**引入全新的主机体验 Amazon WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.amazonaws.cn/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 编辑 Amazon Shield Advanced 保护
<a name="manage-protection"></a>

您可以随时更改 Amazon Shield Advanced 保护设置。为此，您可以查看所选的保护选项，并修改需要更改的设置。

**管理受保护资源**

1. 登录 Amazon Web Services 管理控制台 并打开 Amazon WAF & Shield 控制台，网址为[https://console.aws.amazon.com/wafv2/](https://console.amazonaws.cn/wafv2/)。

1. 在 Amazon Shield 导航窗格中，选择**受保护的资源**。

1. 在**保护**选项卡中，选择要保护资源。

1. 选择所需的**配置保护**和资源规格选项。

1. 浏览每个资源保护选项，根据需要进行更改。

## 配置应用层 DDo S 保护
<a name="configure-app-layer-protection"></a>

为了防范对 Amazon CloudFront 和 Application Load Balancer 资源的攻击，您可以添加 Amazon WAF 网页ACLs 和添加基于速率的规则。有关此问题的信息，请参阅 [使用 Amazon WAF Web ACLs 和 Shield Advanced 保护应用层](ddos-app-layer-web-ACL-and-rbr.md)。

您还可以启用 Shield Advanced 自动应用层 DDo S 缓解措施。有关 Amazon WAF 工作原理的信息，请参阅[Amazon WAF](waf-chapter.md)。有关自动缓解功能的信息，请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)。

**重要**  
如果您通过 Amazon Firewall Manager 使用 Shield Advanced 策略来管理 Shield 高级保护，则无法在此处管理应用层保护。对于所有其他资源，我们建议至少为每个资源关联一个 Web ACL，即使该 Web ACL 不包含任何规则。

**注意**  
当你为资源启用自动应用层 DDo S缓解时，如果需要，该操作会自动向你的账户添加服务相关角色，以授予Shield Advanced管理你的Web ACL保护所需的权限。有关信息，请参阅[使用 Shield Advance 的服务相关角色](shd-using-service-linked-roles.md)。

**配置应用层 DDo S 保护**

1. 在**配置 DDo第 7 层保护**页面中，如果资源尚未与 Web ACL 关联，则可以选择现有的 Web ACL 或创建自己的 Web ACL。

   要创建 Web ACL，请执行以下操作：

   1. 选择 **创建 web ACL**。

   1. 输入名称。web ACL 在创建之后无法更改名称。

   1. 选择**创建**。
**注意**  
如果资源已与一个 Web ACL关联，则不能更改为其他 Web ACL。如果要更改 Web ACL，则必须先 ACLs 从资源中移除关联的 Web。有关更多信息，请参阅 [将保护与资源关联或取消关联 Amazon](web-acl-associating-aws-resource.md)。

1. 如果 Web ACL 未定义基于速率的规则，则可以选择**添加速率限制规则**，然后执行以下步骤来添加规则：

   1. 输入名称。

   1. 输入速率限制。这是在对 IP 地址应用基于速率的规则操作之前，在任何 5 分钟内允许来自任何单个 IP 地址的最大请求数。当来自该 IP 地址的请求低于限制时，该操作将停止。

   1. 将规则操作设置为在 IP 地址的请求计数超过限制时对 IP 的请求进行计数或阻止。规则操作的应用和删除可能会在 IP 地址请求速率更改一两分钟后生效。

   1. 选择**添加规则**。

1. 对于**自动缓解应用层 DDo S**，请选择是否希望 Shield Advanced 代表您自动缓解 DDo S 攻击，如下所示：
   + 要启用自动缓解，请选择 “**启**用”，然后选择希望 Shield Advanced 在其自定义规则中使用的规则操作。 Amazon WAF 您的选择是 Count 和 Block。有关这些 Amazon WAF 规则操作的信息，请参阅[在中使用规则操作 Amazon WAF](waf-rule-action.md)。有关 Shield Advanced 如何管理此操作设置的信息，请参阅 [Shield Advanced 如何管理规则操作设置](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action)。
   + 要禁用自动缓解，请选择**禁用**。
   + 要使您管理的资源的自动缓解设置保持不变，请保留默认选项**保持当前设置**。

   有关 Shield Advanced 自动应用层 DDo S 缓解措施的信息，请参阅[使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)。

1. 选择**下一步**。