**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Shield AWS 區域的緩解邏輯
<a name="ddos-event-mitigation-logic-regions"></a>

此頁面說明 Shield 事件緩解邏輯如何在 AWS 區域中運作。

在 AWS 區域中啟動的資源受到 Shield 資源層級偵測放置的 AWS Shield DDoS 緩解系統所保護。區域資源包括彈性 IPs(EIPs)、Classic Load Balancer 和 Application Load Balancer。

在放置緩解措施之前，Shield 會識別目標資源及其容量。Shield 使用容量來判斷其緩解應允許轉送至資源的最大總流量。緩解措施中的存取控制清單 (ACLs) 和其他形狀器可能會減少某些流量的允許磁碟區，例如符合已知 DDoS 攻擊向量或預期不會大量出現的流量。這進一步限制了緩解措施允許 UDP 反射攻擊或具有 TCP SYN 或 FIN 旗標的 TCP 流量的流量。

Shield 會決定容量，並針對每個資源類型以不同的方式放置緩解措施。
+ 對於 Amazon EC2 執行個體或連接到 Amazon EC2 執行個體的 EIP，Shield 會根據執行個體類型和其他執行個體屬性計算容量，例如執行個體是否已啟用增強型聯網。
+ 對於 Application Load Balancer 或 Classic Load Balancer，Shield 會個別計算負載平衡器每個目標節點的容量。這些資源的 DDoS 攻擊緩解措施是由 Shield DDoS 緩解措施和負載平衡器自動擴展的組合提供。當 Shield 回應團隊 (SRT) 參與針對 Application Load Balancer 或 Classic Load Balancer 資源的攻擊時，他們可能會加速擴展作為額外的保護措施。
+ Shield 會根據基礎 AWS 基礎設施的可用容量來計算某些 AWS 資源的容量。這些資源類型包括 Network Load Balancer (NLBs)，以及透過 Gateway Load Balancer 或 路由流量的資源 AWS Network Firewall。

**注意**  
透過連接受 Shield Advanced 保護EIPs 來保護 Network Load Balancer。您可以使用 SRT 來根據基礎應用程式的預期流量和容量建立自訂緩解措施。

當 Shield 進行緩解時，Shield 在緩解邏輯中定義的初始速率限制會平均套用至每個 Shield DDoS 緩解系統。例如，如果 Shield 放置了每秒 100，000 個封包 (pps) 限制的緩解措施，它最初會在每個位置允許 100，000 pps。然後，Shield 會持續彙總緩解指標，以判斷流量的實際比率，並使用比率來調整每個位置的速率限制。這可防止誤報，並確保緩解措施不會過於寬鬆。