**推出 的新主控台體驗 AWS WAF** 您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用自動應用程式層 DDoS 緩解措施的最佳實務 當您使用自動緩解時,請遵循本節中提供的指引。 **一般保護管理** 請遵循這些準則來規劃和實作您的自動緩解保護。 + 透過 Shield Advanced 管理所有自動緩解保護,或者如果您使用 AWS Firewall Manager 來透過 Firewall Manager 管理 Shield Advanced 自動緩解設定。請勿混合使用 Shield Advanced 和 Firewall Manager 來管理這些保護。 + 使用相同的 Web ACLs 和保護設定管理類似的資源,並使用不同的 Web ACLs 管理不同的資源。當 Shield Advanced 緩解受保護資源的 DDoS 攻擊時,它會定義與資源相關聯的 Web ACL 規則,然後針對與 Web ACL 相關聯的所有資源流量測試規則。Shield Advanced 只會套用不會對任何相關聯資源產生負面影響的規則。如需詳細資訊,請參閱[Shield Advanced 如何管理自動緩解](ddos-automatic-app-layer-response-behavior.md)。 + 對於透過 Amazon CloudFront 分佈代理其所有網際網路流量的 Application Load Balancer, 只會在 CloudFront 分佈上啟用自動緩解。CloudFront 分佈始終具有最多的原始流量屬性,Shield Advanced 會利用這些屬性來緩解攻擊。 **偵測和緩解最佳化** 遵循這些準則,以最佳化自動緩解為受保護資源提供的保護。如需應用程式層偵測和緩解的概觀,請參閱 [使用 Shield Advanced 影響應用程式層事件偵測和緩解的因素清單](ddos-app-layer-detection-mitigation.md)。 + 設定受保護資源的運作狀態檢查,並使用它們在 Shield Advanced 保護中啟用運作狀態型偵測。如需準則,請參閱[透過 Shield Advanced 和 Route 53 使用運作狀態檢查進行運作狀態型偵測](ddos-advanced-health-checks.md)。 + 在 Shield Advanced 建立正常、歷史流量的基準之前,在 Count 模式中啟用自動緩解。Shield Advanced 需要 24 小時到 30 天才能建立基準。 建立正常流量模式的基準需要下列項目: + Web ACL 與受保護資源的關聯。您可以 AWS WAF 直接使用 建立 Web ACL 的關聯,也可以讓 Shield Advanced 在啟用 Shield Advanced 應用程式層保護並指定要使用的 Web ACL 時建立關聯。 + 一般流量流向受保護的應用程式。如果您的應用程式未遇到正常流量,例如在啟動應用程式之前,或長時間缺乏生產流量,則無法收集歷史資料。 **Web ACL 管理** 遵循這些準則來管理您用於自動緩解ACLs。 + 如果您需要取代與受保護資源相關聯的 Web ACL,請依序進行下列變更: 1. 在 Shield Advanced 中,停用自動緩解。 1. 在 中 AWS WAF,取消舊 Web ACL 的關聯,並關聯新的 Web ACL。 1. 在 Shield Advanced 中,啟用自動緩解。 Shield Advanced 不會自動將自動緩解措施從舊的 Web ACL 轉移到新的 Web ACL。 + 請勿從名稱開頭為 ACLs 刪除任何規則群組規則`ShieldMitigationRuleGroup`。如果您刪除此規則群組,則會針對與 Web ACL 相關聯的每個資源停用 Shield Advanced 自動緩解提供的保護。此外,Shield Advanced 可能需要一些時間才能收到變更通知並更新其設定。在此期間,Shield Advanced 主控台頁面將提供不正確的資訊。 如需規則群組的詳細資訊,請參閱 [使用 Shield Advanced 規則群組保護應用程式層](ddos-automatic-app-layer-response-rg.md)。 + 請勿修改名稱開頭為 的規則群組規則名稱`ShieldMitigationRuleGroup`。這樣做可能會干擾 Shield Advanced 透過 Web ACL 自動緩解提供的保護。 + 當您建立規則和規則群組時,請勿使用開頭為 的名稱`ShieldMitigationRuleGroup`。Shield Advanced 使用此字串來管理您的自動緩解措施。 + 在您的 Web ACL 規則管理中,請勿指派 10,000,000 的優先順序設定。Shield Advanced 會在新增時將此優先順序設定指派給其自動緩解規則群組規則。 + 將`ShieldMitigationRuleGroup`規則保持優先,以便在您希望它與 Web ACL 中的其他規則相關時執行。Shield Advanced 會將規則群組規則新增至優先順序為 10,000,000 的 Web ACL,以便在其他規則之後執行。如果您使用 AWS WAF 主控台精靈來管理 Web ACL,請在將規則新增至 Web ACL 之後視需要調整優先順序設定。 + 如果您使用 AWS CloudFormation 來管理 Web ACLs,則不需要管理`ShieldMitigationRuleGroup`規則群組規則。遵循 中的指引[使用 AWS CloudFormation 搭配自動應用程式層 DDoS 緩解](manage-automatic-mitigation-in-cfn.md)。