

**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Application Load Balancer 的資源層級 DDoS 保護
<a name="waf-anti-ddos-alb"></a>

**資源層級 DDoS 保護**可為 Application Load Balancer 新增立即防禦，而不會產生部署 AWS WAF 受管規則群組的費用。此標準等級的反 DDoS 保護使用 AWS 威脅情報和流量模式分析來保護 Application Load Balancer。為了識別已知的惡意來源，Anti-DDoS 保護會對直接用戶端 IP 地址和 X-Forwarded-For (XFF) 標頭執行主機上篩選。識別已知惡意來源後，會透過兩種模式之一來啟用保護：

在** DDoS 下作用中**是預設保護模式，建議大多數使用案例使用。

此模式：
+ 在偵測高負載條件或潛在的 DDoS 事件時自動啟用保護
+ Rate-limits 僅在攻擊條件期間來自已知惡意來源的流量
+ 將正常操作期間對合法流量的影響降至最低
+ 使用 Application Load Balancer 運作狀態指標和 AWS WAF 回應資料來判斷何時啟用保護

**Always on** 是選用模式，啟用後一律處於作用中狀態。

此模式：
+ 持續防範已知惡意來源
+ Rate-limiting 即時限制來自已知惡意來源的流量
+ 對 XFF 標頭中具有惡意 IPs直接連線和請求套用保護
+ 對合法流量的影響可能較高，但可提供最大的安全性

資源層級 DDoS 保護封鎖的請求會記錄在 CloudWatch 日誌中，做為 `LowReputationPacketsDropped`或 `LowReputationRequestsDenied`指標。如需相關資訊，請參閱[AWS WAF 核心指標和維度](waf-metrics.md#waf-metrics-general)。

## 在現有的 webACL 上啟用標準 DDoS 保護
<a name="enabling-protection-alb"></a>

您可以在建立 Web ACL 時啟用 DDoS 保護，或更新與 Application Load Balancer 相關聯的現有 Web ACL。

**注意**  
如果您有與 Application Load Balancer 相關聯的現有 Web ACL，則預設會在 DDoS 模式下使用 **Active 啟用反 DDoS** 保護。

**在 AWS WAF 主控台中啟用反 DDoS 保護**

1. 登入 AWS 管理主控台 並在 https：//[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。

1. 在導覽窗格中選擇 **Web ACLs**，然後開啟與 Application Load Balancer 相關聯的任何 Web ACL。

1. 選擇**關聯的 AWS 資源**。

1. 在**資源層級 DDoS 保護**下，選擇**編輯**。

1. 選取下列其中一個保護模式：
   + 在** DDoS 下作用中** （建議） - 只有在高負載條件下才啟用保護
   + **Always on** - 針對已知惡意來源的 Always-on 保護

1. 選擇**儲存變更**。

**注意**  
如需建立 Web ACL 的詳細資訊，請參閱 [在 中建立保護套件 (Web ACL) AWS WAF](web-acl-creating.md)。

**最佳化 Application Load Balancer 的 Web ACL 請求成本**  
您必須將 Web ACL 與 Application Load Balancer 建立關聯，才能啟用資源層級保護。如果您的 Application Load Balancer 與沒有組態的 Web ACL 相關聯，則不會從 AWS WAF 請求產生費用，但是， AWS WAF 不會在 CloudWatch 指標中提供 Application Load Balancer 的範例請求或報告。您可以採取下列動作來啟用 Application Load Balancer 的可觀測性功能：  
在 中使用 `Block` 動作或 `Allow`動作搭配自訂請求標頭`DefaultAction`。如需相關資訊，請參閱[插入非封鎖動作的自訂請求標頭](customizing-the-incoming-request.md)。
將任何規則新增至 Web ACL。如需相關資訊，請參閱[AWS WAF 規則](waf-rules.md)。
啟用記錄目的地。如需相關資訊，請參閱[設定保護套件的記錄 (Web ACL)](logging-management-configure.md)。
將 Web ACL 與 AWS Firewall Manager 政策建立關聯。如需相關資訊，請參閱[為 建立 AWS Firewall Manager 政策 AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf)。
AWS WAF 如果沒有這些組態， 將不會提供抽樣請求或發佈 CloudWatch 指標。