**推出 的新主控台體驗 AWS WAF**
您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 Shield Advanced 新增和設定資源保護
此頁面提供新增和設定 資源保護的說明。
Shield Advanced 只會透過 Shield Advanced 或在 Firewall Manager Shield Advanced 政策中保護您指定的資源。它不會自動保護已訂閱帳戶的資源。
**注意**
如果您使用 AWS Firewall Manager Shield Advanced 政策進行保護,則不需要執行此步驟。您可以使用要保護的資源類型來設定政策,而 Firewall Manager 會自動為政策範圍內的資源新增保護。
如果您不使用 Firewall Manager,請針對每個具有要保護資源的帳戶執行下列程序。
**使用 Shield Advanced 選擇要保護的資源**
1. 從先前程序的訂閱確認頁面,或從受保護的資源或**概觀**頁面,選擇**新增要保護**的資源。 ****
1. 在**使用 Shield Advanced 選擇要保護的資源**頁面中,在**指定區域和資源類型**中,為您要保護的資源提供區域和資源類型規格。您可以選取**所有**區域來保護多個區域中的資源,也可以選取全域,將選取範圍縮小為**全域**資源。您可以取消選取任何您不想保護的資源類型。如需 資源類型的保護資訊,請參閱 [AWS Shield Advanced 保護 的資源清單](ddos-protections-by-resource-type.md)。
1. 選擇**載入資源**。Shield Advanced 會將符合您條件的資源填入**選取資源**區段 AWS 。
1. 在**選取資源**區段中,您可以輸入要在資源清單中搜尋的字串來篩選資源清單。
選取您要保護的資源。
1. 在**標籤**區段中,如果您想要將標籤新增至您正在建立的 Shield Advanced 保護,請指定這些保護。如需標記 AWS 資源的資訊,請參閱[使用標籤編輯器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。
1. 選擇**使用 Shield Advanced 保護**。這會將 Shield Advanced 保護新增至資源。
繼續執行主控台精靈畫面,以完成資源保護的組態。
**Topics**
+ [使用 設定應用程式層 (第 7 層) DDoS 保護 AWS WAF](ddos-get-started-web-acl-rbr.md)
+ [使用 Shield Advanced 和 Route 53 為您的保護設定以運作狀態為基礎的偵測](ddos-get-started-health-checks.md)
+ [使用 Shield Advanced 和 Amazon SNS 設定警示和通知](ddos-get-started-create-alarms.md)
+ [在 Shield Advanced 中檢閱並完成保護組態](ddos-get-started-review-and-configure.md)
# 使用 設定應用程式層 (第 7 層) DDoS 保護 AWS WAF
此頁面提供使用 AWS WAF Web ACLs 設定應用程式層保護的指示。
為了保護應用程式層資源,Shield Advanced 使用以速率為基礎的規則做為起點的 AWS WAF Web ACL。 AWS WAF 是一種 Web 應用程式防火牆,可讓您監控轉送到應用程式層資源的 HTTP 和 HTTPS 請求,並可讓您根據請求的特性控制對內容的存取。速率型規則會根據您的請求彙總條件限制流量,為您的應用程式提供基本的 DDoS 保護。如需詳細資訊,請參閱[AWS WAF 運作方式](how-aws-waf-works.md)及[在 中使用以速率為基礎的規則陳述式 AWS WAF](waf-rule-statement-type-rate-based.md)。
您也可以選擇性地啟用 Shield Advanced 自動應用程式層 DDoS 緩解,讓來自已知 DDoS 來源的 Shield Advanced 速率限制請求,並自動為您提供事件特定的保護。
**重要**
如果您 AWS Firewall Manager 使用 Shield Advanced 政策來管理 Shield Advanced 保護,則無法在此處管理應用程式層保護。您必須在 Firewall Manager Shield Advanced 政策中管理它們。
**Shield Advanced 訂閱和 AWS WAF 成本**
Shield Advanced 訂閱涵蓋您使用 Shield Advanced 保護之資源的標準 AWS WAF 功能的成本。Shield Advanced 保護涵蓋的標準 AWS WAF 費用是每個保護套件的成本 (Web ACL)、每個規則的成本,以及 Web 請求檢查每百萬請求的基本價格,最多可達 1,500 個 WCUs,最多可達預設內文大小。
啟用 Shield Advanced 自動應用程式層 DDoS 緩解措施會將規則群組新增至使用 150 個 Web ACL 容量單位 (WCUs) 的保護套件 (Web ACL)。這些 WCUs會計入保護套件 (Web ACL) 中的 WCU 用量。如需詳細資訊,請參閱[使用 Shield Advanced 自動化應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)、[使用 Shield Advanced 規則群組保護應用程式層](ddos-automatic-app-layer-response-rg.md)及[中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md)。
您對 Shield Advanced 的訂閱不涵蓋對使用 Shield Advanced 時未保護之資源 AWS WAF 的 使用。它也不會涵蓋受保護資源的任何其他非標準 AWS WAF 成本。非標準 AWS WAF 成本的範例包括 Bot Control、CAPTCHA規則動作、使用超過 1,500 個 WCUs ACLs,以及檢查超出預設內文大小的請求內文。 AWS WAF 定價頁面上提供完整清單。您對 Shield Advanced 的訂閱包括對 Layer 7 Anti-DDoS Amazon Managed Rule 群組的存取。作為訂閱的一部分,您會在一個日曆月收到最多 500 億個 Shield Advanced 受保護 AWS WAF 資源的請求。超過 500 億的請求將根據 AWS Shield Advanced 定價頁面計費。
如需完整資訊和定價範例,請參閱 [Shield 定價](https://aws.amazon.com/shield/pricing/)和[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。
**為區域設定第 7 層 DDoS 保護**
Shield Advanced 可讓您選擇為所選資源所在的每個區域設定 layer 7 DDoS 緩解措施。如果您要在多個區域中新增保護,精靈會逐步引導您完成每個區域的下列程序。
1. **設定第 7 層 DDoS 保護**頁面會列出尚未與 Web ACL 相關聯的每個資源。針對這些項目,選擇現有的 Web ACL 或建立新的 Web ACL。對於已經有關聯 Web ACL 的任何資源,您可以先取消目前 ACL 的關聯,以變更 Web ACLs AWS WAF。如需詳細資訊,請參閱[將保護與 AWS 資源建立關聯或取消關聯](web-acl-associating-aws-resource.md)。
對於還沒有以速率為基礎的規則ACLs,組態精靈會提示您新增規則。速率型規則會在傳送大量請求時限制來自 IP 地址的流量。以速率為基礎的規則有助於保護您的應用程式免受 Web 請求洪水的影響,並可提供有關流量突然峰值的提醒,這可能表示潛在的 DDoS 攻擊。透過選擇新增速率**限制規則,然後提供速率限制和規則動作,將速率型規則新增至** Web ACL。您可以透過 在 Web ACL 中設定其他保護 AWS WAF。
如需有關在 Shield Advanced 保護中使用 Web ACLs 和速率型規則的資訊,包括速率型規則的其他組態選項,請參閱 [使用 AWS WAF Web ACLs 和 Shield Advanced 保護應用程式層](ddos-app-layer-web-ACL-and-rbr.md)。
1. 對於**自動應用程式層 DDoS 緩解**,如果您想要讓 Shield Advanced 自動緩解對應用程式層資源的 DDoS 攻擊,請選擇**啟用**,然後選取您希望 Shield Advanced 在其自訂 AWS WAF 規則中使用的規則動作。此設定適用於您在此精靈工作階段中管理之資源的所有 Web ACLs。
透過自動應用程式層 DDoS 緩解,Shield Advanced 會在資源的 AWS WAF Web ACL 中維護以速率為基礎的規則,以限制來自已知 DDoS 來源的請求量。此外,Shield Advanced 會將目前的流量模式與歷史流量基準進行比較,以偵測可能表示 DDoS 攻擊的偏差。當 Shield Advanced 偵測到 DDoS 攻擊時,它會透過建立、評估和部署自訂 AWS WAF 規則來回應。您可以指定自訂規則是否代表您計數或封鎖攻擊。
**注意**
自動應用程式層 DDoS 緩解僅適用於使用最新版本 (v2) 建立的保護套件 AWS WAF (Web ACLs)。
如需 Shield Advanced 自動應用程式層 DDoS 緩解措施的詳細資訊,包括使用此功能的注意事項和最佳實務,請參閱 [使用 Shield Advanced 自動化應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)。
1. 選擇**下一步**。主控台精靈會進入以運作狀態為基礎的偵測頁面。
# 使用 Shield Advanced 和 Route 53 為您的保護設定以運作狀態為基礎的偵測
此頁面提供設定 Shield Advanced 以使用運作狀態型偵測的指示。這有助於改善攻擊偵測和緩解的回應能力和準確性。
設定良好的運作狀態檢查對於準確偵測事件至關重要。您可以為 Route 53 託管區域以外的任何資源類型設定運作狀態型偵測。
若要使用運作狀態型偵測,請在 Route 53 中定義資源的運作狀態檢查,然後將運作狀態檢查與 Shield Advanced 保護建立關聯。您設定的運作狀態檢查必須準確反映資源的運作狀態。如需設定運作狀態檢查以搭配 Shield Advanced 使用的資訊和範例,請參閱 [透過 Shield Advanced 和 Route 53 使用運作狀態檢查進行運作狀態型偵測](ddos-advanced-health-checks.md)。
Shield 回應團隊 (SRT) 主動參與支援需要運作狀態檢查。如需主動參與的相關資訊,請參閱 [設定主動參與,讓 SRT 直接與您聯絡](ddos-srt-proactive-engagement.md)。
**注意**
當您將運作狀態檢查與 Shield Advanced 保護建立關聯時,必須報告運作狀態良好。
**設定以運作狀態為基礎的偵測**
1. 在 **Associate Health Check (關聯運作狀態檢查)** 下,選擇您要與保護產生關聯的運作狀態檢查 ID。
**注意**
如果您沒有看到所需的運作狀態檢查,請前往 Route 53 主控台並驗證運作狀態檢查及其 ID。如需相關資訊,請參閱[建立和更新運作狀態檢查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html)。
1. 選擇**下一步**。主控台精靈會進入警示和通知頁面。
# 使用 Shield Advanced 和 Amazon SNS 設定警示和通知
此頁面提供指示,可選擇性地為偵測到的 Amazon CloudWatch 警示和以速率為基礎的規則活動設定 Amazon Simple Notification Service 通知。當 Shield 在受保護的資源上偵測到事件,或超過以速率為基礎的規則中設定的速率限制時,您可以使用這些來接收通知。
如需 Shield Advanced CloudWatch 指標的詳細資訊,請參閱 [AWS Shield Advanced 指標](shield-metrics.md)。如需 Amazon SNS 的相關資訊,請參閱《[Amazon Simple Notification Service 開發人員指南](https://docs.aws.amazon.com/sns/latest/dg/)》。
**設定警示和通知**
1. 選取您要通知的 Amazon SNS 主題。您可以針對所有受保護的資源和速率型規則使用單一 Amazon SNS 主題,也可以選擇為您的組織自訂的不同主題。例如,您可以為每個負責特定資源之事件回應的團隊建立 SNS 主題。
1. 選擇**下一步**。主控台精靈會進入資源保護檢閱頁面。
# 在 Shield Advanced 中檢閱並完成保護組態
**若要檢閱並完成設定**
1. 在**檢閱和設定 DDoS 緩解和可見**性頁面中,檢閱您的設定。若要進行修改,請在您要修改的區域中選擇**編輯**。這將帶您回到主控台精靈中的關聯頁面。進行變更,然後在後續頁面中選擇**下一步**,直到您返回**檢閱並設定 DDoS 緩解和可見**性頁面。
1. 選擇**完成組態**。**受保護的資源**頁面列出新受保護的資源。