**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Shield Advanced Web 应用程序的缓解逻辑
<a name="ddos-event-mitigation-logic-adv-web-app"></a>

AWS Shield Advanced AWS WAF 用于缓解 Web 应用程序层攻击。 AWS WAF 包含在 Shield Advanced 中，无需额外付费。

**标准应用程序层保护**  
使用 Shield Advanced 保护亚马逊 CloudFront 分配或应用程序负载均衡器时，如果尚未关联 AWS WAF 网络 ACL，则可以使用 Shield Advanced 将网络 ACL 与受保护的资源相关联。如果您尚未配置 Web ACL，则可以使用 Shield Advanced 控制台向导创建一个，然后向其添加基于速率的规则。基于速率的规则限制了每个 IP 地址每五分钟时间窗口的请求数，从而提供了防止 Web 应用程序层请求泛洪的基本保护。您可以配置速率，起始速率低至 10。有关更多信息，请参阅 [使用 AWS WAF Web ACLs 和 Shield Advanced 保护应用层](ddos-app-layer-web-ACL-and-rbr.md)。

您也可以使用该 AWS WAF 服务来管理 Web ACL。通过 AWS WAF，您可以扩展 Web ACL 配置以执行诸如检查特定 Web 请求组件的字符串匹配或模式、添加自定义请求和响应处理以及与请求源的地理位置进行匹配等操作。有关 AWS WAF 规则的更多信息，请参阅[AWS WAF 规则](waf-rules.md)。

**自动应用程序层缓解**  
要增强保护，请启用 Shield Advanced 自动应用程序层缓解。使用此选项，Shield Advanced 会为来自已知 DDo S 源的请求维护 AWS WAF 速率限制规则，并为检测到的 DDo S 攻击提供自定义缓解措施。

当 Shield Advanced 检测到针对受保护资源的攻击时，它会尝试识别攻击特征，将攻击流量与流向应用程序的正常流量隔离开来。Shield Advanced 会根据受到攻击的资源以及与同一 Web ACL 关联的任何其他资源的历史流量模式评估已识别的攻击特征。

如果 Shield Advanced 确定攻击特征码仅隔离 DDo S 攻击中涉及的流量，则它会在关联的 Web ACL 中的 AWS WAF 规则中实现该签名。您可以指示 Shield Advanced 设置缓解措施，这些缓解措施只计算与之匹配的流量，或者阻止流量，您可以随时更改设置。当 Shield Advanced 确定不再需要其缓解规则时，它会将其从 Web ACL 中删除。有关应用程序层事件缓解的更多信息，请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)。

有关 Shield Advanced 应用程序层缓解的更多信息，请参阅 [使用和保护应用层（第 7 层） AWS Shield Advanced AWS WAF](ddos-app-layer-protections.md)。