**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Shield DDoS 緩解功能的清單
<a name="ddos-event-mitigation-features"></a>

 AWS Shield DDoS 緩解的主要功能如下：
+ **封包驗證** – 這可確保每個檢查的封包符合預期的結構，且對其通訊協定有效。支援的通訊協定驗證包括 IP、TCP （包括標頭和選項）、UDP、ICMP、DNS 和 NTP。
+ **存取控制清單 (ACLs) 和形狀器** – ACL 會根據特定屬性評估流量，並捨棄相符的流量或將其映射至形狀器。形狀器會限制相符流量的封包速率，捨棄多餘的封包，以包含到達目的地的磁碟區。 AWS Shield 偵測和 Shield 回應團隊 (SRT) 工程師可以為預期流量提供專用速率配置，並為具有符合已知 DDoS 攻擊向量屬性的流量提供更嚴格的速率配置。ACL 可以比對的屬性包括封包承載中的連接埠、通訊協定、TCP 旗標、目的地地址、來源國家/地區和任意模式。
+ **可疑評分** – 這會利用 Shield 對預期流量的了解，將分數套用至每個封包。更緊密遵守已知良好流量模式的封包，會獲得較低的可疑分數。觀察已知的不良流量屬性可能會增加封包的可疑分數。需要對限制封包進行評分時，Shield 會先捨棄可疑分數較高的封包。這有助於 Shield 緩解已知和零日 DDoS 攻擊，同時避免誤報。
+ **TCP SYN 代理** — 這透過傳送 TCP SYN Cookie 來挑戰新連線，然後允許它們傳遞到受保護的服務，從而提供對 TCP SYN 洪水的保護。Shield DDoS 緩解提供的 TCP SYN 代理是無狀態的，這允許它緩解最大的已知 TCP SYN 洪水攻擊，而不會達到狀態耗盡。這可透過與 AWS 服務整合來傳遞連線狀態，而不是在用戶端和受保護的服務之間維護連續代理來實現。TCP SYN 代理目前可在 Amazon CloudFront 和 Amazon Route 53 上使用。
+ **速率分佈** – 這會根據流量的輸入模式，持續調整每個位置的形狀器值，面向受保護的資源。這可防止可能無法平均進入 AWS 網路的客戶流量速率限制。