使用和保护应用层（第 7 层） AWS Shield AdvancedAWS WAF

本页介绍了 Shield Advanced 和 Shield 如何协同 AWS WAF 工作以保护应用层（第 7 层）的资源。

要使用 Shield Advanced 保护您的应用程序层资源，首先要将 AWS WAF Web ACL 与资源关联，然后向其添加一个或多个基于速率的规则。此外，您还可以启用自动应用层 DDo S 缓解，这会让 Shield Advanced 自动代表您创建和管理 Web ACL 规则，以响应 DDo S 攻击。

当您使用 Shield Advanced 保护应用程序层资源时，Shield Advanced 会分析一段时间内的流量以建立和维护基准。Shield Advanced 使用这些基准来检测流量模式中可能表明 S 攻击的 DDo异常。Shield Advanced 检测到攻击的时间点取决于 Shield Advanced 在攻击之前能够观察到的流量以及您用于 Web 应用程序的架构。可能影响 Shield Advanced 行为的架构变化包括您使用的实例类型、实例大小以及实例类型是否支持增强联网。您还可以将 Shield Advanced 配置为自动缓解应用程序层攻击。

Shield 高级版订阅和 AWS WAF 费用

您的 Shield Advanced 订阅可支付使用标准 AWS WAF 功能来保护您使用 Shield Advanced 保护的资源的费用。Shield Advanced 保护所涵盖的标准 AWS WAF 费用是每个保护包或 Web ACL 的费用、每条规则的费用以及每百万个 Web 请求检查的基本价格，最多 1,500 WCUs 个，不超过默认主体尺寸。

启用 Shield Advanced 自动应用层 DDo S 缓解会在您的保护包或 Web ACL 中添加一个使用 150 个 Web ACL 容量单位的规则组（WCUs）。这些 WCUs 计入您的保护包或 Web ACL 中的 WCU 使用量。有关更多信息，请参阅使用 Shield Advanced 自动缓解应用层 DDo S 、使用 Shield Advanced 规则组保护应用程序层和Web ACL 容量单位 (WCUs) AWS WAF。

你对 Shield Advanced 的 AWS WAF 订阅不包括使用你无法使用 Shield Advanced 保护的资源。它也不包括受保护资源的任何额外非标准 AWS WAF 成本。非标准 AWS WAF 成本的示例包括 Bot Control、CAPTCHA规则操作、使用量超过 1,500 WCUs 的 Web ACLs 以及检查超出默认正文大小的请求正文。完整列表在 AWS WAF 定价页面上提供。您对 Shield Advanced 的订阅包括访问第 7 层 Anti-DDo S Amazon 托管规则群组的访问权限。作为订阅的一部分，您将在一个日历月内收到多达 500 亿个 Shield Advanced 受保护 AWS WAF 资源的请求。超过 500 亿的请求将根据 AWS Shield Advanced 定价页面进行计费。

有关完整信息和定价示例，请参阅 Shield 定价和 AWS WAF 定价。