**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Shield Advanced 如何管理自动缓解
<a name="ddos-automatic-app-layer-response-behavior"></a>

本节中的主题介绍 Shield Advanced 如何处理您的配置更改以实现自动应用层 DDo S 缓解，以及在启用自动缓解后如何处理 DDo S 攻击。

**Topics**
+ [Shield Advanced 如何通过自动缓解来响应 DDo S 攻击](#ddos-automatic-app-layer-response-ddos-attack)
+ [Shield Advanced 如何管理规则操作设置](#ddos-automatic-app-layer-response-rule-action)
+ [攻击消退后 Shield Advanced 如何管理缓解措施](#ddos-automatic-app-layer-response-after-attack)
+ [在禁用自动缓解时发生的情况](#ddos-automatic-app-layer-response-disable)

## Shield Advanced 如何通过自动缓解来响应 DDo S 攻击
<a name="ddos-automatic-app-layer-response-ddos-attack"></a>

当您在受保护的资源上启用自动缓解时，Shield Advanced 规则组`ShieldKnownOffenderIPRateBasedRule`中基于速率的规则会自动响应来自已知 DDo S 源的流量增加的情况。此速率限制可以快速应用，能起到抵御攻击的前线防御作用。

当 Shield Advanced 检测到攻击时，它会执行下列操作：

1. 尝试识别攻击签名，该特征码将攻击流量与发送到您的应用程序的正常流量隔离开来。目标是制定高质量的 DDo S 缓解规则，这些规则放置后仅影响攻击流量，不会影响应用程序的正常流量。

1. 根据受到攻击的资源以及与相同 Web ACL 关联的任何其他资源的历史流量模式，评估已识别的攻击特征。Shield Advanced 会在部署任何规则以响应事件之前执行此操作。

   根据评估结果，Shield Advanced 执行以下操作之一：
   + 如果 Shield Advanced 确定攻击签名仅隔离 DDo S 攻击所涉及的流量， AWS WAF 则它将在 Web ACL 的 Shield 高级缓解规则组的规则中实现签名。Shield Advanced 为这些规则提供了您为资源自动缓解配置的操作设置，可以是 Count 或 Block。
   + 否则，Shield Advanced 不会提供缓解措施。

在整个攻击过程中，Shield Advanced 会发送与基本 Shield Advanced 应用程序层保护相同的通知并提供相同的事件信息。你可以在 Shield Advanced 事件控制台中查看有关事件和 DDo S 攻击以及任何针对攻击的 Shield 高级缓解措施的信息。有关信息，请参阅[使用 Shield Advanced 查看 DDo S 事件](ddos-viewing-events.md)。

如果您已将自动缓解配置为使用 Block 规则操作，并且 Shield Advanced 部署的缓解规则发生误报，则可以将规则操作更改为 Count。有关如何执行此操作的信息，请参阅 [更改用于自动应用层 DDo S 缓解的操作](change-action-of-automatic-app-layer-response.md)。

## Shield Advanced 如何管理规则操作设置
<a name="ddos-automatic-app-layer-response-rule-action"></a>

您可以将自动缓解的规则操作设置为 Block 或 Count。

当您更改受保护资源的自动缓解规则操作设置时，Shield Advanced 会更新该资源的所有规则设置。它会更新 Shield Advanced 规则组中资源当前存在的任何规则，并在创建新规则时使用新的操作设置。

对于使用相同 Web ACL 的资源，如果指定不同的操作，Shield Advanced 将使用规则组基于速率的规则 `ShieldKnownOffenderIPRateBasedRule` 的 Block 操作设置。Shield Advanced 代表特定的受保护资源创建和管理规则组中的其他规则，并使用您为该资源指定的操作设置。Web ACL 中的 Shield Advanced 规则组中的所有规则都应用于所有相关资源的 Web 流量。

更改操作设置可能需要几秒钟进行传播。在此期间，某些使用规则组的位置会显示旧设置，而另一些会显示新设置。

您可以在控制台的事件页面和应用程序层配置页面更改自动缓解配置的规则操作设置。有关事件的更多信息，请参阅 [在中响应 DDo S 事件 AWS](ddos-responding.md)。有关配置文件的更多信息，请参阅[配置应用层 DDo S 保护](manage-protection.md#configure-app-layer-protection)。

## 攻击消退后 Shield Advanced 如何管理缓解措施
<a name="ddos-automatic-app-layer-response-after-attack"></a>

当 Shield Advanced 确定不再需要为特定攻击部署的缓解规则时，它会将其从 Shield Advanced 缓解规则组中删除。

攻击结束并不意味着取消缓解规则。Shield Advanced 会监控它在您的受保护资源上检测到的攻击模式。它可以保持针对首次发生攻击时部署的规则，以主动防御带有特定特征的攻击再次发生。根据需要，Shield Advanced 会延长遵守规则的时间窗口。这样，Shield Advanced 就可以在使用特定特征码的重复攻击影响您的受保护资源之前缓解这些攻击。

Shield Advanced 永远不会删除基于速率的规则`ShieldKnownOffenderIPRateBasedRule`，该规则限制了来自已知是 DDo S 攻击来源的 IP 地址的请求量。

## 在禁用自动缓解时发生的情况
<a name="ddos-automatic-app-layer-response-disable"></a>

当您为资源禁用自动缓解时，Shield Advanced 会执行以下操作：
+ **停止自动响应 DDo S 攻击** — Shield Advanced 停止对该资源的自动响应活动。
+ **从 Shield Advanced 规则组中移除不需要的规则**：如果 Shield Advanced 代表受保护资源维护其托管规则组中的任何规则，则会将其删除。
+ **如果已不再使用 Shield Advanced 规则组，则将其删除**：如果您与该资源关联的 Web ACL 未与任何其他启用了自动缓解的资源相关联，Shield Advanced 将从 Web ACL 中删除其规则组规则。