**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 AWS WAF Web ACLs 和 Shield Advanced 保护应用层
<a name="ddos-app-layer-web-ACL-and-rbr"></a>

本页介绍了 AWS WAF web ACLs 和 Shield Advanced 如何协同工作以创建基本的应用层保护。

要使用 Shield Advanced 保护应用层资源，首先要将 AWS WAF Web ACL 与该资源关联。 AWS WAF 是一个 Web 应用程序防火墙，允许您监控转发到应用层资源的 HTTP 和 HTTPS 请求，并允许您根据请求的特征控制对内容的访问权限。您可以配置 Web ACL，根据请求的来源、查询字符串和 Cookie 的内容以及来自单个 IP 地址的请求速率等因素来监控和管理请求。要进行 Shield Advanced 保护，您至少要将 Web ACL 与基于速率的规则相关联，该规则限制了每个 IP 地址的请求速率。

如果关联的 Web ACL 没有定义基于速率的规则，Shield Advanced 会提示您定义至少一个规则。当流量超过您定义的阈值 IPs时，基于速率的规则会自动阻止来自来源的流量。它们有助于保护您的应用程序免受 Web 请求洪水的侵害，并可以提供有关流量突然激增的警报，这可能表明可能存在 DDo S 攻击。

**注意**  
基于速率的规则以非常快的速度响应规则监控的流量峰值。因此，基于速率的规则不仅可以防止攻击，还可以由 Shield Advanced 检测潜在的攻击。这种权衡有利于预防，而不是为了完全了解攻击模式。我们建议使用基于速率的规则作为抵御“攻击”的第一道防线。

建立 Web ACL 后，如果发生 DDo S 攻击，您可以通过在 Web ACL 中添加和管理规则来采取缓解措施。您可以在 Shield 响应小组 (SRT) 的协助下直接执行此操作，也可以通过自动应用层 DDo S 缓解来自动执行此操作。

**重要**  
如果您还使用自动应用层 DDo S 缓解措施，请参阅管理 Web ACL 的最佳实践，网址为[使用自动应用层 DDo S 缓解措施的最佳实践](ddos-automatic-app-layer-response-bp.md)。

有关使用 AWS WAF 管理 Web 请求监控和管理规则的信息，请参阅[在中创建保护包 (Web ACL) AWS WAF](web-acl-creating.md)。