Presentamos una nueva experiencia de consola para AWS WAF
Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.
Protección de DDoS al nivel de recursos para equilibradores de carga de aplicaciones
La protección de DDoS al nivel de recursos añade una defensa inmediata a los equilibradores de carga de aplicaciones sin incurrir en gastos por implementar grupos de reglas administrados de AWS WAF. Este nivel estándar de protección anti-DDoS utiliza inteligencia de amenazas de AWS y análisis de patrones de tráfico para proteger los equilibradores de carga de aplicaciones. Para identificar las fuentes maliciosas conocidas, la protección anti-DDoS filtra en el host tanto las direcciones IP directas de los clientes como los encabezados X-Forwarded-For (XFF). Después de identificar una fuente maliciosa conocida, la protección se activa mediante uno de dos modos:
Activo ante DDoS es el modo de protección predeterminado y se recomienda para la mayoría de los casos de uso.
Este modo:
-
Activa la protección automáticamente al detectar condiciones de alta carga o posibles eventos DDoS
-
Limita la velocidad del tráfico proveniente de fuentes maliciosas conocidas solo durante condiciones de ataque
-
Minimiza el impacto en tráfico legítimo durante operaciones normales
-
Utiliza las métricas de estado y los datos de AWS WAF respuesta del equilibrador de carga de aplicación para determinar cuándo activar la protección
El modo Siempre encendido es un modo opcional que siempre está encendido una vez activado.
Este modo:
-
Mantiene protección continua contra orígenes maliciosos conocidos
-
Limita la velocidad del tráfico de orígenes maliciosos en tiempo real
-
Aplica protección tanto a conexiones directas como a solicitudes con IP maliciosas en encabezados XFF
-
Puede tener mayor impacto sobre tráfico legítimo, pero proporciona máxima seguridad
Habilitar la protección DDoS estándar en una ACL web existente
Puede habilitar la protección DDoS al crear una ACL web o al actualizar una ACL existente asociada con un equilibrador de carga de aplicación.
nota
Si tiene una ACL web existente asociada a un equilibrador de carga de aplicación, la protección Anti-DDoS se habilita automáticamente en modo Activar ante DDoS.
Cómo habilitar la protección Anti-DDoS en la consola de AWS WAF
Inicie sesión en la Consola de administración de AWS y abra la consola de AWS WAF en https://console.aws.amazon.com/wafv2/homev2
. -
Elija ACL web en el panel de navegación y, a continuación, abra cualquier ACL web que esté asociada a un equilibrador de carga de aplicación.
-
Elija Recursos asociados de AWS.
-
En Protección de DDoS al nivel de recursos, elija Editar.
-
Seleccione uno de los siguientes modos:
-
Activar en caso de DDoS (recomendado): la protección se activa solo durante condiciones de alta carga
-
Siempre activo: protección permanente contra orígenes maliciosos conocidos
-
-
Seleccione Save changes (Guardar cambios).
nota
Para obtener información sobre cómo crear una ACL web, consulte Creación de un paquete de protección (ACL web) en AWS WAF.
Optimización de costos de solicitudes de ACL web para su equilibrador de carga de aplicación
Debe asociar una ACL web con su equilibrador de carga de aplicación para habilitar la protección al nivel de recurso. Si su equilibrador de carga de aplicación está asociado con una ACL web sin configuración, no incurrirá en cargos por solicitudes de AWS WAF; sin embargo, AWS WAF no proporcionará solicitudes muestreadas ni generará métricas de CloudWatch para el equilibrador de carga de aplicación. Puede realizar las siguientes acciones para habilitar las características de observabilidad para el equilibrador de carga de aplicación:
-
Usar la acción
Blocko la acciónAllowcon encabezados de solicitud personalizados en elDefaultAction. Para obtener más información, consulte Inserción de encabezados de solicitud personalizados para acciones no bloqueantes. -
Agregar cualquier regla a la ACL web. Para obtener más información, consulte AWS WAFReglas de .
-
Habilitar un destino de registro. Para obtener más información, consulte Configuración del registro de un paquete de protección (ACL web).
-
Asociar la ACL web a una política de AWS Firewall Manager. Para obtener más información, consulte Creación de una política de AWS Firewall Manager para AWS WAF.
AWS WAF no proporcionará solicitudes muestreadas ni publicará métricas de CloudWatch sin estas configuraciones.
