使用 AWS Shield Advanced 和 AWS WAF 保护应用程序层（第 7 层）

本页介绍了 Shield Advanced 和 AWS WAF 如何合作保护应用程序层（第 7 层）的资源。

要使用 Shield Advanced 保护您的应用程序层资源，首先要将 AWS WAF web ACL 与资源关联，然后向其添加一个或多个基于速率的规则。此外，您还可以启用应用程序层 DDoS 自动缓解措施，这会让 Shield Advanced 自动代表您创建和管理 web ACL 规则，以响应 DDoS 攻击。

当您使用 Shield Advanced 保护应用程序层资源时，Shield Advanced 会分析一段时间内的流量以建立和维护基准。Shield Advanced 使用这些基准来检测可能表明 DDoS 攻击的流量模式中的异常。Shield Advanced 检测到攻击的时间点取决于 Shield Advanced 在攻击之前能够观察到的流量以及您用于 web 应用程序的架构。可能影响 Shield Advanced 行为的架构变化包括您使用的实例类型、实例大小以及实例类型是否支持增强联网。您还可以将 Shield Advanced 配置为自动缓解应用程序层攻击。

Shield Advanced 订阅和 AWS WAF 费用

您的 Shield Advanced 订阅涵盖了为您使用 Shield Advanced 保护的资源使用标准 AWS WAF 功能的费用。Shield Advanced 保护所涵盖的标准 AWS WAF 费用包括每个保护包（web ACL）的费用、每条规则的费用以及每百万个 web 请求检查的基本价格，最多 1500 个 WCU，不超过默认正文大小。

启用 Shield Advanced 自动应用程序层 DDoS 缓解会向使用 150 个保护包（web ACL）容量单位（WCU）的 web ACL 中添加一个规则组。这些 WCU 会计入保护包（web ACL）中的 WCU 使用量。有关更多信息，请参阅使用 Shield Advanced 自动化应用程序层 DDoS 缓解 、使用 Shield Advanced 规则组保护应用程序层和AWS WAF 中的 Web ACL 容量单位（WCU）数。

您的 Shield Advanced 订阅不包括对未使用 Shield Advanced 进行保护的资源使用 AWS WAF。它也不包括受保护资源的任何额外非标准 AWS WAF 成本。非标准 AWS WAF 成本的示例包括机器人控制功能、CAPTCHA 规则操作、使用 1500 个以上 WCU 的 web ACL 以及检查超出默认正文大小的请求正文的成本。AWS WAF 定价页面上提供了完整的列表。您对 Shield Advanced 的订阅包括对第 7 层反 DDoS 防护 Amazon 托管规则组的访问权限。作为订阅的一部分，您将在一个日历月内收到最多 500 亿个 Shield Advanced 受保护 AWS WAF 资源的请求。超过 500 亿的请求将根据 AWS Shield Advanced 定价页面进行计费。

有关完整信息和定价示例，请参阅 Shield 定价和 AWS WAF 定价。