**推出 的新主控台體驗 AWS WAF**
您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 Shield Advanced 自動化應用程式層 DDoS 緩解
**注意**
從 2026 年 3 月 26 日開始, 的反 DDoS 受管規則群組 (Anti-DDOS AMR) AWS WAF 成為防止 HTTP 請求洪水攻擊的預設解決方案 (請參閱[反 DDoS AMR 啟動部落格](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-the-aws-waf-application-layer-ddos-protection/))。它取代 Layer 7 Auto Mitigation (L7AM) 功能。如果您是現有的 Shield Advanced 客戶,您可以繼續將舊版解決方案與現有或新 AWS 帳戶搭配使用。不過,我們建議您採用反 DDoS 受管規則群組。反 DDoS 受管規則群組會在幾秒鐘內偵測和緩解攻擊,而不是幾分鐘。如果您是 Shield Advanced 的新客戶,且需要存取舊版解決方案,請聯絡 AWS Support。
此頁面介紹自動應用程式層 DDoS 緩解措施的主題,並列出相關聯的警告。
您可以設定 Shield Advanced 來自動回應,透過計算或封鎖屬於攻擊一部分的 Web 請求,來減輕對受保護應用程式層資源的應用程式層 (第 7 層) 攻擊。此選項是您透過 Shield Advanced 使用 AWS WAF Web ACL 和您自己的速率型規則新增的應用程式層保護的補充。
為資源啟用自動緩解時,Shield Advanced 會在資源相關聯的 Web ACL 中維護規則群組,以代表資源管理緩解規則。規則群組包含以速率為基礎的規則,可追蹤來自已知為 DDoS 攻擊來源之 IP 地址的請求量。
此外,Shield Advanced 會將目前的流量模式與歷史流量基準進行比較,以偵測可能表示 DDoS 攻擊的偏差。Shield Advanced 會透過在規則群組中建立、評估和部署其他自訂 AWS WAF 規則,來回應偵測到的 DDoS 攻擊。
## 使用自動應用程式層 DDoS 緩解措施的注意事項
以下清單說明 Shield Advanced 自動應用程式層 DDoS 緩解措施的注意事項,並說明您可能想要採取的步驟。
+ 自動應用程式層 DDoS 緩解僅適用於使用最新版本 (v2) 建立的保護套件 AWS WAF (Web ACLs)。
+ Shield Advanced 需要時間來建立應用程式正常、歷史流量的基準,它利用它來偵測和隔離攻擊流量與正常流量,以緩解攻擊流量。從您將 Web ACL 與受保護的應用程式資源建立關聯起,建立基準的時間介於 24 小時到 30 天之間。如需流量基準的其他資訊,請參閱 [使用 Shield Advanced 影響應用程式層事件偵測和緩解的因素清單](ddos-app-layer-detection-mitigation.md)。
+ 啟用自動應用程式層 DDoS 緩解措施會將規則群組新增至使用 150 個 Web ACL 容量單位 (WCUs) 的保護套件 (Web ACL)。這些 WCUs會計入保護套件 (Web ACL) 中的 WCU 用量。如需詳細資訊,請參閱 [使用 Shield Advanced 規則群組保護應用程式層](ddos-automatic-app-layer-response-rg.md) 和 [中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md)。
+ Shield Advanced 規則群組會產生 AWS WAF 指標,但無法檢視。這與您在保護套件 (Web ACL) 中使用的任何其他規則群組相同,但不會擁有,例如 AWS 受管規則規則群組。如需 AWS WAF 指標的詳細資訊,請參閱 [AWS WAF 指標和維度](waf-metrics.md)。如需此 Shield Advanced 保護選項的詳細資訊,請參閱 [使用 Shield Advanced 自動化應用程式層 DDoS 緩解](#ddos-automatic-app-layer-response)。
+ 對於保護多個資源ACLs,自動緩解只會部署不會對任何受保護資源產生負面影響的自訂緩解措施。
+ 從開始 DDoS 攻擊到 Shield Advanced 放置自訂自動緩解規則的時間會隨每個事件而異。有些 DDoS 攻擊可能會在部署自訂規則之前結束。當緩解措施已就緒時,可能會發生其他攻擊,因此從事件開始時,這些規則可能會緩解。此外,Web ACL 和 Shield Advanced 規則群組中的速率型規則可能會在偵測到為可能事件之前緩解攻擊流量。
+ 對於透過內容交付網路 (CDN) 接收任何流量的 Application Load Balancer,例如 Amazon CloudFront,Shield Advanced 對這些 Application Load Balancer 資源的應用程式層自動緩解功能將會減少。Shield Advanced 使用用戶端流量屬性來識別攻擊流量,並將攻擊流量從正常流量隔離到您的應用程式,而 CDNs可能不會保留或轉送原始用戶端流量屬性。如果您使用 CloudFront,我們建議您在 CloudFront 分佈上啟用自動緩解。
+ 自動應用程式層 DDoS 緩解措施不會與保護群組互動。您可以為保護群組中的資源啟用自動緩解,但 Shield Advanced 不會根據保護群組調查結果自動套用攻擊緩解。Shield Advanced 會針對個別資源套用自動攻擊緩解措施。
**Contents**
+ [使用自動應用程式層 DDoS 緩解措施的注意事項](#ddos-automatic-app-layer-response-caveats)
+ [使用自動應用程式層 DDoS 緩解措施的最佳實務](ddos-automatic-app-layer-response-bp.md)
+ [啟用自動應用程式層 DDoS 緩解](ddos-automatic-app-layer-response-config.md)
+ [當您啟用自動緩解時會發生什麼情況](ddos-automatic-app-layer-response-config.md#ddos-automatic-app-layer-response-enable)
+ [Shield Advanced 如何管理自動緩解](ddos-automatic-app-layer-response-behavior.md)
+ [Shield Advanced 如何使用自動緩解來回應 DDoS 攻擊](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-ddos-attack)
+ [Shield Advanced 如何管理規則動作設定](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action)
+ [Shield Advanced 如何在攻擊消失時管理緩解措施](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-after-attack)
+ [當您停用自動緩解時會發生什麼情況](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-disable)
+ [使用 Shield Advanced 規則群組保護應用程式層](ddos-automatic-app-layer-response-rg.md)
+ [檢視資源的自動應用程式層 DDoS 緩解組態](view-automatic-app-layer-response-configuration.md)
+ [啟用和停用自動應用程式層 DDoS 緩解](enable-disable-automatic-app-layer-response.md)
+ [變更用於自動應用程式層 DDoS 緩解的動作](change-action-of-automatic-app-layer-response.md)
+ [使用 AWS CloudFormation 搭配自動應用程式層 DDoS 緩解](manage-automatic-mitigation-in-cfn.md)
# 使用自動應用程式層 DDoS 緩解措施的最佳實務
當您使用自動緩解時,請遵循本節中提供的指引。
**一般保護管理**
請遵循這些準則來規劃和實作您的自動緩解保護。
+ 透過 Shield Advanced 管理所有自動緩解保護,或者如果您使用 AWS Firewall Manager 來透過 Firewall Manager 管理 Shield Advanced 自動緩解設定。請勿混合使用 Shield Advanced 和 Firewall Manager 來管理這些保護。
+ 使用相同的 Web ACLs 和保護設定管理類似的資源,並使用不同的 Web ACLs 管理不同的資源。當 Shield Advanced 緩解受保護資源的 DDoS 攻擊時,它會定義與資源相關聯的 Web ACL 規則,然後針對與 Web ACL 相關聯的所有資源流量測試規則。Shield Advanced 只會套用不會對任何相關聯資源產生負面影響的規則。如需詳細資訊,請參閱[Shield Advanced 如何管理自動緩解](ddos-automatic-app-layer-response-behavior.md)。
+ 對於透過 Amazon CloudFront 分佈代理其所有網際網路流量的 Application Load Balancer, 只會在 CloudFront 分佈上啟用自動緩解。CloudFront 分佈始終具有最多的原始流量屬性,Shield Advanced 會利用這些屬性來緩解攻擊。
**偵測和緩解最佳化**
遵循這些準則,以最佳化自動緩解為受保護資源提供的保護。如需應用程式層偵測和緩解的概觀,請參閱 [使用 Shield Advanced 影響應用程式層事件偵測和緩解的因素清單](ddos-app-layer-detection-mitigation.md)。
+ 設定受保護資源的運作狀態檢查,並使用它們在 Shield Advanced 保護中啟用運作狀態型偵測。如需準則,請參閱[透過 Shield Advanced 和 Route 53 使用運作狀態檢查進行運作狀態型偵測](ddos-advanced-health-checks.md)。
+ 在 Shield Advanced 建立正常、歷史流量的基準之前,在 Count 模式中啟用自動緩解。Shield Advanced 需要 24 小時到 30 天才能建立基準。
建立正常流量模式的基準需要下列項目:
+ Web ACL 與受保護資源的關聯。您可以 AWS WAF 直接使用 建立 Web ACL 的關聯,也可以讓 Shield Advanced 在啟用 Shield Advanced 應用程式層保護並指定要使用的 Web ACL 時建立關聯。
+ 一般流量流向受保護的應用程式。如果您的應用程式未遇到正常流量,例如在啟動應用程式之前,或長時間缺乏生產流量,則無法收集歷史資料。
**Web ACL 管理**
遵循這些準則來管理您用於自動緩解ACLs。
+ 如果您需要取代與受保護資源相關聯的 Web ACL,請依序進行下列變更:
1. 在 Shield Advanced 中,停用自動緩解。
1. 在 中 AWS WAF,取消舊 Web ACL 的關聯,並關聯新的 Web ACL。
1. 在 Shield Advanced 中,啟用自動緩解。
Shield Advanced 不會自動將自動緩解措施從舊的 Web ACL 轉移到新的 Web ACL。
+ 請勿從名稱開頭為 ACLs 刪除任何規則群組規則`ShieldMitigationRuleGroup`。如果您刪除此規則群組,則會針對與 Web ACL 相關聯的每個資源停用 Shield Advanced 自動緩解提供的保護。此外,Shield Advanced 可能需要一些時間才能收到變更通知並更新其設定。在此期間,Shield Advanced 主控台頁面將提供不正確的資訊。
如需規則群組的詳細資訊,請參閱 [使用 Shield Advanced 規則群組保護應用程式層](ddos-automatic-app-layer-response-rg.md)。
+ 請勿修改名稱開頭為 的規則群組規則名稱`ShieldMitigationRuleGroup`。這樣做可能會干擾 Shield Advanced 透過 Web ACL 自動緩解提供的保護。
+ 當您建立規則和規則群組時,請勿使用開頭為 的名稱`ShieldMitigationRuleGroup`。Shield Advanced 使用此字串來管理您的自動緩解措施。
+ 在您的 Web ACL 規則管理中,請勿指派 10,000,000 的優先順序設定。Shield Advanced 會在新增時將此優先順序設定指派給其自動緩解規則群組規則。
+ 將`ShieldMitigationRuleGroup`規則保持優先,以便在您希望它與 Web ACL 中的其他規則相關時執行。Shield Advanced 會將規則群組規則新增至優先順序為 10,000,000 的 Web ACL,以便在其他規則之後執行。如果您使用 AWS WAF 主控台精靈來管理 Web ACL,請在將規則新增至 Web ACL 之後視需要調整優先順序設定。
+ 如果您使用 AWS CloudFormation 來管理 Web ACLs,則不需要管理`ShieldMitigationRuleGroup`規則群組規則。遵循 中的指引[使用 AWS CloudFormation 搭配自動應用程式層 DDoS 緩解](manage-automatic-mitigation-in-cfn.md)。
# 啟用自動應用程式層 DDoS 緩解
此頁面說明如何設定 Shield Advanced 以自動回應應用程式層攻擊。
您可以在資源的應用程式層 DDoS 保護中啟用 Shield Advanced 自動緩解。如需透過 主控台執行此操作的詳細資訊,請參閱 [設定應用程式層 DDoS 保護](manage-protection.md#configure-app-layer-protection)。
自動緩解功能需要您執行下列動作:
+ **將 Web ACL 與 資源建立關聯** – 這是任何 Shield Advanced 應用程式層保護的必要項目。您可以針對多個資源使用相同的 Web ACL。我們建議僅對具有類似流量的資源執行此操作。如需有關 Web ACLs 的資訊,包括搭配多個資源使用它們的要求,請參閱 [AWS WAF 運作方式](how-aws-waf-works.md)。
+ **啟用和設定 Shield Advanced 自動應用程式層 DDoS 緩解** – 當您啟用此功能時,您可以指定是否要 Shield Advanced 自動封鎖或計數其判定為 DDoS 攻擊一部分的 Web 請求。Shield Advanced 會將規則群組新增至相關聯的 Web ACL,並使用它來動態管理其對資源上 DDoS 攻擊的回應。如需規則動作選項的詳細資訊,請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)。
+ **(選用,但建議) 將速率型規則新增至 Web ACL** – 根據預設,速率型規則透過防止任何個別 IP 地址在短時間內傳送太多請求,為您的資源提供基本的 DDoS 攻擊防護。如需速率型規則的相關資訊,包括自訂請求彙總選項和範例,請參閱 [在 中使用以速率為基礎的規則陳述式 AWS WAF](waf-rule-statement-type-rate-based.md)。
## 當您啟用自動緩解時會發生什麼情況
當您啟用自動緩解時,Shield Advanced 會執行下列動作:
+ **視需要新增 Shield Advanced 使用的規則群組** – 如果您與資源相關聯的 AWS WAF Web ACL 還沒有專用於自動應用程式層 DDoS 緩解的 AWS WAF 規則群組規則,Shield Advanced 會新增規則群組規則。
規則群組規則的名稱以 開頭`ShieldMitigationRuleGroup`。規則群組一律包含名為 的速率型規則`ShieldKnownOffenderIPRateBasedRule`,這會限制來自已知為 DDoS 攻擊來源之 IP 地址的請求量。如需 Shield Advanced 規則群組和參考它的 Web ACL 規則的其他詳細資訊,請參閱 [使用 Shield Advanced 規則群組保護應用程式層](ddos-automatic-app-layer-response-rg.md)。
+ **開始回應對資源的 DDoS 攻擊** – Shield Advanced 會自動回應受保護資源的 DDoS 攻擊。除了永遠存在的速率型規則之外,Shield Advanced 也會使用其規則群組來部署自訂 AWS WAF 規則,以緩解 DDoS 攻擊。Shield Advanced 會根據您的應用程式和應用程式遇到的攻擊量身打造這些規則,並在部署之前根據資源的歷史流量進行測試。
Shield Advanced 會在您用於自動緩解的任何 Web ACL 中使用單一規則群組規則。如果 Shield Advanced 已新增另一個受保護資源的規則群組,則不會將另一個規則群組新增至 Web ACL。
自動應用程式層 DDoS 緩解取決於規則群組是否存在,以緩解攻擊。如果規則群組因任何原因從 AWS WAF Web ACL 中移除,移除會停用與 Web ACL 相關聯的所有資源的自動緩解。
# Shield Advanced 如何管理自動緩解
本節中的主題說明 Shield Advanced 如何處理自動應用程式層 DDoS 緩解的組態變更,以及啟用自動緩解時如何處理 DDoS 攻擊。
**Topics**
+ [Shield Advanced 如何使用自動緩解來回應 DDoS 攻擊](#ddos-automatic-app-layer-response-ddos-attack)
+ [Shield Advanced 如何管理規則動作設定](#ddos-automatic-app-layer-response-rule-action)
+ [Shield Advanced 如何在攻擊消失時管理緩解措施](#ddos-automatic-app-layer-response-after-attack)
+ [當您停用自動緩解時會發生什麼情況](#ddos-automatic-app-layer-response-disable)
## Shield Advanced 如何使用自動緩解來回應 DDoS 攻擊
當您在受保護的資源上啟用自動緩解時,Shield Advanced 規則群組`ShieldKnownOffenderIPRateBasedRule`中的速率型規則會自動回應來自已知 DDoS 來源的流量增加。此速率限制會快速套用,並做為對抗攻擊的前線防禦。
當 Shield Advanced 偵測到攻擊時,它會執行下列動作:
1. 嘗試識別攻擊簽章,以隔離攻擊流量與應用程式的一般流量。目標是產生高品質的 DDoS 緩解規則,這些規則在放置時只會影響攻擊流量,不會影響應用程式的正常流量。
1. 針對受攻擊資源的歷史流量模式,以及與相同 Web ACL 相關聯的任何其他資源,評估已識別的攻擊簽章。Shield Advanced 會在部署任何規則以回應事件之前執行此操作。
根據評估結果,Shield Advanced 會執行下列其中一項操作:
+ 如果 Shield Advanced 判斷攻擊簽章只會隔離涉及 DDoS 攻擊的流量,則會在 Web ACL 的 Shield Advanced 緩解規則群組中的 AWS WAF 規則中實作簽章。Shield Advanced 會為這些規則提供您已為資源的自動緩解設定的動作設定 - Count或 Block。
+ 否則,Shield Advanced 不會放置緩解措施。
在整個攻擊過程中,Shield Advanced 會傳送相同的通知,並提供與基本 Shield Advanced 應用程式層保護相同的事件資訊。您可以在 Shield Advanced 事件主控台中查看有關事件和 DDoS 攻擊,以及有關攻擊的任何 Shield Advanced 緩解措施的資訊。如需相關資訊,請參閱[使用 Shield Advanced 的 DDoS 事件可見性](ddos-viewing-events.md)。
如果您已將自動緩解設定為使用Block規則動作,並且從 Shield Advanced 部署的緩解規則遇到誤報,您可以將規則動作變更為 Count。如需如何執行此操作的詳細資訊,請參閱 [變更用於自動應用程式層 DDoS 緩解的動作](change-action-of-automatic-app-layer-response.md)。
## Shield Advanced 如何管理規則動作設定
您可以將自動緩解措施的規則動作設定為 Block或 Count。
當您變更受保護資源的自動緩解規則動作設定時,Shield Advanced 會更新資源的所有規則設定。它會更新 Shield Advanced 規則群組中資源目前採用的任何規則,並在建立新規則時使用新的動作設定。
對於使用相同 Web ACL 的資源,如果您指定不同的動作,Shield Advanced 會使用規則群組的速率型規則 Block的動作設定`ShieldKnownOffenderIPRateBasedRule`。Shield Advanced 會代表特定受保護資源在規則群組中建立和管理其他規則,並使用您為資源指定的動作設定。Web ACL 中 Shield Advanced 規則群組中的所有規則都會套用至所有相關聯資源的 Web 流量。
變更動作設定可能需要幾秒鐘的時間才能傳播。在此期間,您可能會在規則群組正在使用的某些位置看到舊設定,在其他位置看到新設定。
您可以在 主控台的事件頁面,以及透過應用程式層組態頁面,變更自動緩解組態的規則動作設定。如需事件頁面的資訊,請參閱 [在 中回應 DDoS 事件 AWS](ddos-responding.md)。如需組態頁面的詳細資訊,請參閱 [設定應用程式層 DDoS 保護](manage-protection.md#configure-app-layer-protection)。
## Shield Advanced 如何在攻擊消失時管理緩解措施
當 Shield Advanced 判斷不再需要為特定攻擊部署的緩解規則時,它會將其從 Shield Advanced 緩解規則群組中移除。
移除緩解規則不一定與攻擊結束一致。Shield Advanced 會監控在受保護資源上偵測到的攻擊模式。它可能會主動防禦具有特定簽章的攻擊,方法是保留其已部署的規則,以防止該攻擊的初始發生。Shield Advanced 會視需要增加規則保留的時間窗口。如此一來,Shield Advanced 可能會在特定簽章影響您的受保護資源之前緩解重複攻擊。
Shield Advanced 永遠不會移除以速率為基礎的規則 `ShieldKnownOffenderIPRateBasedRule`,這會限制來自已知為 DDoS 攻擊來源之 IP 地址的請求量。
## 當您停用自動緩解時會發生什麼情況
當您停用資源的自動緩解時,Shield Advanced 會執行下列動作:
+ **停止自動回應 DDoS 攻擊** – Shield Advanced 會停止其資源的自動回應活動。
+ **從 Shield Advanced 規則群組中移除不需要的規則** – 如果 Shield Advanced 代表受保護的資源在其受管規則群組中維護任何規則,則會將其移除。
+ **如果不再使用 Shield Advanced 規則群組,請將其移除** – 如果您與資源相關聯的 Web ACL 未與已啟用自動緩解的任何其他資源相關聯,Shield Advanced 會從 Web ACL 中移除其規則群組規則。
# 使用 Shield Advanced 規則群組保護應用程式層
此頁面說明 Shield Advanced 規則群組如何在 Web ACL 中運作。
Shield Advanced 會使用其擁有並為您管理的規則群組中的規則來管理自動緩解活動。Shield Advanced 會使用您已與受保護資源建立關聯的 Web ACL 中的規則來參考規則群組。
**Web ACL 中的規則群組規則**
Web ACL 中的 Shield Advanced 規則群組規則具有下列屬性:
+ **名稱** – `ShieldMitigationRuleGroup``_account-id_web-acl-id_unique-identifier`
+ **Web ACL 容量單位 (WCU)** – 150。這些 WCUs會計入 Web ACL 中的 WCU 用量。
Shield Advanced 會在 Web ACL 中建立此規則,優先順序設定為 10,000,000,因此它會在 Web ACL 中的其他規則和規則群組之後執行。 AWS WAF 會在 Web ACL 中從最低的數值優先順序設定執行規則。在您管理 Web ACL 期間,此優先順序設定可能會變更。
除了 Web ACL 中規則群組使用的 WCUs 之外,自動緩解功能不會消耗您帳戶中的任何其他 AWS WAF 資源。例如,Shield Advanced 規則群組不會計入您帳戶的其中一個規則群組。如需 中帳戶限制的相關資訊 AWS WAF,請參閱 [AWS WAF 配額](limits.md)。
**規則群組中的規則**
在參考的 Shield Advanced 規則群組中,Shield Advanced 會維護以速率為基礎的規則 `ShieldKnownOffenderIPRateBasedRule`,這會限制來自已知為 DDoS 攻擊來源之 IP 地址的請求量。此規則可做為防禦任何攻擊的第一道防線,因為它一律存在於規則群組中,且不依賴流量模式的分析來包含攻擊。此規則的動作會設定為您為自動緩解選擇的動作,就像規則群組中的其他規則一樣。如需速率型規則的相關資訊,請參閱 [在 中使用以速率為基礎的規則陳述式 AWS WAF](waf-rule-statement-type-rate-based.md)。
**注意**
速率型規則`ShieldKnownOffenderIPRateBasedRule`的運作與 Shield Advanced 事件偵測無關。啟用自動緩解時,此規則速率會限制已知為 DDoS 攻擊來源的 IP 地址。對於這些 IP 地址,規則的速率限制可以防止攻擊,也可以防止攻擊出現在 Shield Advanced 偵測資訊中。這種權衡有利於防止對攻擊模式的完全可見性。
除了上述永久速率型規則之外,規則群組還包含 Shield Advanced 目前用於緩解 DDoS 攻擊的任何規則。Shield Advanced 會視需要新增、修改和移除這些規則。如需相關資訊,請參閱[Shield Advanced 如何管理自動緩解](ddos-automatic-app-layer-response-behavior.md)。
**指標**
規則群組會產生 AWS WAF 指標,但由於此規則群組是 Shield Advanced 所擁有,因此這些指標無法檢視。如需詳細資訊,請參閱[AWS WAF 指標和維度](waf-metrics.md)。
# 檢視資源的自動應用程式層 DDoS 緩解組態
您可以在**受保護資源**頁面和個別保護頁面中檢視資源的自動應用程式層 DDoS 緩解組態。
**檢視自動應用程式層 DDoS 緩解組態**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) 開啟 AWS WAF & Shield 主控台。
1. 在 AWS Shield 導覽窗格中,選擇**受保護的資源**。在受保護資源清單中, 欄**自動應用程式層 DDoS 緩解**指出是否啟用自動緩解,以及啟用時,Shield Advanced 將在其緩解中使用的動作。
您也可以選取任何應用程式層資源,以查看資源保護頁面上列出的相同資訊。
# 啟用和停用自動應用程式層 DDoS 緩解
下列程序說明如何啟用或停用受保護資源的自動回應。
**啟用或停用單一資源的自動應用程式層 DDoS 緩解**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) 的 AWS WAF & Shield 主控台。
1. 在 AWS Shield 導覽窗格中,選擇**受保護的資源**。
1. 在**保護**索引標籤中,選取您要啟用自動緩解的應用程式層資源。資源的保護頁面隨即開啟。
1. 在資源的保護頁面中,選擇**編輯**。
1. 在頁面**設定全域資源的第 7 層 DDoS 緩解 - *選用***,針對**自動應用程式層 DDoS 緩解**,選擇您要用於自動緩解的選項。主控台中的選項如下:
+ **保留目前的設定** – 不變更受保護資源的自動緩解設定。
+ **啟用** – 啟用受保護資源的自動緩解。當您選擇此選項時,也請選取您希望自動緩解措施在 Web ACL 規則中使用的規則動作。如需規則動作設定的資訊,請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)。
如果您的受保護資源還沒有正常應用程式流量的歷史記錄,請在 Count 模式下啟用自動緩解,直到 Shield Advanced 可以建立基準。當您將 Web ACL 與受保護的資源建立關聯時,Shield Advanced 會開始收集其基準的資訊,而且建立正常流量的良好基準可能需要 24 小時到 30 天。
+ **停用** – 停用受保護資源的自動緩解。
1. 演練其餘頁面,直到您完成並儲存組態為止。
在**保護**頁面中,會更新資源的自動緩解設定。
# 變更用於自動應用程式層 DDoS 緩解的動作
您可以在 主控台的多個位置變更 Shield Advanced 用於其應用程式層自動回應的動作:
+ **自動緩解組態** – 當您為資源設定自動緩解時,變更 動作。如需此程序,請參閱上一節[啟用和停用自動應用程式層 DDoS 緩解](enable-disable-automatic-app-layer-response.md)。
+ **事件詳細資訊頁面** – 當您在主控台中檢視事件資訊時,變更事件詳細資訊頁面中的動作。如需相關資訊,請參閱[檢視 AWS Shield Advanced 事件詳細資訊](ddos-event-details.md)。
如果您有兩個共用 Web ACL 的受保護資源,並且將一個 和Block另一個Count的 動作設定為 ,則 Shield Advanced 會將規則群組的速率型規則的動作`ShieldKnownOffenderIPRateBasedRule`設定為 Block。
# 使用 AWS CloudFormation 搭配自動應用程式層 DDoS 緩解
此頁面說明如何使用 CloudFormation 來管理您的保護和 AWS WAF Web ACLs。
**啟用或停用自動應用程式層 DDoS 緩解措施**
您可以使用 `AWS::Shield::Protection` 資源 AWS CloudFormation,透過 啟用和停用自動應用程式層 DDoS 緩解。效果與透過主控台或任何其他界面啟用或停用功能時相同。如需 CloudFormation 資源的相關資訊,請參閱《 *AWS CloudFormation 使用者指南*》中的 [AWS::Shield::Protection](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-shield-protection.html)。
**管理用於自動緩解ACLs**
Shield Advanced 會使用受保護資源的 AWS WAF Web ACL 中的規則群組規則來管理受保護資源的自動緩解。透過 AWS WAF 主控台和 APIs,您會看到 Web ACL 規則中列出的規則,其名稱開頭為 `ShieldMitigationRuleGroup`。此規則專用於您的自動應用程式層 DDoS 緩解,並由 Shield Advanced 和 為您管理 AWS WAF。如需詳細資訊,請參閱[使用 Shield Advanced 規則群組保護應用程式層](ddos-automatic-app-layer-response-rg.md)及[Shield Advanced 如何管理自動緩解](ddos-automatic-app-layer-response-behavior.md)。
如果您使用 CloudFormation 來管理 Web ACLs,請勿將 Shield Advanced 規則群組規則新增至 Web ACL 範本。當您更新與自動緩解保護搭配使用的 Web ACL 時, AWS WAF 會自動管理 Web ACL 中的規則群組規則。
與透過 管理的其他 Web ACLs 相比,您會看到以下差異 CloudFormation:
+ CloudFormation 如果沒有規則, 不會報告 Web ACL 的實際組態、Shield Advanced 規則群組規則和 Web ACL 範本之間堆疊偏離狀態的任何偏離。Shield Advanced 規則不會出現在偏離詳細資訊中資源的實際清單中。
您將能夠在 Web ACL 清單中看到 Shield Advanced 規則群組規則,例如 AWS WAF透過 AWS WAF 主控台或 AWS WAF APIs擷取。
+ 如果您在堆疊中修改 Web ACL 範本, AWS WAF 且 Shield Advanced 會自動在更新的 Web ACL 中維護 Shield Advanced 自動緩解規則。Shield Advanced 提供的自動緩解保護不會因您對 Web ACL 的更新而中斷。
請勿在 CloudFormation Web ACL 範本中管理 Shield Advanced 規則。Web ACL 範本不應列出 Shield Advanced 規則。遵循 Web ACL 管理的最佳實務,網址為 [使用自動應用程式層 DDoS 緩解措施的最佳實務](ddos-automatic-app-layer-response-bp.md)。