使用 AWS Shield Advanced 和 AWS WAF 保护应用程序层（第 7 层）

本页介绍了 Shield Advanced 和 AWS WAF 如何合作保护应用程序层（第 7 层）的资源。

要使用 Shield Advanced 保护您的应用程序层资源，首先要将 AWS WAF Web ACL 与资源关联，然后向其添加一个或多个基于速率的规则。此外，您还可以启用应用程序层 DDoS 自动缓解措施，这会让 Shield Advanced 自动代表您创建和管理 Web ACL 规则，以响应 DDoS 攻击。

当您使用 Shield Advanced 保护应用程序层资源时，Shield Advanced 会分析一段时间内的流量以建立和维护基准。Shield Advanced 使用这些基准来检测可能表明 DDoS 攻击的流量模式中的异常。Shield Advanced 检测到攻击的时间点取决于 Shield Advanced 在攻击之前能够观察到的流量以及您用于 Web 应用程序的架构。可能影响 Shield Advanced 行为的架构变化包括您使用的实例类型、实例大小以及实例类型是否支持增强联网。您还可以将 Shield Advanced 配置为自动缓解应用程序层攻击。

Shield Advanced 订阅和 AWS WAF 费用

您的 Shield Advanced 订阅涵盖了为您使用 Shield Advanced 保护的资源使用标准 AWS WAF 功能的费用。Shield Advanced 保护所涵盖的标准 AWS WAF 费用包括每个 Web ACL 的费用、每条规则的费用以及每百万个 Web 请求检查的基本价格，最多 1,500 个 WCU，不超过默认正文大小。

启用 Shield Advanced 自动应用程序层 DDoS 缓解会向使用 150 个 Web ACL 容量单位 (WCU) 的 Web ACL 中添加一个规则组。这些 WCU 会计入您的 Web ACL 中的 WCU 使用量。有关更多信息，请参阅 使用 Shield Advanced 自动化应用程序层 DDoS 缓解 、使用 Shield Advanced 规则组保护应用程序层 和 Web ACL 容量单位 (WCUs) 英寸 AWS WAF。

您的 Shield Advanced 订阅不包括对未使用 Shield Advanced 进行保护的资源使用 AWS WAF。它也不包括受保护资源的任何额外非标准 AWS WAF 成本。非标准 AWS WAF 成本的示例包括机器人控制功能、CAPTCHA 规则操作、使用 1,500 个以上 WCU 的 Web ACL 以及检查超出默认正文大小的请求正文的成本。AWS WAF 定价页面上提供了完整的列表。

有关完整信息和定价示例，请参阅 Shield 定价和 AWS WAF 定价。