**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Shield Advanced 如何管理自動緩解
<a name="ddos-automatic-app-layer-response-behavior"></a>

本節中的主題說明 Shield Advanced 如何處理自動應用程式層 DDoS 緩解的組態變更，以及啟用自動緩解時如何處理 DDoS 攻擊。

**Topics**
+ [Shield Advanced 如何使用自動緩解來回應 DDoS 攻擊](#ddos-automatic-app-layer-response-ddos-attack)
+ [Shield Advanced 如何管理規則動作設定](#ddos-automatic-app-layer-response-rule-action)
+ [Shield Advanced 如何在攻擊消失時管理緩解措施](#ddos-automatic-app-layer-response-after-attack)
+ [當您停用自動緩解時會發生什麼情況](#ddos-automatic-app-layer-response-disable)

## Shield Advanced 如何使用自動緩解來回應 DDoS 攻擊
<a name="ddos-automatic-app-layer-response-ddos-attack"></a>

當您在受保護的資源上啟用自動緩解時，Shield Advanced 規則群組`ShieldKnownOffenderIPRateBasedRule`中的速率型規則會自動回應來自已知 DDoS 來源的流量增加。此速率限制會快速套用，並做為對抗攻擊的前線防禦。

當 Shield Advanced 偵測到攻擊時，它會執行下列動作：

1. 嘗試識別攻擊簽章，以隔離攻擊流量與應用程式的一般流量。目標是產生高品質的 DDoS 緩解規則，這些規則在放置時只會影響攻擊流量，不會影響應用程式的正常流量。

1. 針對受攻擊資源的歷史流量模式，以及與相同 Web ACL 相關聯的任何其他資源，評估已識別的攻擊簽章。Shield Advanced 會在部署任何規則以回應事件之前執行此操作。

   根據評估結果，Shield Advanced 會執行下列其中一項操作：
   + 如果 Shield Advanced 判斷攻擊簽章只會隔離涉及 DDoS 攻擊的流量，則會在 Web ACL 的 Shield Advanced 緩解規則群組中的 AWS WAF 規則中實作簽章。Shield Advanced 會為這些規則提供您已為資源的自動緩解設定的動作設定 - Count或 Block。
   + 否則，Shield Advanced 不會放置緩解措施。

在整個攻擊過程中，Shield Advanced 會傳送相同的通知，並提供與基本 Shield Advanced 應用程式層保護相同的事件資訊。您可以在 Shield Advanced 事件主控台中查看有關事件和 DDoS 攻擊，以及有關攻擊的任何 Shield Advanced 緩解措施的資訊。如需相關資訊，請參閱[使用 Shield Advanced 的 DDoS 事件可見性](ddos-viewing-events.md)。

如果您已將自動緩解設定為使用Block規則動作，並且從 Shield Advanced 部署的緩解規則遇到誤報，您可以將規則動作變更為 Count。如需如何執行此操作的詳細資訊，請參閱 [變更用於自動應用程式層 DDoS 緩解的動作](change-action-of-automatic-app-layer-response.md)。

## Shield Advanced 如何管理規則動作設定
<a name="ddos-automatic-app-layer-response-rule-action"></a>

您可以將自動緩解措施的規則動作設定為 Block或 Count。

當您變更受保護資源的自動緩解規則動作設定時，Shield Advanced 會更新資源的所有規則設定。它會更新 Shield Advanced 規則群組中資源目前採用的任何規則，並在建立新規則時使用新的動作設定。

對於使用相同 Web ACL 的資源，如果您指定不同的動作，Shield Advanced 會使用規則群組的速率型規則 Block的動作設定`ShieldKnownOffenderIPRateBasedRule`。Shield Advanced 會代表特定受保護資源在規則群組中建立和管理其他規則，並使用您為資源指定的動作設定。Web ACL 中 Shield Advanced 規則群組中的所有規則都會套用至所有相關聯資源的 Web 流量。

變更動作設定可能需要幾秒鐘的時間才能傳播。在此期間，您可能會在規則群組正在使用的某些位置看到舊設定，在其他位置看到新設定。

您可以在 主控台的事件頁面，以及透過應用程式層組態頁面，變更自動緩解組態的規則動作設定。如需事件頁面的資訊，請參閱 [在 中回應 DDoS 事件 AWS](ddos-responding.md)。如需組態頁面的詳細資訊，請參閱 [設定應用程式層 DDoS 保護](manage-protection.md#configure-app-layer-protection)。

## Shield Advanced 如何在攻擊消失時管理緩解措施
<a name="ddos-automatic-app-layer-response-after-attack"></a>

當 Shield Advanced 判斷不再需要為特定攻擊部署的緩解規則時，它會將其從 Shield Advanced 緩解規則群組中移除。

移除緩解規則不一定與攻擊結束一致。Shield Advanced 會監控在受保護資源上偵測到的攻擊模式。它可能會主動防禦具有特定簽章的攻擊，方法是保留其已部署的規則，以防止該攻擊的初始發生。Shield Advanced 會視需要增加規則保留的時間窗口。如此一來，Shield Advanced 可能會在特定簽章影響您的受保護資源之前緩解重複攻擊。

Shield Advanced 永遠不會移除以速率為基礎的規則 `ShieldKnownOffenderIPRateBasedRule`，這會限制來自已知為 DDoS 攻擊來源之 IP 地址的請求量。

## 當您停用自動緩解時會發生什麼情況
<a name="ddos-automatic-app-layer-response-disable"></a>

當您停用資源的自動緩解時，Shield Advanced 會執行下列動作：
+ **停止自動回應 DDoS 攻擊** – Shield Advanced 會停止其資源的自動回應活動。
+ **從 Shield Advanced 規則群組中移除不需要的規則** – 如果 Shield Advanced 代表受保護的資源在其受管規則群組中維護任何規則，則會將其移除。
+ **如果不再使用 Shield Advanced 規則群組，請將其移除** – 如果您與資源相關聯的 Web ACL 未與已啟用自動緩解的任何其他資源相關聯，Shield Advanced 會從 Web ACL 中移除其規則群組規則。