启用应用程序层 DDoS 自动缓解

将 Web ACL 与资源关联：这是任何 Shield Advanced 应用程序层保护所必需的。您可以对多个资源使用相同的 Web ACL。我们建议仅对流量相似的资源执行此操作。有关 Web ACL 的信息，包括将其用于多种资源的要求，请参阅 AWS WAF 的工作原理。

启用和配置 Shield Advanced 应用程序层 DDoS 自动缓解：启用此功能后，您可以指定是希望 Shield Advanced 自动阻止还是计算其确定为 DDoS 攻击一部分的网络请求。Shield Advanced 将规则组添加到关联的 Web ACL 中，并使用它来动态管理其对资源上的 DDoS 攻击的响应。有关规则操作选项的信息，请参阅 在 AWS WAF 中使用规则操作。

（可选，但建议设置）在 Web ACL 中添加基于速率的规则：默认情况下，基于速率的规则可防止任何单个 IP 地址在短时间内发送过多请求，从而为您的资源提供防御 DDoS 攻击的基本保护。有关基于速率的规则（包括自定义请求聚合选项和示例）的信息，请参阅 在 AWS WAF 中使用基于速率的规则语句。

根据需要添加规则组以供 Shield Advanced 使用：如果您与资源关联的 AWS WAF Web ACL 还没有专门用于自动缓解应用程序层 DDoS 的 AWS WAF 规则组规则，Shield Advanced 会添加一条规则组规则。

规则组规则的名称以 ShieldMitigationRuleGroup 开头。该规则组始终包含一个名为 ShieldKnownOffenderIPRateBasedRule 的基于速率的规则，用于限制来自已知为 DDoS 攻击来源的 IP 地址的请求量。有关 Shield Advanced 规则组和引用它的 Web ACL 规则的其他详细信息，请参阅 使用 Shield Advanced 规则组保护应用程序层。

开始响应针对资源的 DDoS 攻击：Shield Advanced 会自动响应受保护资源的 DDoS 攻击。除了始终存在的基于速率的规则外，Shield Advanced 还使用其规则组来部署缓解 DDoS 攻击的自定义 AWS WAF 规则。Shield Advanced 会根据您的应用程序和应用程序遇到的攻击量身定制这些规则，并在部署之前根据该资源的历史流量对其进行测试。