**引入全新的主机体验 Amazon WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.amazonaws.cn/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon WAF 分布式拒绝服务防护 DDo
<a name="waf-anti-ddos"></a>

Amazon WAF 针对 Amazon 资源中的 DDo S 攻击提供复杂且可自定义的保护。查看本节中描述的选项，然后选择满足您的安全和业务需求的反 DDo S防护级别。

您可以从以下两层 DDo S 保护中进行选择 Amazon WAF：

资源级 S 保护 DDo  
标准层级在应用程序负载均衡器中运行，可通过主机上筛选以防御已知的恶意来源。您可以将保护行为配置为对潜在的 DDo S 事件做出最佳反应。  
资源级 DDo S 保护：  
+ 自动监控您的流量模式。
+ 实时更新威胁情报。
+ 防御已知的恶意来源。
**优化应用程序负载均衡器的 web ACL 请求成本**  
您必须将 web ACL 与应用程序负载均衡器关联才能启用资源级防护。如果您的 Application Load Balancer 与没有配置的 Web ACL 关联，则不会因 Amazon WAF 请求而产生费用，但 Amazon WAF 不会提供抽样请求或以指标形式报告应用程序负载均衡器。 CloudWatch 您可以采取以下操作，为应用程序负载均衡器启用可观测性功能：  
+ 在 `DefaultAction` 中使用带自定义请求标头的 `Block` 操作或 `Allow` 操作。有关信息，请参阅[为非阻止操作插入自定义请求标头](customizing-the-incoming-request.md)。
+ 将任何规则添加到 web ACL。有关信息，请参阅[Amazon WAF 规则](waf-rules.md)。
+ 启用日志记录目标。有关信息，请参阅[为保护包（web ACL）配置日志记录](logging-management-configure.md)。
+ 将 Web ACL 与 Amazon Firewall Manager 策略关联。有关信息，请参阅[为创建 Amazon Firewall Manager 策略 Amazon WAF](create-policy.md#creating-firewall-manager-policy-for-waf)。
Amazon WAF 如果没有这些配置，将不会提供抽样请求或发布 CloudWatch 指标。

Amazon 托管规则组 DDo S 保护  
通过提供高级的 DDo S 保护层`AWSManagedRulesAntiDDoSRuleSet`。托管规则组是对资源级防护层的补充，具有以下显著区别：  
+ 保护扩展到应用程序负载均衡器和 CloudFront 分发
+ 流量基准针对受保护的资源而创建，以改进对新攻击模式的检测。
+ 根据您选择的灵敏度级别激活防护行为。
+ 在可能的 DDo S 事件期间管理和标记对受保护资源的请求。
有关包含规则和功能的完整列表，请参阅 [Amazon WAF 分布式拒绝服务 (DDoS) 防护规则组](aws-managed-rule-groups-anti-ddos.md)。

**注意**  
使用此托管规则组时，您需要额外付费。有关更多信息，请参阅 [Amazon WAF 定价](https://www.amazonaws.cn/waf/pricing/)。

**Topics**
+ [应用程序负载均衡器的资源级 DDo S 保护](waf-anti-ddos-alb.md)
+ [使用 Ant DDo i-S 托管规则组进行高级 Amazon WAF 反 DDo S 保护](waf-anti-ddos-advanced.md)