**引入全新的主机体验 AWS WAF**
现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 Shield Advanced 自动缓解应用层 DDo S
**注意**
从 2026 年 3 月 26 日起,的反 DDo S 托管规则组(Anti-S AMR) AWS WAF 将成为防御 HTTP 请求洪水攻击的默认解决方案(参见 [Anti-DDo S AM](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-the-aws-waf-application-layer-ddos-protection/) R 发布博客)。它取代了第 7 层自动缓解 (L7AM) 功能。如果您是 Shield Advanced 的现有客户,则可以继续对现有账户或新 AWS 账户使用旧版解决方案。但是,我们鼓励您采用 Anti-DDo S 托管规则组。Anti-DDo S 托管规则组可在几秒钟而不是几分钟内检测并缓解攻击。如果您是 Shield Advanced 的新客户,并且需要访问旧版解决方案,请联系 Supp AWS ort。
本页介绍了自动应用层 DDo S缓解的主题,并列出了相关的注意事项。
您可以将 Shield Advanced 配置为自动响应,通过计算或阻止作为攻击一部分的 web 请求来缓解针对受保护应用程序层资源的应用程序层(第 7 层)攻击。此选项是您通过Shield Advanced添加的应用层保护的补充,该保护具有 AWS WAF Web ACL和您自己的基于速率的规则。
当为资源启用自动缓解时,Shield Advanced 会在资源的关联 web ACL 中维护一个规则组,在这里,它代表资源管理缓解规则。该规则组包含一个基于速率的规则,用于跟踪来自已知是 DDo S 攻击来源的 IP 地址的请求量。
此外,Shield Advanced 将当前流量模式与历史流量基线进行比较,以检测可能表明 DDo S 攻击的偏差。Shield Advanced 通过在规则组中创建、评估和部署其他自定义 AWS WAF 规则来响应检测到的 DDo S 攻击。
## 使用自动应用层 DDo S 缓解措施的注意事项
以下列表描述了 Shield Advanced 自动应用层 DDo S 缓解的注意事项,并描述了您可能需要采取的响应步骤。
+ 自动应用层 DDo S 缓解仅适用于使用最新版本 (v2 ACLs) 创建的保护包 AWS WAF (Web)。
+ Shield Advanced 需要时间为应用程序建立正常历史流量基准,并利用该基准来检测攻击流量并将其与正常流量隔离,从而缓解攻击流量。建立基准的时间介于 24 小时到 30 天之间,从将 web ACL 与受保护的应用程序资源关联时算起。有关流量基准的其他信息,请参阅 [使用影响 Shield Advanced 检测和缓解应用程序层事件的因素清单](ddos-app-layer-detection-mitigation.md)。
+ 启用自动应用层 DDo S 缓解会向您的保护包 (Web ACL) 中添加一个使用 150 个 Web ACL 容量单位的规则组 (WCUs)。这些 WCUs 计入您的保护包(Web ACL)中的 WCU 使用量。有关更多信息,请参阅[使用 Shield Advanced 规则组保护应用程序层](ddos-automatic-app-layer-response-rg.md)和[Web ACL 容量单位 (WCUs) AWS WAF](aws-waf-capacity-units.md)。
+ Shield Advanced 规则组会生成 AWS WAF 指标,但这些指标不可查看。这与您在保护包 (Web ACL) 中使用但不拥有的任何其他规则组相同,例如 AWS 托管规则规则组。有关 AWS WAF 指标的更多信息,请参阅[AWS WAF 指标和维度](waf-metrics.md)。有关该 Shield Advanced 保护选项的信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](#ddos-automatic-app-layer-response)。
+ 对于保护多个资源的网络 ACLs ,自动缓解仅部署不会对任何受保护资源产生负面影响的自定义缓解措施。
+ 从 DDo S 攻击开始到 Shield Advanced 放置自定义自动缓解规则的时间因每个事件而异。某些 DDo S 攻击可能会在部署自定义规则之前结束。当缓解措施已经到位时,可能会发生其他攻击,因此可能会从该事件开始就通过这些规则来缓解。此外,web ACL 和 Shield Advanced 规则组中基于速率的规则可以在攻击流量作为可能的事件进行检测之前对其进行缓解。
+ 对于通过内容分发网络 (CDN)(例如 Ama CloudFront zon)接收任何流量的应用程序负载均衡器,Shield Advanced 针对这些应用程序负载均衡器资源的应用程序层自动缓解能力将降低。Shield Advanced 使用客户端流量属性来识别攻击流量并将其与普通流量隔离到您的应用程序,并且 CDNs 可能不会保留或转发原始客户端流量属性。如果您使用 CloudFront,我们建议您在 CloudFront 发行版上启用自动缓解功能。
+ 自动应用层 DDo S 缓解不会与保护组交互。您可以为保护组中的资源启用自动缓解,但是 Shield Advanced 不会根据保护组的调查发现自动应用攻击缓解措施。Shield Advanced 会对单个资源进行自动攻击缓解。
**Contents**
+ [使用自动应用层 DDo S 缓解措施的注意事项](#ddos-automatic-app-layer-response-caveats)
+ [使用自动应用层 DDo S 缓解措施的最佳实践](ddos-automatic-app-layer-response-bp.md)
+ [启用自动应用层 DDo S 缓解措施](ddos-automatic-app-layer-response-config.md)
+ [在启用自动缓解时发生的情况](ddos-automatic-app-layer-response-config.md#ddos-automatic-app-layer-response-enable)
+ [Shield Advanced 如何管理自动缓解](ddos-automatic-app-layer-response-behavior.md)
+ [Shield Advanced 如何通过自动缓解来响应 DDo S 攻击](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-ddos-attack)
+ [Shield Advanced 如何管理规则操作设置](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action)
+ [攻击消退后 Shield Advanced 如何管理缓解措施](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-after-attack)
+ [在禁用自动缓解时发生的情况](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-disable)
+ [使用 Shield Advanced 规则组保护应用程序层](ddos-automatic-app-layer-response-rg.md)
+ [查看资源的自动应用层 DDo缓解配置](view-automatic-app-layer-response-configuration.md)
+ [启用和禁用自动应用层 DDo S 缓解措施](enable-disable-automatic-app-layer-response.md)
+ [更改用于自动应用层 DDo S 缓解的操作](change-action-of-automatic-app-layer-response.md)
+ [AWS CloudFormation 与自动应用层 DDo S 缓解一起使用](manage-automatic-mitigation-in-cfn.md)