Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

引入全新的主机体验 Amazon WAF

现在，您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息，请参阅 使用更新的主机体验。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

Shield Advanced 如何管理自动缓解

本节中的主题介绍 Shield Advanced 如何处理您的配置更改以实现自动应用层 DDo S 缓解，以及在启用自动缓解后如何处理 DDo S 攻击。

Shield Advanced 如何通过自动缓解来响应 DDo S 攻击

当您在受保护的资源上启用自动缓解时，Shield Advanced 规则组ShieldKnownOffenderIPRateBasedRule中基于速率的规则会自动响应来自已知 DDo S 源的流量增加的情况。此速率限制可以快速应用，能起到抵御攻击的前线防御作用。

当 Shield Advanced 检测到攻击时，它会执行下列操作：

在整个攻击过程中，Shield Advanced 会发送与基本 Shield Advanced 应用程序层保护相同的通知并提供相同的事件信息。你可以在 Shield Advanced 事件控制台中查看有关事件和 DDo S 攻击以及任何针对攻击的 Shield 高级缓解措施的信息。有关信息，请参阅使用 Shield Advanced 查看 DDo S 事件。

如果您已将自动缓解配置为使用 Block 规则操作并且您遇到 Shield Advanced 部署的缓解规则中的误报，您可以将规则操作更改为 Count。 有关如何执行此操作的信息，请参阅更改用于自动应用层 DDo S 缓解的操作。

Shield Advanced 如何管理规则操作设置

您可以将自动缓解措施的规则操作设置为 Block 或 Count.

当您更改受保护资源的自动缓解规则操作设置时，Shield Advanced 会更新该资源的所有规则设置。它会更新 Shield Advanced 规则组中资源当前存在的任何规则，并在创建新规则时使用新的操作设置。

对于使用相同 Web ACL 的资源，如果您指定不同的操作，Shield Advanced 会使用 Block 规则组基于速率的规则的操作设置。ShieldKnownOffenderIPRateBasedRuleShield Advanced 代表特定的受保护资源创建和管理规则组中的其他规则，并使用您为该资源指定的操作设置。Web ACL 中的 Shield Advanced 规则组中的所有规则都应用于所有相关资源的 Web 流量。

更改操作设置可能需要几秒钟进行传播。在此期间，某些使用规则组的位置会显示旧设置，而另一些会显示新设置。

您可以在控制台的事件页面和应用程序层配置页面更改自动缓解配置的规则操作设置。有关事件的更多信息，请参阅 在中响应 DDo S 事件 Amazon。有关配置文件的更多信息，请参阅配置应用层 DDo S 保护。

攻击消退后 Shield Advanced 如何管理缓解措施

当 Shield Advanced 确定不再需要为特定攻击部署的缓解规则时，它会将其从 Shield Advanced 缓解规则组中删除。

攻击结束并不意味着取消缓解规则。Shield Advanced 会监控它在您的受保护资源上检测到的攻击模式。它可以保持针对首次发生攻击时部署的规则，以主动防御带有特定特征的攻击再次发生。根据需要，Shield Advanced 会延长遵守规则的时间窗口。这样，Shield Advanced 就可以在使用特定特征码的重复攻击影响您的受保护资源之前缓解这些攻击。

Shield Advanced 永远不会删除基于速率的规则ShieldKnownOffenderIPRateBasedRule，该规则限制了来自已知是 DDo S 攻击来源的 IP 地址的请求量。

在禁用自动缓解时发生的情况

当您为资源禁用自动缓解时，Shield Advanced 会执行以下操作：