**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 设置 AWS Shield Advanced
<a name="getting-started-ddos"></a>

本教程将引导你开始 AWS Shield Advanced 使用 Shield Advanced 控制台。

**注意**  
Shield Advanced 需要订阅，但 AWS Shield Standard 不需要。Shield Standard 提供的保护对所有 AWS 客户都是免费的。

Shield Advanced 为网络层（第 3 层）、传输层（第 4 层）和应用层（第 7 层）攻击提供高级 DDo S 检测和缓解保护。有关 Shield Advanced 的更多信息，请参阅 [AWS Shield Advanced 概览](ddos-advanced-summary.md)。

 AWS 技术社区发布了一个使用基础架构即代码 (IaC) 工具 AWS CloudFormation 和 Terraform 配置 Shield Advanced 的自动流程示例。如果您的账户属于某个组织， AWS Organizations 并且您要保护除了 Amazon Route 53 或之外的任何资源类型，则可以使用 AWS Firewall Manager 此解决方案 AWS Global Accelerator。[要探索此选项，请参阅 [aws-samples /- aws-shield-advanced-one click-deployment 中的代码库和一键部署](https://github.com/aws-samples/aws-shield-advanced-one-click-deployment) Shield Advanced 中的教程。](https://youtu.be/LCA3FwMk_QE)

**注意**  
在分布式拒绝服务 (DDoS) 事件发生之前，必须完全配置 Shield Advanced。完成配置以帮助确保您的应用程序受到保护，并且在应用程序受到 DDo S 攻击影响时您已准备好做出响应。

按顺序执行以下步骤，开始使用 Shield Advanced。

**Contents**
+ [正在订阅 AWS Shield Advanced](enable-ddos-prem.md)
+ [使用 Shield Advanced 添加和配置资源保护](ddos-choose-resources.md)
  + [使用配置应用层（第 7 层） DDo保护 AWS WAF](ddos-get-started-web-acl-rbr.md)
  + [为 Shield Advanced 和 Route 53 保护配置运行状况检测](ddos-get-started-health-checks.md)
  + [使用 Shield Advanced 和 Amazon SNS 配置警报和通知](ddos-get-started-create-alarms.md)
  + [在 Shield Advanced 中查看并完成您的保护配置](ddos-get-started-review-and-configure.md)
+ [设置 AWS Shield 响应小组 (SRT) 支持 DDo S 事件响应](authorize-srt.md)
+ [在中创建 DDo S 仪表板 CloudWatch 并设置 CloudWatch 警报](deploy-waf-dashboard.md)

# 正在订阅 AWS Shield Advanced
<a name="enable-ddos-prem"></a>

本页介绍了如何为您的账户订阅 Shield Advanced，以开始使用该服务。

你必须为每个 AWS 账户 想要保护的物品订阅 Shield Advanced。您无需订阅 Shield Standard。

**Shield Advanced 订阅账单**  
如果您是 AWS 渠道经销商，请咨询您的客户团队以获取信息和指导。此账单信息适用于非 AWS 渠道经销商的客户。

对于所有其他订阅和计费指南，则适用以下订阅和计费指南：
+ 对于属于 AWS Organizations 组织成员的账户，无论付款人账户本身是否已订阅，都要从该组织的付款人账户中扣除 Shield Advanced 订阅 AWS 费用。
+ 当您订阅属于同一个[AWS Organizations 整合账单账户系列](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)的多个账户时，该系列中所有已订阅的账户适用一个订阅价格。组织必须拥有其所有 AWS 账户 和所有资源。
+ 当您为多个组织订阅多个账户时，如果您拥有所有组织、账户和资源，您可以用一笔订阅费支付所有组织、账户和资源的费用。请联系您的客户经理或 AWS 支持人员，申请免除其中一个组织以外的所有组织的 AWS Shield Advanced 订阅费用。

有关定价信息和示例的详细信息，请参阅 [AWS Shield 定价](https://aws.amazon.com/shield/pricing/)。

**考虑使用以下方法简化订阅 AWS Firewall Manager**  
如果您的账户属于某个组织，我们建议您尽可能使用 AWS Firewall Manager 进行自动订阅并为该组织提供自动保护。Firewall Manager 支持除了 Amazon Route 53 和 AWS Global Accelerator之外的所有受保护资源类型。如需使用 Firewall Manager，请参阅 [AWS Firewall Manager](fms-chapter.md) 和 [设置 AWS Firewall Manager AWS Shield Advanced 策略](getting-started-fms-shield.md)。

如果不使用 Firewall Manager，请针对每个需要保护资源的账户，使用以下步骤进行订阅和添加保护。

**订阅账户 AWS Shield Advanced**

1. 登录 AWS 管理控制台 并打开 AWS WAF & Shield 控制台，网址为[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)。

1. 在 **AWS Shield** 导航栏中，选择**开始**。选择**订阅 Shield Advanced**。

1. 在**订阅 Shield Advanced** 页面中，阅读协议的每个条款，然后选中所有复选框以表示您接受这些条款。对于整合账单系列中的账户，您必须同意每个账户的条款。
**重要**  
订阅后，如需取消订阅，您必须联系 [AWS 支持](https://console.aws.amazon.com/support)。  
要禁用订阅的自动续订，您必须使用 Shield API 操作[UpdateSubscription](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_UpdateSubscription.html)或 CLI 命令[更新](https://docs.aws.amazon.com/cli/latest/reference/shield/update-subscription.html)订阅。

   选择**订阅 Shield Advanced**。这将使您的账户订阅 Shield Advanced 并激活该服务。

您的账户已订阅。继续执行以下步骤，使用 Shield Advanced 保护您账户的资源。

**注意**  
Shield Advanced 不会在您订阅后自动保护您的资源。您必须指定希望 Shield Advanced 保护的资源。

# 使用 Shield Advanced 添加和配置资源保护
<a name="ddos-choose-resources"></a>

本页提供了为资源添加和配置保护的说明。

Shield Advanced 仅保护您通过 Shield Advanced 或在 Firewall Manager Shield Advanced 策略中指定的资源。它不会自动保护订阅账户的资源。

**注意**  
如果您使用 AWS Firewall Manager Shield Advanced 策略进行保护，则无需执行此步骤。您可以使用要保护的资源类型来配置策略，Firewall Manager 会自动为策略范围内的资源添加保护。

如果您不使用 Firewall Manager，请为每个需要保护资源的账户执行以下步骤。

**使用 Shield Advanced 选择要保护的资源**

1. 从先前步骤的订阅确认页面，或者从**受保护的资源**或**概述**页面中选择**添加要保护的资源**。

1. 在**选择要使用 Shield Advanced 保护的资源**页面的**指定区域和资源类型**中，提供要保护的资源的区域和资源类型规格。您可以通过选择**所有区域**来保护多个区域中的资源，也可以通过选择**全局**将选择范围缩小到全局资源。您可以取消选择任何不想保护的资源类型。有关您的资源类型保护的信息，请参阅 [AWS Shield Advanced 可保护的资源列表](ddos-protections-by-resource-type.md)。

1. 选择**加载资源**。Shield Advanced 会使用符合您条件的 AWS 资源填充**选择资源**部分。

1. 在**选择资源** 部分，您可以通过在资源列表中输入要搜索的字符串来筛选资源列表。

   选择要保护的资源。

1. 在**标签**部分，如果要为正在创建的 Shield Advanced 保护添加标签，请指定这些标签。有关标记 AWS 资源的信息，请参阅[使用标签编辑器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。

1. 选择**使用 Shield Advanced 保护**。这为资源增加了 Shield Advanced 保护。

继续浏览控制台向导屏幕，完成资源保护的配置。

**Topics**
+ [使用配置应用层（第 7 层） DDo保护 AWS WAF](ddos-get-started-web-acl-rbr.md)
+ [为 Shield Advanced 和 Route 53 保护配置运行状况检测](ddos-get-started-health-checks.md)
+ [使用 Shield Advanced 和 Amazon SNS 配置警报和通知](ddos-get-started-create-alarms.md)
+ [在 Shield Advanced 中查看并完成您的保护配置](ddos-get-started-review-and-configure.md)

# 使用配置应用层（第 7 层） DDo保护 AWS WAF
<a name="ddos-get-started-web-acl-rbr"></a>

本页提供使用 AWS WAF Web 配置应用层保护的说明 ACLs。

为了保护应用层资源，Shield Advanced 使用带有基于速率的规则的 AWS WAF Web ACL 作为起点。 AWS WAF 是一个 Web 应用程序防火墙，允许您监控转发到应用层资源的 HTTP 和 HTTPS 请求，并允许您根据请求的特征控制对内容的访问权限。基于速率的规则根据您的请求聚合标准限制流量，从而为您的应用程序提供基本的 DDo S 保护。有关更多信息，请参阅[如何 AWS WAF 运作](how-aws-waf-works.md)和[在中使用基于费率的规则语句 AWS WAF](waf-rule-statement-type-rate-based.md)。

您还可以选择启用 Shield Advanced 自动应用层 DDo S 缓解，让来自已知 DDo S 来源的 Shield Advanced 速率限制请求，并自动为您提供针对特定事件的保护。

**重要**  
如果您通过 AWS Firewall Manager 使用 Shield Advanced 策略来管理 Shield 高级保护，则无法在此处管理应用层保护。必须在 Firewall Manager Shield Advanced 策略中对其进行管理。

**Shield 高级版订阅和 AWS WAF 费用**  
您的 Shield Advanced 订阅可支付使用标准 AWS WAF 功能来保护您使用 Shield Advanced 保护的资源的费用。Shield Advanced 保护所涵盖的标准 AWS WAF 费用是每个保护包（Web ACL）的费用、每条规则的费用以及每百万个 Web 请求检查的基本价格，最多 1,500 WCUs 个，不超过默认的主体尺寸。

启用 Shield Advanced 自动应用层 DDo S 缓解会在您的保护包（Web ACL）中添加一个使用 150 个 Web ACL 容量单位的规则组（WCUs）。这些 WCUs 计入您的保护包（Web ACL）中的 WCU 使用量。有关更多信息，请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)、[使用 Shield Advanced 规则组保护应用程序层](ddos-automatic-app-layer-response-rg.md) 和 [Web ACL 容量单位 (WCUs) AWS WAF](aws-waf-capacity-units.md)。

你对 Shield Advanced 的 AWS WAF 订阅不包括使用你无法使用 Shield Advanced 保护的资源。它也不包括受保护资源的任何额外非标准 AWS WAF 成本。非标准 AWS WAF 成本的示例包括 Bot Control、CAPTCHA规则操作、使用量超过 1,500 WCUs 的 Web ACLs 以及检查超出默认正文大小的请求正文。完整列表在 AWS WAF 定价页面上提供。您对 Shield Advanced 的订阅包括访问第 7 层 Anti-DDo S Amazon 托管规则群组的访问权限。作为订阅的一部分，您将在一个日历月内收到多达 500 亿个 Shield Advanced 受保护 AWS WAF 资源的请求。超过 500 亿的请求将根据 AWS Shield Advanced 定价页面进行计费。

有关完整信息和定价示例，请参阅 [Shield 定价](https://aws.amazon.com/shield/pricing/)和 [AWS WAF 定价](https://aws.amazon.com/waf/pricing/)。

**为区域配置 DDo第 7 层保护**

Shield Advanced 允许您选择为所选资源所在的每个区域配置 7 DDo S 层缓解。如果您要在多个区域添加保护，则向导将引导您完成每个区域的以下步骤。

1. **配置 DDo第 7 层保护**页面列出了所有尚未与 Web ACL 关联的资源。对于每个资源，您可以选择现有 web ACL，活着创建一个新的 web ACL。对于任何已经关联的 Web ACL 的资源，您可以先 ACLs 通过取消关联当前的 Web ACL 来更改网页。 AWS WAF有关更多信息，请参阅 [将保护与资源关联或取消关联 AWS](web-acl-associating-aws-resource.md)。

   对于 ACLs 还没有基于速率的规则的网站，配置向导会提示您添加一个规则。当 IP 地址发送大量请求时，基于速率的规则会限制来自这些地址的流量。基于速率的规则有助于保护您的应用程序免受 Web 请求泛滥的影响，并且可以提供有关可能表明潜在的 DDo S 攻击的流量突然激增的警报。选择**添加速率限制规则**，然后提供速率限制和规则操作，将基于速率的规则添加到 web ACL。您可以通过在 Web ACL 中配置其他保护 AWS WAF。

   有关在 Shield Advanced 防护中使用网络 ACLs 和基于速率的规则（包括基于速率的规则的其他配置选项）的信息，请参阅。[使用 AWS WAF Web ACLs 和 Shield Advanced 保护应用层](ddos-app-layer-web-ACL-and-rbr.md)

1. 对于**自动缓解应用层 DDo S**，如果您想让 Shield Advanced 自动缓解针对您的应用层资源的 DDo S 攻击，请选择 “**启用**”，然后选择希望 Shield Advanced 在其自定义规则中使用的规则操作。 AWS WAF 此设置适用于您在此向导会话中管理的资源的所有 Web ACLs 。

   通过自动应用层 DDo S 缓解措施，Shield Advanced 在资源的 AWS WAF Web ACL 中维护了基于速率的规则，该规则限制了来自已知 DDo S 源的请求量。此外，Shield Advanced 会将当前流量模式与历史流量基线进行比较，以检测可能表明 DDo S 攻击的偏差。当 Shield Advanced 检测到 DDo S 攻击时，它会通过创建、评估和部署自定义 AWS WAF 规则来做出响应。您可以指定自定义规则是计数还是代表您阻止攻击。
**注意**  
自动应用层 DDo S 缓解仅适用于使用最新版本 (v2 ACLs) 创建的保护包 AWS WAF (Web)。

   有关 Shield Advanced 自动应用层 DDo S 缓解措施的更多信息，包括使用此功能的注意事项和最佳实践，请参阅。[使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)

1. 选择**下一步**。控制台向导将进入运行状况检测页面。

# 为 Shield Advanced 和 Route 53 保护配置运行状况检测
<a name="ddos-get-started-health-checks"></a>

本页提供了如何配置 Shield Advanced 使用运行状况检测的说明。这有助于提高攻击检测和缓解的响应能力和准确性。

配置良好的运行状况检查对准确检测事件至关重要。您可以为除 Route 53 托管区域之外的任何资源类型配置运行状况检测。

要使用运行状况检测，应为 Route 53 中的资源定义运行状况检查，然后将运行状况检查与 Shield Advanced 保护关联起来。您配置的运行状况检查必须准确反映资源的运行状况，这一点很重要。有关配置运行状况检查以与 Shield Advanced 配合使用的信息和示例，请参阅 [使用 Shield Advanced 和 Route 53 进行运行状况检测](ddos-advanced-health-checks.md)。

Shield Response Team (SRT) 的主动参与支持需要进行运行状况检查。有关主动参与的信息，请参阅 [设置主动参与，让 SRT 直接与您联系](ddos-srt-proactive-engagement.md)。

**注意**  
将运行状况检查与 Shield Advanced 保护关联时，必须报告运行状况正常。

**配置运行状况检测**

1. 在 **关联运行状况检查** 下，选择要与保护关联的运行状况检查的 ID。
**注意**  
如果您没有看到所需的运行状况检查，请转到 Route 53 控制台并验证运行状况检查及其 ID。有关信息，请参阅[创建和更新运行状况检查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html)。

1. 选择**下一步**。控制台向导进入警报和通知页面。

# 使用 Shield Advanced 和 Amazon SNS 配置警报和通知
<a name="ddos-get-started-create-alarms"></a>

本页面提供了针对检测到的亚马逊 CloudWatch 警报和基于速率的规则活动的可选配置亚马逊简单通知服务通知的说明。当 Shield 在受保护的资源上检测到事件或超过基于速率的规则中配置的速率限制时，您可以使用它们来接收通知。

有关 Shield 高级 CloudWatch 指标的信息，请参阅[AWS Shield Advanced 指标](shield-metrics.md)。有关 Amazon SNS 的信息，请参阅 [Amazon Simple Notification Service 开发人员指南](https://docs.aws.amazon.com/sns/latest/dg/)。

**配置通知和警报**

1. 选择要通知的 Amazon SNS 主题。您可以为所有受保护的资源和基于速率的规则使用单个 Amazon SNS 主题，也可以选择针对您的组织定制的不同主题。例如，您可以为负责一组特定资源的事件响应的每个团队创建一个 SNS 主题。

1. 选择**下一步**。控制台向导进入资源保护查看页面。

# 在 Shield Advanced 中查看并完成您的保护配置
<a name="ddos-get-started-review-and-configure"></a>

**查看并完成您的设置**

1. 在**查看和配置 DDo S 缓解和可见性**页面中，查看您的设置。要进行修改，请在要修改的区域中选择**编辑**。系统会带您返回到控制台向导中的关联页面。进行更改，然后在后续页面中选择 “**下一步**”，直到返回到 “**查看并配置 DDo S 缓解和可见性**” 页面。

1. 选择**完成配置**。**受保护的资源**页面列出了您新近受保护的资源。

# 设置 AWS Shield 响应小组 (SRT) 支持 DDo S 事件响应
<a name="authorize-srt"></a>

本页提供了设置 Shield 响应小组（SRT）支持的说明。

SRT 包括专门研究 DDo S 事件响应的安全工程师。您可以选择添加权限，允许 SRT 在 DDo S 事件期间代表您管理资源。此外，您还可以对 SRT 进行配置，以便在检测到事件期间，如果与受保护资源相关的 Route 53 运行状况检查显示运行状况不佳，SRT 会主动与您联系。这两项新增的保护功能都可以更快地响应 DDo S 事件。

**注意**  
要使用 Shield 响应小组（SRT）的服务，您必须订阅 [Business Support 计划](https://aws.amazon.com/premiumsupport/business-support/)或[企业支持计划](https://aws.amazon.com/premiumsupport/enterprise-support/)。

SRT 可以在应用程序层事件期间监控 AWS WAF 请求数据和日志，以识别异常流量。他们可以帮助制定自定义 AWS WAF 规则，以减少违规流量来源。根据需要，SRT 可能会提出架构建议，以帮助您更好地将资源与 AWS 建议保持一致。

有关 SRT 的更多信息，请参阅 [支持 Shield 响应小组 (SRT) 的托管 DDo S 事件响应](ddos-srt-support.md)。

**授予使用 SRT 的权限**

1. 在 AWS Shield 控制台**概述**页面的**配置 AWS SRT 支持**下，选择**编辑 SRT** 访问权限。**编辑 AWS Shield 响应小组 (SRT) 访问**页面打开。

1. 对于 **SRT 访问设置**，请选择以下选项之一：
   + **不要授予 SRT 访问我的账户的权限**：Shield 会删除您之前授予 SRT 访问您的账户和资源的任何权限。
   + **为 SRT 创建一个访问我的账户的新角色**：Shield 创建一个代表 SRT 的服务主体的角色 `drt.shield.amazonaws.com`，并将托管策略 `AWSShieldDRTAccessPolicy` 附加到该主体。托管策略允许 SRT 代表您拨 AWS WAF 打 API 调用和访问您的 AWS WAF 日志。 AWS Shield Advanced 有关托管策略的更多信息，请参阅 [AWS 托管策略： AWSShieldDRTAccess策略](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)。
   + **选择一个现有角色让 SRT 访问我的账户** — 对于此选项，您必须按如下方式修改 AWS Identity and Access Management (IAM) 中角色的配置：
     + 将托管策略 `AWSShieldDRTAccessPolicy` 附加到角色。此托管策略允许 SRT 代表您拨 AWS WAF 打 API 调用并访问您的 AWS WAF 日志。 AWS Shield Advanced 有关托管策略的更多信息，请参阅 [AWS 托管策略： AWSShieldDRTAccess策略](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)。有关如何将托管策略附加到角色的信息，请参阅[附加和分离 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。
     + 修改角色以信任 `drt.shield.amazonaws.com` 服务主体。这是代表 SRT 的服务主体。有关更多信息，请参阅 [IAM JSON 策略元素：主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。

1. 选择 **保存** 以保存您的更改。

有关授予 SRT 访问您的保护措施和数据的更多信息，请参阅 [向 SRT 授予访问权限](ddos-srt-access.md)。

**启用 SRT 主动参与**

1. 在 AWS Shield 控制台**概述**页面**的主动互动和联系人**下方的联系人区域中，选择**编辑**。

   在**编辑联系人**页面中，提供您希望 SRT 主动联系的人员的联系信息。

   如果您提供了多个联系人，请在**备注**中说明应分别在什么情况下与每个联系人联系。包括主要和次要联系人名称，并提供每位联系人的可用时间和时区。

   联系人备注示例：
   + 这是一条全天候值班热线。请与作出回应的分析师合作，他们会转接相应人员。
   + 如果热线在 5 分钟内没有响应，请与我联系。

1. 选择**保存**。

   **概述**页面反映了已更新的联系信息。

1. 选择**编辑主动互动功能**，选择**启用**，然后选择**保存**以启用主动互动。

有关主动参与的更多信息，请参阅 [设置主动参与，让 SRT 直接与您联系](ddos-srt-proactive-engagement.md)。

# 在中创建 DDo S 仪表板 CloudWatch 并设置 CloudWatch 警报
<a name="deploy-waf-dashboard"></a>

本页提供有关在中创建 DDo S 仪表板 CloudWatch 和设置 CloudWatch 警报的说明。

您可以使用 Amazon 监控潜在的 DDo S 活动 CloudWatch，亚马逊会从 Shield Advanced 收集原始数据，并将其处理为可读的近乎实时的指标。您可以使用中的统计信息 CloudWatch 来了解您的 Web 应用程序或服务的性能。有关使用的更多信息 CloudWatch，请参阅《*Amazon CloudWatch 用户指南*》 CloudWatch中的[内容](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html)。
+ 有关创建 CloudWatch 仪表板的说明，请参阅[使用 Amazon 进行监控 CloudWatch](monitoring-cloudwatch.md)。
+ 有关可添加到控制面板的 Shield Advanced 指标的说明，请参阅 [AWS Shield Advanced 指标](shield-metrics.md)。

Shield Advanced 在 DDo S 事件期间比没有事件进行时 CloudWatch 更频繁地报告资源指标。Shield Advanced 在活动期间每分钟报告一次指标，然后在活动结束后立即报告一次。在没有事件的情况下，Shield Advanced 会每天报告一次分配给指定资源的指标。此定期报告可保持指标处于活动状态，并可在您的自定义 CloudWatch 警报中使用。

Shield Advanced 入门教程到此结束。要充分利用您选择的保护功能，请继续探索 Shield Advanced 的功能和选项。首先，请熟悉在 [使用 Shield Advanced 查看 DDo S 事件](ddos-viewing-events.md) 和 [在中响应 DDo S 事件 AWS](ddos-responding.md) 查看和响应事件的选项。