

**引入全新的主机体验 Amazon WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.amazonaws.cn/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 应用程序负载均衡器的资源级 DDo S 保护
<a name="waf-anti-ddos-alb"></a>

**资源级别 DDo S 保护**可为应用程序负载均衡器提供即时防御，而不会产生部署 Amazon WAF 托管规则组的费用。这个标准的 Anti-DDo S 防护层使用 Amazon 威胁情报和流量模式分析来保护应用程序负载均衡器。为了识别已知的恶意来源，Anti-DDo S 保护会在主机上对直接客户端 IP 地址和 X-Forwarded-For (XFF) 标头进行过滤。识别已知的恶意来源后，将通过以下两种模式之一激活保护：

**在 DDo S 下激活**是默认的保护模式，建议在大多数用例中使用。

此模式：
+ 在检测到高负载条件或潜在的 DDo S 事件时自动激活保护
+ 仅在攻击状况下对已知恶意来源的流量实施速率限制
+ 最大限度地减少常规操作期间对合法流量的影响
+ 使用 Application Load Balancer 运行状况指标和 Amazon WAF 响应数据来确定何时使用保护

**始终开启**是一种可选模式，启用后将持续处于激活状态。

此模式：
+ 持续防范已知的恶意来源
+ 实时限制已知恶意来源的流量
+ 对直接连接和 IPs 在 XFF 标头中包含恶意的请求应用保护
+ 可能对合法流量产生更大影响，但能提供最高级别的安全性

被资源级 DDo S 保护阻止的请求在 CloudWatch 日志中记录为`LowReputationPacketsDropped`或`LowReputationRequestsDenied`指标。有关信息，请参阅[Amazon WAF 核心指标和维度](waf-metrics.md#waf-metrics-general)。

## 在现有 WebACL 上启用标准 DDo S 保护
<a name="enabling-protection-alb"></a>

您可以在创建 Web ACL 或更新与 Application Load Balancer 关联的现有 Web ACL 时启用 DDo S 保护。

**注意**  
如果您有与 Application Load Balancer 关联的现有 Web ACL，则默认情况下会启用 Anti-DDo S 保护，**在 DDo S 模式下处于活动状态**。

**在 Amazon WAF 控制台中启用 Ant DDo i-S 防护**

1. 登录 Amazon Web Services 管理控制台 并在 [https://console.aws.amazon.com/wafv2/homev](https://console.amazonaws.cn/wafv2/homev2) 2 上打开主 Amazon WAF 机。

1. 在导航窗格 ACLs中选择 **Web**，然后打开与 Application Load Balancer 关联的任何 Web ACL。

1. 选择 “**关联 Amazon 资源**”。

1. 在**资源级别 DDo S 保护**下，选择**编辑**。

1. 选择以下一种防护模式：
   + **在 DDo S 下处于活动状态**（推荐）-保护仅在高负载条件下开启
   + **始终开启**：针对已知的恶意来源提供全天候保护

1. 选择**保存更改**。

**注意**  
有关创建 web ACL 的信息，请参阅[在中创建保护包 (Web ACL) Amazon WAF](web-acl-creating.md)。

**优化应用程序负载均衡器的 web ACL 请求成本**  
您必须将 web ACL 与应用程序负载均衡器关联才能启用资源级防护。如果您的 Application Load Balancer 与没有配置的 Web ACL 关联，则不会因 Amazon WAF 请求而产生费用，但 Amazon WAF 不会提供抽样请求或以指标形式报告应用程序负载均衡器。 CloudWatch 您可以采取以下操作，为应用程序负载均衡器启用可观测性功能：  
在 `DefaultAction` 中使用带自定义请求标头的 `Block` 操作或 `Allow` 操作。有关信息，请参阅[为非阻止操作插入自定义请求标头](customizing-the-incoming-request.md)。
将任何规则添加到 web ACL。有关信息，请参阅[Amazon WAF 规则](waf-rules.md)。
启用日志记录目标。有关信息，请参阅[为保护包（web ACL）配置日志记录](logging-management-configure.md)。
将 Web ACL 与 Amazon Firewall Manager 策略关联。有关信息，请参阅[为创建 Amazon Firewall Manager 策略 Amazon WAF](create-policy.md#creating-firewall-manager-policy-for-waf)。
Amazon WAF 如果没有这些配置，将不会提供抽样请求或发布 CloudWatch 指标。