【正解: A】の理由

Front Door WAF Policy の Custom Rules では Match Condition として RemoteAddr (IP 範囲) を指定し、Block アクションを設定することで特定 IP 範囲からの通信を遮断できます。そのため、Geo 制限や IP ブラック リスト的な要件はカスタム ルールで実装するのが標準パターンです。

【他選択肢が違う理由】

• B: Managed Rule Set は OWASP CRS 等の汎用ルールで、IP 範囲ベースの個別遮断は Custom Rules で行います。
• C: Origin 側 NSG でも IP 遮断は可能ですが、Front Door エッジで先に遮断する方が効率的です。
• D: Front Door Route には IP 遮断機能は組み込まれておらず、WAF Policy で実装します。

【参考】

Front Door Custom Rules