Cómo empezar a usar AWS WAF con la experiencia de consola estándar - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield
Paso 1: Configurar AWS WAFPaso 2: Crear una ACL webPaso 3: Agregar una regla de coincidencia de cadenaPaso 4: Agregar un grupo de reglas administradas de AWSPaso 5: Finalizar la configuración de ACL webPaso 6: Eliminar los recursos

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Cómo empezar a usar AWS WAF con la experiencia de consola estándar

La consola AWS WAF lo guiará por el proceso de configuración de AWS WAF para bloquear o permitir las solicitudes web en función de las criterios que especifique, como las direcciones IP de donde provengan las solicitudes o los valores incluidos en las solicitudes. En este paso, se crea un paquete de protección (ACL web). Para obtener más información acerca de los paquetes de protección (ACL web) de AWS WAF, consulte Configuración de la protección en AWS WAF.

Este tutorial muestra cómo utilizar AWS WAF para realizar las siguientes tareas:

  • Configuración de AWS WAF.

  • Cree una lista de control de acceso web (ACL web) mediante el asistente de la consola de AWS WAF.

    Para crear una ACL web

    1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS WAF en https://console.aws.amazon.com/wafv2/homev2.

    2. En la página de inicio de AWS WAF, seleccione Crear ACL web.

    3. En Name (Nombre), escriba el nombre que desea utilizar para identificar esta ACL web.

      nota

      No se puede cambiar el nombre después de crear la ACL web.

    4. (Opcional) En Description - optional (Descripción: opcional), introduzca una descripción más larga para la ACL web si lo desea.

    5. En Nombre de métrica de CloudWatch, cambie el nombre predeterminado si procede. Siga las instrucciones de la consola para ver los caracteres válidos. El nombre no puede contener caracteres especiales, espacios en blanco ni se pueden utilizar nombres de métricas reservados para AWS WAF, como "All" y "Default_Action".

      nota

      No se puede cambiar el nombre de las métricas de CloudWatch después de crear la ACL web.

    6. En Resource type (Tipo de recurso), elija CloudFront distributions (Distribuciones de CloudFront). Region (Región) se rellena automáticamente como Global (CloudFront) para distribuciones de CloudFront distributions.

    7. (Opcional) En Recursos asociados de AWS (opcional), elija Agregar recursos de AWS. En el cuadro de diálogo, elija los recursos que desea asociar y, a continuación, elija Agregar. AWS WAF le devuelve a la página Describir la ACL web y los recursos asociados de AWS.

    8. Elija Siguiente.

nota

AWSEn general, facturará menos de 0,25 USD al día por los recursos que cree durante este tutorial. Cuando haya completado el tutorial, le recomendamos que elimine los recursos para evitar incurrir en gastos innecesarios.

Paso 1: Configurar AWS WAF

Si aún no ha seguido los pasos de configuración generales de Configuración de la cuenta para utilizar los servicios, hágalo ahora.

Paso 2: Crear una ACL web

La consola AWS WAF lo guiará por el proceso de configuración de AWS WAF para bloquear o permitir las solicitudes web en función de las criterios que especifique, como las direcciones IP de donde provengan las solicitudes o los valores incluidos en las solicitudes. En este paso, va a crear una ACL web. Para obtener más información acerca de las ACL web de AWS WAF, consulte Configuración de la protección en AWS WAF.

Para crear una ACL web

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS WAF en https://console.aws.amazon.com/wafv2/homev2.

  2. En la página de inicio de AWS WAF, seleccione Crear ACL web.

  3. En Name (Nombre), escriba el nombre que desea utilizar para identificar esta ACL web.

    nota

    No se puede cambiar el nombre después de crear la ACL web.

  4. (Opcional) En Description - optional (Descripción: opcional), introduzca una descripción más larga para la ACL web si lo desea.

  5. En Nombre de métrica de CloudWatch, cambie el nombre predeterminado si procede. Siga las instrucciones de la consola para ver los caracteres válidos. El nombre no puede contener caracteres especiales, espacios en blanco ni se pueden utilizar nombres de métricas reservados para AWS WAF, como "All" y "Default_Action".

    nota

    No se puede cambiar el nombre de las métricas de CloudWatch después de crear la ACL web.

  6. En Resource type (Tipo de recurso), elija CloudFront distributions (Distribuciones de CloudFront). Region (Región) se rellena automáticamente como Global (CloudFront) para distribuciones de CloudFront distributions.

  7. (Opcional) En Recursos asociados de AWS (opcional), elija Agregar recursos de AWS. En el cuadro de diálogo, elija los recursos que desea asociar y, a continuación, elija Agregar. AWS WAF le devuelve a la página Describir la ACL web y los recursos asociados de AWS.

  8. Elija Siguiente.

Paso 3: Agregar una regla de coincidencia de cadena

En este paso, creará una regla con una declaración de coincidencia de cadena e indicará qué hacer con las solicitudes que coinciden. Una instrucción de regla de coincidencia de cadena identifica las cadenas que desea que AWS WAF busque en una solicitud. Normalmente, una cadena se compone de caracteres ASCII imprimibles, pero puede especificar cualquier carácter comprendido entre los valores hexadecimales 0x00 y 0xFF (valores decimales 0 a 255). Además de especificar la cadena que se va a buscar, se especifica el componente de la solicitud web en el que se desea buscar, como un encabezado, una cadena de consulta o el cuerpo de la solicitud.

Este tipo de instrucción funciona en un componente de solicitud web y requiere la siguiente configuración del componente de la solicitud:

  • Componente de solicitud: la parte de la solicitud web que se va a inspeccionar, por ejemplo, una cadena de consulta o el cuerpo.

    aviso

    Si inspecciona los componentes de la solicitud, Cuerpo, Cuerpo JSON, Encabezados o Cookies, consulte las limitaciones en cuanto a la cantidad de contenido que AWS WAF puede inspeccionar en los Componentes de solicitudes web con tamaño excesivo en AWS WAF.

    Para obtener información sobre los componentes de la solicitud web, consulte Ajuste de la configuración de la instrucción de reglas en AWS WAF.

  • Transformaciones de texto opcionales: transformaciones que desea que AWS WAF realice en el componente de la solicitud antes de inspeccionarlo. Por ejemplo, puede convertir a minúsculas o normalizar el espacio en blanco. Si especifica más de una transformación, AWS WAF las procesa en el orden indicado. Para obtener más información, consulte Uso de transformaciones de texto en AWS WAF.

Para obtener más información acerca de las reglas de AWS WAF, consulte AWS WAFReglas de .

Para crear una declaración de regla de coincidencia de cadena

  1. En la página Add rules and rule groups (Añadir reglas y grupos de reglas), elija Add rules (Añadir reglas), Add my own rules and rule groups (Añadir mis propias reglas y grupos de reglas), Rule builder (Generador de reglas) y, a continuación, Rule visual editor (Editor visual de reglas).

    nota

    La consola proporciona Rule visual editor (Editor visual de reglas) y también Rule JSON editor (Editor JSON de reglas). El editor JSON facilita la copia de configuraciones entre ACL web y es necesario para conjuntos de reglas más complejos, como los que cuentan con múltiples niveles de anidamiento.

    Este procedimiento utiliza Rule visual editor (Editor visual de reglas).

  2. En Name (Nombre), introduzca el nombre que desea utilizar para identificar esta regla.

  3. En Type (Tipo), elija Regular rule (Regla normal).

  4. En If a request (Si una solicitud), elija matches the statement (coincide con la declaración).

    Las demás opciones son para los tipos de instrucciones de reglas lógicas. Puede utilizarlas para combinar o anular los resultados de otras instrucciones de reglas.

  5. En Instrucción, para Inspeccionar, abra el menú desplegable y elija el componente de solicitud web que desea que AWS WAF inspeccione. En este ejemplo, seleccione Encabezado único.

    Al elegir Encabezado único, también debe especificar qué encabezado desea que AWS WAF inspeccione. Escriba User-Agent. Este valor no distingue entre mayúsculas y minúsculas.

  6. En Match type (Tipo de coincidencia), decida si la cadena especificada tiene que aparecer en el encabezado User-Agent.

    En este ejemplo, elija Exactly matches string (Coincide exactamente con la cadena). Esto indica que AWS WAF inspecciona el encabezado del agente de usuario en cada solicitud web para buscar una cadena que sea idéntica a la cadena especificada.

  7. En String to match (Cadena que debe coincidir), especifique la cadena que quiere que AWS WAF busque. La longitud máxima de String to match (Cadena que debe coincidir) es de 200 caracteres. Si desea especificar un valor con codificación base64, puede especificar hasta 200 caracteres antes de la codificación.

    En este ejemplo, escriba MyAgent. AWS WAF inspeccionará el encabezado User-Agent en las solicitudes web para el valor MyAgent.

  8. Deje el campo Text transformation (Transformación de texto) establecido en None (Ninguna).

  9. En Acción, seleccione la acción que desea que realice la regla cuando coincida con una solicitud web. Para este ejemplo, elija Recuento y deje las demás opciones como están. La acción de recuento crea métricas para las solicitudes web que coincidan con la regla, pero no afecta a si la solicitud está permitida o bloqueada. Para obtener más información sobre estas opciones, consulte Utilización de acciones de reglas en AWS WAF y Cómo establecer la prioridad de las reglas.

  10. Seleccione Agregar regla.

Paso 4: Agregar un grupo de reglas administradas de AWS

Reglas administradas de AWS le ofrece un conjunto de grupos de reglas administradas, la mayor parte de estas son gratuitas para los clientes de AWS WAF. Para obtener más información acerca de los grupos de reglas, consulte AWS WAFGrupos de reglas de . Agregaremos un grupo de reglas administradas de AWS a esta ACL web.

Cómo agregar un grupo de reglas administradas de AWS

  1. En la página Add rules and rule groups (Añadir reglas y grupos de reglas), elija Add rules (Añadir reglas) y, a continuación, Add managed rule groups (Añadir grupos de reglas administradas).

  2. En la página Agregar grupos de reglas administradas, amplíe la descripción de los grupos de reglas administradas de AWS. (También verá las descripciones que se ofrecen a los vendedores de AWS Marketplace. Puede suscribirse a sus ofertas y, a continuación, utilizarlas de la misma manera que para los grupos de reglas administradas de AWS).

  3. Realice lo siguiente para cada grupo de reglas que desee agregar:

    1. En la columna Acción, active la opción Agregar a la ACL web.

    2. Seleccione Editar y, en la descripción de Reglas del grupo de reglas, abra el menú desplegable Anular todas las acciones de reglas y seleccione Count. Se establece que la acción de todas las reglas del grupo de reglas es solo contar. Esto le permite ver cómo se comportan todas las reglas del grupo de reglas con sus solicitudes web antes de usarlas.

    3. Seleccione Guardar reglas.

  4. En la página Agregar grupos de reglas administradas, elija Agregar reglas. De este modo, volverá a la página Añadir reglas y grupos de reglas.

Paso 5: Finalizar la configuración de ACL web

Cuando haya terminado de añadir reglas y grupos de reglas a la configuración de ACL web, puede terminarla. Para ello, administre la prioridad de las reglas en la ACL web y configure parámetros como métricas, etiquetado y registro.

Para finalizar la configuración de ACL web:

  1. En la página Add rules and rule groups (Añadir reglas y grupos de reglas), elija Next (Siguiente).

  2. En la página Establecer la prioridad de las reglas, puede ver el orden de procesamiento de las reglas y grupos de reglas en la ACL web. AWS WAF las procesa desde la parte superior de la lista. Para cambiar el orden de procesamiento, mueva las reglas hacia arriba o hacia abajo. Para ello, seleccione un elemento de la lista y elija Move up (Subir) o Move down (Bajar). Para obtener más información acerca de la prioridad de regla, consulte Cómo establecer la prioridad de las reglas.

  3. Elija Siguiente.

  4. En la página Configurar métricas, en Métricas de Amazon CloudWatch, puede ver las métricas planificadas para las reglas y grupos de reglas y también las opciones de muestreo de las solicitudes web. Para obtener información sobre cómo ver las solicitudes muestreadas, consulte Visualizar una muestra de solicitudes web. Para obtener información acerca de las métricas de Amazon CloudWatch, consulte Supervisión con Amazon CloudWatch.

    Puede acceder a los resúmenes de las métricas de tráfico web en la página de la ACL web de la consola AWS WAF, en la pestaña Resumen del tráfico. Los paneles de control de la consola proporcionan resúmenes casi en tiempo real de las métricas de Amazon CloudWatch de la ACL web. Para obtener más información, consulte Paneles de información general sobre el tráfico para los paquetes de protección (ACL web).

  5. Elija Siguiente.

  6. En la página Review and create web ACL (Revisar y crear ACL web), revise la configuración y, a continuación, elija Create web ACL (Crear ACL web).

El asistente lo devuelve a la página ACL web, donde aparece la nueva ACL Web.

Paso 6: Eliminar los recursos

Acaba de completar correctamente el tutorial. Para evitar que su cuenta acumule cargos adicionales de AWS WAF, limpie los objetos de AWS WAF que ha creado. O bien puede cambiar la configuración para que coincida con las solicitudes web que realmente desee administrar con AWS WAF.

nota

AWSEn general, facturará menos de 0,25 USD al día por los recursos que cree durante este tutorial. Cuando haya acabado, le recomendamos que elimine los recursos para evitar incurrir en gastos innecesarios.

Para eliminar los objetos por los que AWS WAF cobra

  1. En la página ACL web, seleccione su ACL web de la lista y elija Editar.

  2. En la pestaña Recursos asociados de AWS, para cada recurso asociado, seleccione el botón de opción situado junto al nombre del recurso y, a continuación, elija Desasociar. Con esta acción, se disocia la ACL web de sus recursos de AWS.

  3. En cada una de las pantallas siguientes, elija Siguiente hasta que vuelva a la página ACL web.

    En la página ACL web, seleccione su ACL web de la lista y elija Eliminar.

Las reglas y las declaraciones de reglas no existen fuera de las definiciones de ACL web y los grupos de reglas. Si elimina una ACL web, se eliminarán todas las reglas individuales que haya definido en la ACL web. Cuando elimina un grupo de reglas de una ACL web, simplemente se elimina la referencia.