**引入全新的主机体验 Amazon WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.amazonaws.cn/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 启用自动应用层 DDo S 缓解措施
<a name="ddos-automatic-app-layer-response-config"></a>

本页介绍了如何配置 Shield Advanced 以自动响应应用程序层攻击。

您可以启用 Shield Advanced 自动缓解作为资源应用层 DDo S 保护的一部分。有关在控制台上执行此操作的信息，请参阅 [配置应用层 DDo S 保护](manage-protection.md#configure-app-layer-protection)。

自动缓解功能要求您执行以下操作：
+ 将 **Web ACL 与资源关联**：这是任何 Shield Advanced 应用程序层保护所必需的。您可以对多个资源使用相同的 Web ACL。我们建议仅对流量相似的资源执行此操作。有关 Web 的信息ACLs，包括将其用于多种资源的要求，请参阅[如何 Amazon WAF 运作](how-aws-waf-works.md)。
+ **启用和配置 Shield Advanced 自动应用层 DDo S 缓解措施** — 启用此功能后，您可以指定是希望 Shield Advanced 自动阻止还是计算其确定为 DDo S 攻击一部分的 Web 请求。Shield Advanced 将规则组添加到关联的 Web ACL 中，并使用它来动态管理其对资源上的 DDo S 攻击的响应。有关规则操作选项的信息，请参阅 [在中使用规则操作 Amazon WAF](waf-rule-action.md)。
+ **（可选，但推荐）在 Web ACL 中添加基于速率的规则**-默认情况下，基于速率的规则可防止任何单个 IP 地址在短时间内发送过多请求，从而为您的资源提供防御 DDo S 攻击的基本保护。有关基于速率的规则（包括自定义请求聚合选项和示例）的信息，请参阅 [在中使用基于费率的规则语句 Amazon WAF](waf-rule-statement-type-rate-based.md)。

## 在启用自动缓解时发生的情况
<a name="ddos-automatic-app-layer-response-enable"></a>

启用自动缓解后，Shield Advanced 会执行以下操作：
+ **根据需要添加规则组以供 Shield Advanced 使用** — 如果您与资源关联的 Amazon WAF Web ACL 还没有专门用于自动缓解应用层 DDo S 的 Amazon WAF 规则组规则，Shield Advanced 会添加一条规则组规则。

  规则组规则的名称以 `ShieldMitigationRuleGroup` 开头。规则组始终包含名为的基于速率的规则`ShieldKnownOffenderIPRateBasedRule`，该规则限制了来自已知是 DDo S 攻击来源的 IP 地址的请求量。有关 Shield Advanced 规则组和引用它的 Web ACL 规则的其他详细信息，请参阅 [使用 Shield Advanced 规则组保护应用程序层](ddos-automatic-app-layer-response-rg.md)。
+ **开始响应针对资源 DDo的 S 攻击** — Shield Advanced 会自动响应受保护资源的 DDo S 攻击。除了始终存在的基于速率的规则外，Shield Advanced 还使用其规则组来部署缓解 DDo S 攻击的自定义 Amazon WAF 规则。Shield Advanced 会根据您的应用程序和应用程序遇到的攻击量身定制这些规则，并在部署之前根据该资源的历史流量对其进行测试。

Shield Advanced 在您用于自动缓解的任何 Web ACL 中使用单个规则组规则。如果 Shield Advanced 已经为另一个受保护资源添加了规则组，则不会向 Web ACL 添加另一个规则组。

应用层 DDo S 的自动缓解取决于是否存在用于缓解攻击的规则组。如果出于任何原因将规则组从 Amazon WAF Web ACL 中删除，则删除规则组将禁用与该 Web ACL 关联的所有资源的自动缓解措施。