**引入全新的主机体验 AWS WAF** 现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。 本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # AWS Shield 防范分布式拒绝服务 (DDoS) 攻击对于面向互联网的应用程序至关重要。当你在此基础上构建应用程序时 AWS,你可以利用 AWS 提供的保护措施,而无需支付额外费用。此外,您可以使用 AWS Shield Advanced 托管威胁防护服务通过其他 DDo S 检测、缓解和响应功能来改善您的安全状况。 AWS 致力于为您提供工具、最佳实践和服务,以帮助确保高可用性、安全性和弹性,以防御互联网上的不良行为者。本指南旨在帮助 IT 决策者和安全工程师了解如何使用 Shield 和 Shield Advanced 来更好地保护其应用程序免受 DDo S 攻击和其他外部威胁。 当你在其上构建应用程序时 AWS,你会获得自动保护, AWS 抵御常见的容量 DDo S 攻击向量,例如 UDP 反射攻击和 TCP SYN 洪水。您可以利用这些保护措施来设计和配置您的架构以实现 DDo S 弹性, AWS 从而确保运行的应用程序的可用性。 本指南提供的建议可以帮助您设计、创建和配置应用程序架构,以实现 DDo S 弹性。遵循本指南中提供的最佳实践的应用程序在成为更大的 DDo S 攻击和更广泛的 S 攻击向量的目标时,可用性的连续性可以得到改善。 DDo此外,本指南还向您展示了如何使用 Shield Advanced 为您的关键应用程序实现优化的 DDo S 保护态势。其中包括您已保证为客户提供一定可用性的应用程序,以及 AWS 在 DDo S 事件期间需要运营支持的应用程序。 安全是双方共同承担 AWS 的责任。[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)将其描述为云*的* 安全性和云*中* 的安全性: + **云安全** — AWS 负责保护在云中运行 AWS 服务的基础架构 AWS Cloud。 AWS 还为您提供可以安全使用的服务。作为 [AWS 合规性计划](https://aws.amazon.com/compliance/programs/)的一部分,我们的安全措施的有效性定期由第三方审计员进行测试和验证。要了解适用于 Shield Advanced 的合规性计划,请参阅[合规性计划范围内的AWS 服务](https://aws.amazon.com/compliance/services-in-scope/)。 + **云端安全**-您的责任由您使用的 AWS 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您组织的要求以及适用的法律法规。 ![图中显示了一个水平分割的矩形。上半部分的标题为客户:云中的安全责任,下半部分的标题为 AWS:云的安全责任。上半部分,即客户部分,包含四个层级。最顶部的层级是客户数据。第二个层级是平台、应用程序、身份和访问管理。第三个层级是操作系统、网络和防火墙配置。客户区域的底层第四层分为三个并排的部分。左边是客户端数据、加密和数据完整性、身份验证。中间的是服务器端加密(文件系统 and/or 数据)。右边是网络流量保护(加密、完整性、身份)。图中上半部分的客户内容到此结束。图的下 AWS 半部分包含一个标题为 “软件” 的层,其顶部和下方都有一个标题为 “硬件/AWS 全球基础架构” 的层。软件层分为四个并排的部分,分别是计算、存储、数据库、网络。硬件层分为三个并排的部分,分别是区域、可用区、边缘站点。](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/shared-responsibility-model.png)