**引入全新的主机体验 Amazon WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.amazonaws.cn/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Shield Amazon 区域的缓解逻辑
<a name="ddos-event-mitigation-logic-regions"></a>

本页介绍了 Shield 事件缓解逻辑在 Amazon 区域中的工作原理。

在 Amazon 区域中启动的资源受到 Shield 资源级检测放置的 Amazon Shield DDo S 缓解系统的保护。区域资源包括 Elastic IPs (EIPs)、经典负载均衡器和应用程序负载均衡器。

在设置缓解措施之前，Shield 会识别目标资源及其容量。Shield 使用容量来确定其缓解措施应允许转发到资源的最大总流量。访问控制列表 (ACLs) 和缓解措施中的其他整形器可能会减少某些流量的允许流量，例如与已知的 DDo S 攻击向量匹配或预计不会出现大量流量的流量。这进一步限制了缓解措施允许进行 UDP 反射攻击或具有 TCP SYN 或 FIN 标志的 TCP 流量所允许的流量。

Shield 会根据每种资源类型确定容量和缓解措施。
+ 对于 Amazon EC2 实例或附加到 Amazon EC2 实例的 EIP，Shield 会根据实例类型和其他实例属性（例如该实例是否启用了增强联网功能）来计算容量。
+ 对于应用程序负载均衡器或 Classic Load Balancer，Shield 会单独计算负载均衡器中每个目标节点的容量。 DDo这些资源的攻击缓解措施结合了 Shield DDo S 缓解措施和负载均衡器的自动扩展。当 Shield Response Team 对应用程序负载均衡器或经典负载均衡器资源进行攻击时，作为一项额外的保护措施，他们可能会加速扩展。
+ Shield 根据底层 Amazon 基础设施的可用容量计算某些 Amazon 资源的容量。这些资源类型包括网络负载均衡器 (NLBs) 和通过网关负载均衡器或路由流量的资源。 Amazon Network Firewall

**注意**  
通过连接 EIPs 受 Shield Advanced 保护的网络负载均衡器来保护您的网络负载均衡器。您可以与 SRT 合作，根据底层应用程序的预期流量和容量构建自定义缓解措施。

当 Shield 设置缓解时，Shield 在缓解逻辑中定义的初始速率限制将平等地应用于每个 Shield DDo S 缓解系统。例如，如果 Shield 将缓解措施设定为每秒 100,000 个数据包 (pps) 的限制，则它最初将允许在每个位置使用 100,000 pps。然后，Shield 会持续汇总缓解指标以确定实际流量比率，并使用该比率来调整每个位置的速率限制。这样可以防止误报，并确保缓解措施不会过于宽松。