**引入全新的主机体验 Amazon WAF** 现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.amazonaws.cn/waf/latest/developerguide/working-with-console.html)。 本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用配置应用层(第 7 层) DDo保护 Amazon WAF 本页提供使用 Amazon WAF Web 配置应用层保护的说明 ACLs。 为了保护应用层资源,Shield Advanced 使用带有基于速率的规则的 Amazon WAF Web ACL 作为起点。 Amazon WAF 是一个 Web 应用程序防火墙,允许您监控转发到应用层资源的 HTTP 和 HTTPS 请求,并允许您根据请求的特征控制对内容的访问权限。基于速率的规则根据您的请求聚合标准限制流量,从而为您的应用程序提供基本的 DDo S 保护。有关更多信息,请参阅[如何 Amazon WAF 运作](how-aws-waf-works.md)和[在中使用基于费率的规则语句 Amazon WAF](waf-rule-statement-type-rate-based.md)。 您还可以选择启用 Shield Advanced 自动应用层 DDo S 缓解,让来自已知 DDo S 来源的 Shield Advanced 速率限制请求,并自动为您提供针对特定事件的保护。 **重要** 如果您通过 Amazon Firewall Manager 使用 Shield Advanced 策略来管理 Shield 高级保护,则无法在此处管理应用层保护。必须在 Firewall Manager Shield Advanced 策略中对其进行管理。 **Shield 高级版订阅和 Amazon WAF 费用** 您的 Shield Advanced 订阅可支付使用标准 Amazon WAF 功能来保护您使用 Shield Advanced 保护的资源的费用。Shield Advanced 保护所涵盖的标准 Amazon WAF 费用是每个保护包(Web ACL)的费用、每条规则的费用以及每百万个 Web 请求检查的基本价格,最多 1,500 WCUs 个,不超过默认的主体尺寸。 启用 Shield Advanced 自动应用层 DDo S 缓解会在您的保护包(Web ACL)中添加一个使用 150 个 Web ACL 容量单位的规则组(WCUs)。这些 WCUs 计入您的保护包(Web ACL)中的 WCU 使用量。有关更多信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)、[使用 Shield Advanced 规则组保护应用程序层](ddos-automatic-app-layer-response-rg.md) 和 [Web ACL 容量单位 (WCUs) Amazon WAF](aws-waf-capacity-units.md)。 你对 Shield Advanced 的 Amazon WAF 订阅不包括使用你无法使用 Shield Advanced 保护的资源。它也不包括受保护资源的任何额外非标准 Amazon WAF 成本。非标准 Amazon WAF 成本的示例包括 Bot Control、CAPTCHA规则操作、使用量超过 1,500 WCUs 的 Web ACLs 以及检查超出默认正文大小的请求正文。完整列表在 Amazon WAF 定价页面上提供。您对 Shield Advanced 的订阅包括访问第 7 层 Anti-DDo S Amazon 托管规则群组的访问权限。作为订阅的一部分,您将在一个日历月内收到多达 500 亿个 Shield Advanced 受保护 Amazon WAF 资源的请求。超过 500 亿的请求将根据 Amazon Shield Advanced 定价页面进行计费。 有关完整信息和定价示例,请参阅 [Shield 定价](https://www.amazonaws.cn/shield/pricing/)和 [Amazon WAF 定价](https://www.amazonaws.cn/waf/pricing/)。 **为区域配置 DDo第 7 层保护** Shield Advanced 允许您选择为所选资源所在的每个区域配置 7 DDo S 层缓解。如果您要在多个区域添加保护,则向导将引导您完成每个区域的以下步骤。 1. **配置 DDo第 7 层保护**页面列出了所有尚未与 Web ACL 关联的资源。对于每个资源,您可以选择现有 web ACL,活着创建一个新的 web ACL。对于任何已经关联的 Web ACL 的资源,您可以先 ACLs 通过取消关联当前的 Web ACL 来更改网页。 Amazon WAF有关更多信息,请参阅 [将保护与资源关联或取消关联 Amazon](web-acl-associating-aws-resource.md)。 对于 ACLs 还没有基于速率的规则的网站,配置向导会提示您添加一个规则。当 IP 地址发送大量请求时,基于速率的规则会限制来自这些地址的流量。基于速率的规则有助于保护您的应用程序免受 Web 请求泛滥的影响,并且可以提供有关可能表明潜在的 DDo S 攻击的流量突然激增的警报。选择**添加速率限制规则**,然后提供速率限制和规则操作,将基于速率的规则添加到 web ACL。您可以通过在 Web ACL 中配置其他保护 Amazon WAF。 有关在 Shield Advanced 防护中使用网络 ACLs 和基于速率的规则(包括基于速率的规则的其他配置选项)的信息,请参阅。[使用 Amazon WAF Web ACLs 和 Shield Advanced 保护应用层](ddos-app-layer-web-ACL-and-rbr.md) 1. 对于**自动缓解应用层 DDo S**,如果您想让 Shield Advanced 自动缓解针对您的应用层资源的 DDo S 攻击,请选择 “**启用**”,然后选择希望 Shield Advanced 在其自定义规则中使用的规则操作。 Amazon WAF 此设置适用于您在此向导会话中管理的资源的所有 Web ACLs 。 通过自动应用层 DDo S 缓解措施,Shield Advanced 在资源的 Amazon WAF Web ACL 中维护了基于速率的规则,该规则限制了来自已知 DDo S 源的请求量。此外,Shield Advanced 会将当前流量模式与历史流量基线进行比较,以检测可能表明 DDo S 攻击的偏差。当 Shield Advanced 检测到 DDo S 攻击时,它会通过创建、评估和部署自定义 Amazon WAF 规则来做出响应。您可以指定自定义规则是计数还是代表您阻止攻击。 **注意** 自动应用层 DDo S 缓解仅适用于使用最新版本 (v2 ACLs) 创建的保护包 Amazon WAF (Web)。 有关 Shield Advanced 自动应用层 DDo S 缓解措施的更多信息,包括使用此功能的注意事项和最佳实践,请参阅。[使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md) 1. 选择**下一步**。控制台向导将进入运行状况检测页面。