介绍 AWS WAF 的全新控制台体验

现在，您可以使用更新后的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅 使用更新的控制台体验。

Web 应用程序的 AWS Shield Advanced 缓解逻辑

AWS Shield Advanced 使用 AWS WAF 缓解 Web 应用程序层攻击。AWS WAF 已包含在 Shield Advanced 中，无需支付额外的成本。

标准应用程序层保护

使用 Shield Advanced 保护 Amazon CloudFront 分配或应用程序负载均衡器时，如果尚未关联 AWS WAF 网络 ACL，则可以使用 Shield Advanced 将网络 ACL 与受保护的资源相关联。如果您尚未配置 Web ACL，则可以使用 Shield Advanced 控制台向导创建一个，然后向其添加基于速率的规则。基于速率的规则限制了每个 IP 地址每五分钟时间窗口的请求数，从而提供了防止 Web 应用程序层请求泛洪的基本保护。您可以配置速率，起始速率低至 10。有关更多信息，请参阅 使用 AWS WAF Web ACL 和 Shield Advanced 保护应用程序层。

您也可以使用 AWS WAF 服务来管理 Web ACL。通过 AWS WAF，您可以扩展 Web ACL 配置以执行一些操作，例如检查特定 Web 请求组件的字符串匹配或模式、添加自定义请求和响应处理，以及根据请求源的地理位置进行匹配。有关AWS WAF规则的更多信息，请参阅AWS WAF 规则。

自动应用程序层缓解

要增强保护，请启用 Shield Advanced 自动应用程序层缓解。使用此选项，Shield Advanced 会为来自已知 DDoS 来源的请求维护 AWS WAF 速率限制规则，并为检测到的 DDoS 攻击提供自定义缓解。

当 Shield Advanced 检测到针对受保护资源的攻击时，它会尝试识别攻击特征，将攻击流量与流向应用程序的正常流量隔离开来。Shield Advanced 会根据受到攻击的资源以及与同一 Web ACL 关联的任何其他资源的历史流量模式评估已识别的攻击特征。

如果 Shield Advanced 确定攻击特征码仅隔离 DDoS 攻击中涉及的流量，则它会在关联的 Web ACL 中的 AWS WAF 规则中实施签名。您可以指示 Shield Advanced 设置缓解措施，这些缓解措施只计算与之匹配的流量，或者阻止流量，您可以随时更改设置。当 Shield Advanced 确定不再需要其缓解规则时，它会将其从 Web ACL 中删除。有关应用程序层事件缓解的更多信息，请参阅 使用 Shield Advanced 自动化应用程序层 DDoS 缓解 。

有关 Shield Advanced 应用程序层缓解的更多信息，请参阅 使用 AWS Shield Advanced 和 AWS WAF 保护应用程序层（第 7 层）。