本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

AWS Shield Advanced Web 應用程式的緩解邏輯

AWS Shield Advanced 使用 AWS WAF 來緩解 Web 應用程式層攻擊。 AWS WAF 包含在 Shield Advanced 中，無需額外費用。

標準應用程式層保護

當您使用 Shield Advanced 保護 Amazon CloudFront 分佈或 Application Load Balancer 時，如果您還沒有相關聯的 Web，則可以使用 Shield Advanced 將 AWS WAF Web ACL 與受保護的資源建立關聯。如果您尚未設定 Web ACL，則可以使用 Shield Advanced 主控台精靈來建立 Web 並新增以速率為基礎的規則。以速率為基礎的規則會限制每個 IP 地址每五分鐘的請求時段數量，提供基本的防護，防止 Web 應用程式層請求溢出。您可以設定速率，從低至 10。如需詳細資訊，請參閱使用 AWS WAF Web ACLs和 Shield Advanced 保護應用程式層。

您也可以使用 AWS WAF 服務來管理 Web ACL。透過 AWS WAF，您可以展開 Web ACL組態以執行任務，例如檢查特定 Web 請求元件是否有字串比對或模式、新增自訂請求和回應處理，以及比對請求來源的地理位置。如需 AWS WAF 規則的詳細資訊，請參閱 使用 AWS WAF rules。

自動應用程式層緩解

如需增強保護，請啟用 Shield Advanced 自動應用程式層緩解。使用此選項，Shield Advanced 會維護已知DDoS來源請求的 AWS WAF 速率限制規則，並為偵測到的DDoS攻擊提供自訂緩解措施。

當 Shield Advanced 偵測到受保護資源的攻擊時，它會嘗試識別攻擊簽章，以隔離攻擊流量與應用程式的一般流量。Shield Advanced 會根據受攻擊資源的歷史流量模式，以及與相同 Web 相關聯的任何其他資源，來評估已識別的攻擊簽章ACL。

如果 Shield Advanced 判斷攻擊簽章只會隔離涉及DDoS攻擊的流量，則會在關聯 Web 內的 AWS WAF 規則中實作簽章ACL。您可以指示 Shield Advanced 放置僅計算其相符的流量或封鎖流量的緩解措施，而且您可以隨時變更設定。當 Shield Advanced 確定不再需要其緩解規則時，它會從 Web 中移除它們ACL。如需應用程式層事件緩解的詳細資訊，請參閱 使用 Shield Advanced 自動化應用程式層DDoS緩解 。

如需 Shield Advanced 應用程式層緩解措施的詳細資訊，請參閱 使用 AWS Shield Advanced 和 保護應用程式層 （第 7 層） AWS WAF。