网络设计和实施模式。

• AWS PrivateLinkAWS 文档 ↗

  通过接口 VPC 端点（ENI）和网关负载均衡器端点实现 VPC、AWS 服务与本地环境之间的私有连接——使流量保留在 AWS 骨干网上。

  为什么会出现在考试中： 关于跨账户公开服务或移除到 AWS API 的公共互联网路径的设计问题，答案是 PrivateLink + VPC 端点，并区分网关与接口端点。

• Amazon CloudFrontAWS 文档 ↗

  拥有 600 多个边缘站点、源站故障转移、自定义源站（S3、ALB、MediaPackage）、用于请求/响应操作的 CloudFront Functions / Lambda@Edge 以及字段级加密的全球 CDN。

  为什么会出现在考试中： 网络设计下的边缘交付场景——源站保护、签名 URL、通过 OAC 连接 CloudFront 到私有源站以及 POP 选择——都是重点考察内容。

专用服务

• Elastic Load Balancing (ALB / NLB / GWLB)AWS 文档 ↗

  三种 L4/L7 负载均衡器类型：ALB 用于 HTTP(S) 路由和 WAF 集成，NLB 用于超低延迟 L4 和静态 IP，GWLB 用于通过 GENEVE 透明插入设备集群。

  为什么会出现在考试中： 针对协议/规模选择 ALB 与 NLB，以及针对内联防火墙插入选择 GWLB，是考试中最常见的网络实施干扰模式之一。

• AWS Global AcceleratorAWS 文档 ↗

  Anycast IP 入口点，通过 AWS 全球骨干网路由到最近的健康区域端点（ALB、NLB、EC2 或弹性 IP），具有亚分钟级故障转移和流量拨号控制。

  为什么会出现在考试中： 区分 Global Accelerator（L4 上的 TCP/UDP、静态 Anycast IP）和 CloudFront（L7 上的 HTTP 缓存）的网络设计问题是考试重点。

• AWS Network FirewallAWS 文档 ↗

  托管式有状态防火墙，支持 Suricata 兼容的规则组、深度包检测、TLS 检测以及通过 Firewall Manager 集中部署。

  为什么会出现在考试中： 网络安全下的东西向和出站流量检查模式将 Network Firewall 列为 GWLB 后自托管设备的托管替代方案。

• AWS WAFAWS 文档 ↗

  L7 Web 应用程序防火墙，可附加到 CloudFront、ALB、API Gateway、AppSync 或 App Runner——提供托管规则组、速率限制、机器人控制和 CAPTCHA。

  为什么会出现在考试中： 关于 OWASP Top-10 缓解、应用层速率限制以及边缘机器人管理的网络安全问题都将 WAF 列为答案。

• AWS Shield AdvancedAWS 文档 ↗

  订阅级 DDoS 防护服务，提供 Shield 响应团队 (SRT)、L3/L4/L7 缓解措施、受攻击时扩展的成本保护退款以及全球威胁仪表盘。

  为什么会出现在考试中： 领域 4 (网络安全、合规和治理) 测试 Shield Advanced 在面向互联网的 CloudFront、Route 53、Global Accelerator 和 ELB 上实现持续 DDoS 弹性。

• Amazon API Gateway (private APIs)AWS 文档 ↗

  REST / HTTP / WebSocket API，其私有端点变体仅通过接口 VPC 端点公开，并提供资源策略以按 VPC、账户或源 IP 锁定调用者。

  为什么会出现在考试中： 在没有互联网出站的情况下向其他账户或本地环境公开内部 API，是依赖私有 API Gateway + PrivateLink 连接的网络设计场景。

• VPC Flow Logs & VPC Traffic MirroringAWS 文档 ↗

  流日志捕获接受/拒绝流量的五元组元数据到 CloudWatch Logs、S3 或 Kinesis Data Firehose；流量镜像将 ENI 的完整 L2 数据包流复制到目标 NLB 或 ENI，用于 IDS/取证。

  为什么会出现在考试中： 网络管理和操作中关于排查可达性和数据包级取证的问题，会区分流日志（元数据）和流量镜像（完整载荷）。

• AWS App Mesh / AWS Cloud MapAWS 文档 ↗

  基于 Envoy 的服务网格控制平面，提供东西向流量策略、重试和可观测性；Cloud Map 提供底层服务发现注册表（DNS 或 API）。

  为什么会出现在考试中： 关于流量整形、金丝雀发布以及 ECS/EKS/EC2 集群服务发现的微服务网络设计问题，都将 App Mesh + Cloud Map 列为 AWS 原生答案。

安全与治理

• AWS Identity and Access Management (IAM) & AWS RAMAWS 文档 ↗

  IAM 用户/角色/策略，以及 VPC 端点、传输网关和 Route 53 Resolver 规则上的基于资源的策略；AWS Resource Access Manager (RAM) 跨账户共享子网、TGW 和 Resolver 规则。

  为什么会出现在考试中： 领域 4 关于跨账户 VPC 共享、端点服务主体以及网络管理员最小权限的治理问题都以 IAM + RAM 为基础。

• AWS Key Management Service (KMS)AWS 文档 ↗

  托管式加密密钥，用于加密发送到 S3 的流日志、支持站点到站点 VPN 预共享密钥的秘密、Direct Connect 的 MACsec 密钥以及 CloudFront 字段级加密密钥。

  为什么会出现在考试中： 领域 4 中的合规场景将 KMS 列为静态加密捕获的网络遥测数据以及在不中断服务的情况下轮换 PSK / MACsec CKN 的答案。

• AWS Network ManagerAWS 文档 ↗

  传输网关、Cloud WAN、Direct Connect 和 SD-WAN 合作伙伴的单一管理控制台和 API——提供事件、路由分析、Network Access Analyzer 集成和拓扑可视化。

  为什么会出现在考试中： 关于全球拓扑可视化、路由分析和主动事件检测的网络管理和操作问题都将 Network Manager 列为操作界面。

• AWS CloudTrailAWS 文档 ↗

  账户范围的审计日志，记录每个网络控制平面 API 调用——谁附加了 TGW、谁修改了路由表、谁创建了对等连接。

  为什么会出现在考试中： 领域 4 的合规问题将 CloudTrail 列为对 VPC、TGW、安全组和 Resolver 规则进行变更归因所需的不变记录。

典型职位

• 云网络工程师
• 云网络架构师
• 高级网络工程师（云方向）
• 混合云网络工程师
• 网络安全工程师 (AWS)
• 首席网络架构师
• 云基础设施工程师（网络方向）

薪资范围（美国，估算）

$135k–$190k–$280k USD 每年

此范围涵盖美国境内需要 AWS 熟练度的中高级云网络职位。顶级金融服务、FAANG 和大型企业核心团队的总薪酬经常超过 33 万美元。非沿海市场的入门级“网络工程师”职位低于此范围的低端。高级网络专业认证因其候选人池较小，通常能获得可观的溢价。

来源：levels.fyi 2025–2026 年云网络工程师职位, 美国劳工统计局 (BLS) 职业就业统计 (OEWS) 2024 年 5 月数据 (15-1241 computer network architects, 15-1244 network and computer systems architects)。数据为估算值；实际薪酬取决于职位、地区和经验。

市场需求

云网络是 AWS 招聘中规模较小但薪资最高的专业领域之一。需求主要集中在大型企业、金融服务、受监管行业以及具有复杂多区域或混合架构的云原生 SaaS 公司。招聘人员将 ANS-C01 视为一个可靠的信号，表明候选人能够设计和操作非简单的 AWS 网络 — 兼具 AWS 深度和 BGP/DNS 熟练度的候选人池确实很小。它与 SAA-C03 或 SAP-C02 以及安全专业认证 (SCS-C03) 自然搭配，适用于高级基础设施职位。此认证本身并不能使候选人胜任首席架构师级别的职位；这些职位需要更广泛的系统设计和领导经验。