Creación de un paquete de protección o ACL web en AWS WAF - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, y director AWS Shield de seguridad de red

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulta Trabajar con la experiencia de consola actualizada.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de un paquete de protección o ACL web en AWS WAF

Creating a protection pack

En esta sección se proporcionan los procedimientos para crear paquetes de protección a través de la AWS consola.

Para crear un paquete de protección nuevo, utilice el asistente de creación de paquetes de protección siguiendo el procedimiento de esta página.

Riesgo de tráfico de producción

Antes de implementar cambios en su paquete de protección para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte Probando y ajustando sus AWS WAF protecciones.

nota

El uso de más de 1500 unidades WCUs en un paquete de protección o ACL web supone costes superiores al precio del paquete de protección básico o ACL web. Para obtener más información, consulte Unidades de capacidad de ACL web (WCUs) en AWS WAF y Precios de AWS WAF.

  1. Inicie sesión en la AWS WAF consola AWS Management Console y ábrala desde https://console.aws.amazon.com/wafv2/homev2.

  2. En el panel de navegación, selecciona Recursos y protecciones.

  3. En la página Recursos y protecciones, selecciona Añadir paquete de protección.

  4. En Háblenos de su aplicación, en Categoría de aplicación, seleccione una o más categorías de aplicaciones.

  5. En Fuente de tráfico, elige el tipo de tráfico con el que interactúa la aplicación: API, web o ambas, API y web.

  6. En Recursos que proteger, selecciona Agregar recursos.

  7. Elija la categoría de AWS recurso que desee asociar a este paquete de protección, ya sean CloudFront distribuciones de Amazon o recursos regionales. Para obtener más información, consulte Asociar o disociar la protección a un recurso AWS.

  8. En Elegir reglas de protección, seleccione el nivel de protección que prefiera: Recomendado, Esencial o Usted lo crea.

  9. (Opcional) Si eliges Tú lo construyes, crea tus reglas.

    1. (Opcional) Si quieres añadir tu propia regla, en la página Añadir reglas, selecciona Regla personalizada y, a continuación, selecciona Siguiente.

      1. Elige el tipo de regla.

      2. En Action (Acción), seleccione la acción que desea que realice la regla cuando coincida con una solicitud web. Para obtener más información acerca de sus opciones, consulte Uso de acciones de reglas en AWS WAF y Uso de un paquete de protección o web ACLs con reglas y grupos de reglas en AWS WAF.

        Si utiliza la acción CAPTCHA o Challenge, ajuste la configuración del tiempo de inmunidad según sea necesario para la regla. Si no especifica la configuración, la regla la hereda del paquete de protección. Para modificar la configuración del tiempo de inmunidad del paquete de protección, edite el paquete de protección después de crearlo. Para obtener más información sobre los tiempos de inmunidad, consulte Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF.

        nota

        Se le cobrarán tarifas adicionales cuando utilice la acción de regla CAPTCHA o Challenge en una de sus reglas o como anulación de una acción de regla en un grupo de reglas. Para obtener más información, consulte AWS WAF Precios.

        Si quiere personalizar la solicitud o la respuesta, elija las opciones correspondientes y complete los detalles de la personalización. Para obtener más información, consulte Solicitudes web y respuestas personalizadas en AWS WAF.

        Si quiere que su regla añada etiquetas a las solicitudes web coincidentes, elija las opciones correspondientes y rellene los detalles de la etiqueta. Para obtener más información, consulte Etiquetado de solicitudes web en AWS WAF.

      3. En Name (Nombre), introduzca el nombre que desea utilizar para identificar esta regla. No utilice nombres que comiencen por AWS, Shield, PreFM o PostFM. Estas cadenas están reservadas o pueden causar confusión con los grupos de reglas que otros servicios administran para usted.

      4. Introduzca la definición de la regla en función de sus necesidades. Puede combinar reglas en instrucciones de reglas lógicas AND y OR. El asistente le guía a través de las opciones para cada regla según el contexto. Para obtener información sobre las opciones de reglas, consulte AWS WAF reglas.

      5. Seleccione Creación de regla.

        nota

        Si agrega más de una regla a un paquete de protección, AWS WAF evalúa las reglas en el orden en que aparecen en el paquete de protección. Para obtener más información, consulte Uso de un paquete de protección o web ACLs con reglas y grupos de reglas en AWS WAF.

    2. (Opcional) Si quieres añadir grupos de reglas gestionados, en la página Añadir reglas, elige AWS-grupo de reglas gestionado o grupo de reglas de AWS Marketplace y, a continuación, selecciona Siguiente. Realice lo siguiente para cada grupo de reglas administradas que desee agregar:

      1. En la página Añadir reglas, amplía el listado para ver los grupos de reglas AWS gestionados o para el AWS Marketplace vendedor.

      2. Elige la versión del grupo de reglas.

      3. Para personalizar la forma en que su paquete de protección utiliza el grupo de reglas, elija Editar. A continuación se muestra la configuración de personalización común:

        • Reduzca el alcance de las solicitudes web que el grupo de reglas inspecciona añadiendo una declaración de alcance reducido en la sección de inspección. Para obtener más información acerca de esta opción, consulte Uso de declaraciones de alcance reducido en AWS WAF.

        • Anule las acciones de las reglas para algunas o todas las reglas en las anulaciones de reglas. Si no define una acción de anulación para una regla, la evaluación utiliza la acción de la regla que está definida dentro del grupo de reglas. Para obtener más información acerca de esta opción, consulte Supervisar las acciones de un grupo de reglas en AWS WAF.

        • Algunos grupos de reglas administradas requieren que se proporcione una configuración adicional. Consulte la documentación de su proveedor de grupos de reglas administradas. Para obtener información específica sobre los grupos de reglas de reglas AWS administradas, consulte. AWS Reglas administradas para AWS WAF

      4. Elija Siguiente.

    3. (Opcional) Si desea agregar su propio grupo de reglas, en la página Agregar reglas, elija Grupo de reglas personalizado y, a continuación, elija Siguiente. Realice lo siguiente para cada grupo de reglas que desee agregar:

      1. En Nombre, introduzca el nombre que desee usar para la regla del grupo de reglas de este paquete de protección. No utilice nombres que comiencen por AWS, Shield, PreFM o PostFM. Estas cadenas están reservadas o pueden causar confusión con los grupos de reglas que otros servicios administran para usted. Consulte Reconocimiento de grupos de reglas proporcionados por otros servicios.

      2. Seleccione el grupo de reglas de la lista.

      3. (Opcional) En Configuración de reglas, elija una anulación de reglas. Puede sustituir las acciones de la regla por cualquier configuración de acción válida, del mismo modo que puede hacerlo con los grupos de reglas administradas.

      4. (Opcional) En Añadir etiquetas, selecciona Añadir etiqueta y, a continuación, introduce las etiquetas que quieras añadir a las solicitudes que coincidan con la regla. Las reglas que se evalúan más adelante en el mismo paquete de protección pueden hacer referencia a las etiquetas que agrega esta regla.

      5. Seleccione Creación de regla.

  10. En Nombre y descripción, introduzca un nombre para el paquete de protección. Si lo desea, introduzca una descripción.

    nota

    No puede cambiar el nombre después de crear el paquete de protección.

  11. (Opcional) En Personalizar el paquete de protección, configure las acciones de las reglas, las configuraciones y el destino del registro predeterminados:

    1. (Opcional) En Acciones de regla predeterminadas, elija la acción predeterminada para el paquete de protección. Esta es la acción que AWS WAF se realiza en una solicitud cuando las reglas del paquete de protección no realizan ninguna acción de forma explícita. Para obtener más información, consulte Solicitudes web y respuestas personalizadas en AWS WAF.

    2. (Opcional) En Configuración de reglas, personalice la configuración de las reglas del paquete de protección:

      • Límites de velocidad predeterminados: establezca límites de velocidad para bloquear los ataques de denegación de servicio (DoS) que puedan afectar a la disponibilidad, comprometer la seguridad o consumir recursos excesivos. Esta regla bloquea las solicitudes por dirección IP que superen la tasa permitida para su aplicación. Para obtener más información, consulte Uso de declaraciones de reglas basadas en tasas en AWS WAF

      • Direcciones IP: introduzca las direcciones IP que desee bloquear o permitir. Esta configuración anula otras reglas de protección.

      • Orígenes específicos de cada país: bloquea las solicitudes de países específicos o cuenta todo el tráfico.

    3. Para el destino del registro, configure el tipo de destino del registro y el lugar donde se almacenarán los registros. Para obtener más información, consulte AWS WAF destinos de registro.

  12. Revise la configuración y seleccione Añadir paquete de protección.

Creating a web ACL

En esta sección se proporcionan los procedimientos para crear sitios web ACLs a través de la AWS consola.

Para crear una nueva ACL web, utilice el asistente de creación de ACL web siguiendo el procedimiento de esta página.

Riesgo de tráfico de producción

Antes de implementar cambios en su ACL web para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte Probando y ajustando sus AWS WAF protecciones.

nota

El uso de más de 1500 unidades WCUs en un paquete de protección o ACL web supone costes superiores al precio del paquete de protección básico o ACL web. Para obtener más información, consulte Unidades de capacidad de ACL web (WCUs) en AWS WAF y Precios de AWS WAF.

Para crear una ACL web

  1. Inicie sesión en la AWS WAF consola AWS Management Console y ábrala desde https://console.aws.amazon.com/wafv2/homev2.

  2. Elija web ACLs en el panel de navegación y, a continuación, elija Crear ACL web.

  3. En Name (Nombre), escriba el nombre que desea utilizar para identificar esta ACL web.

    nota

    No se puede cambiar el nombre después de crear la ACL web.

  4. (Opcional) En Description - optional (Descripción: opcional), introduzca una descripción más larga para la ACL web si lo desea.

  5. En CloudWatch metric name (Nombre de métrica de CW), cambie el nombre predeterminado, si procede. Siga las instrucciones de la consola para ver los caracteres válidos. El nombre no puede contener caracteres especiales, espacios en blanco ni nombres métricos reservados AWS WAF, como «Todos» y «Default_Action».

    nota

    No puede cambiar el nombre de la CloudWatch métrica después de crear la ACL web.

  6. En Tipo de recurso, elija la categoría de AWS recurso que desee asociar a esta ACL web, ya sea CloudFront distribuciones de Amazon o recursos regionales. Para obtener más información, consulte Asociar o disociar la protección a un recurso AWS.

  7. En el caso de la región, si ha elegido un tipo de recurso regional, elija la región en la que desee AWS WAF almacenar la ACL web.

    Solo tiene que elegir esta opción para los tipos de recursos regionales. En el caso de CloudFront las distribuciones, la región está codificada como región EE. UU. Este (Virginia del Norte) yus-east-1, en el caso de las aplicaciones globales (CloudFront).

  8. (CloudFront, API Gateway, Amazon Cognito, App Runner y Verified Access) Para solicitudes web, límite de tamaño de inspección (opcional), si desea especificar un límite de tamaño de inspección corporal diferente, seleccione el límite. Inspeccionar tamaños de cuerpo superiores al valor predeterminado de 16 KB puede implicar costos adicionales. Para obtener más información acerca de esta opción, consulte Gestión de los límites de tamaño de inspección corporal para AWS WAF.

  9. (Opcional) Para AWS los recursos asociados: opcional, si desea especificar sus recursos ahora, seleccione Agregar AWS recursos. En el cuadro de diálogo, elija los recursos que desee asociar y, a continuación, elija Agregar. AWS WAF le devuelve a la página Describa la ACL web y AWS los recursos asociados.

    nota

    Si decide asociar un Application Load Balancer a su ACL web, se habilita la protección a nivel de recurso DDo S. Para obtener más información, consulte AWS WAF Prevención de denegación de servicio (DDoS) distribuida.

  10. Elija Siguiente.

  11. (Opcional) Si desea agregar grupos de reglas administradas, en la página Add rules and rule groups (Añadir reglas y grupos de reglas), seleccione Add rules (Añadir reglas) y, a continuación, haga clic en Add managed rule groups (Añadir grupos de reglas administradas). Realice lo siguiente para cada grupo de reglas administradas que desee agregar:

    1. En la página Añadir grupos de reglas gestionados, amplía la lista para ver los grupos de reglas AWS gestionados o el AWS Marketplace vendedor que elijas.

    2. En el grupo de reglas que desea agregar, en la columna Acción, active la opción Añadir a la ACL web.

      Para personalizar la forma en que su ACL web utiliza el grupo de reglas, seleccione Editar. A continuación se muestra la configuración de personalización común:

      • Anule las acciones de reglas para algunas o todas las reglas. Si no define una acción de anulación para una regla, la evaluación utiliza la acción de la regla que está definida dentro del grupo de reglas. Para obtener más información acerca de esta opción, consulte Supervisar las acciones de un grupo de reglas en AWS WAF.

      • Reduzca el alcance de las solicitudes web que inspecciona el grupo de reglas agregando una instrucción de restricción de acceso. Para obtener más información acerca de esta opción, consulte Uso de declaraciones de alcance reducido en AWS WAF.

      • Algunos grupos de reglas administradas requieren que se proporcione una configuración adicional. Consulte la documentación de su proveedor de grupos de reglas administradas. Para obtener información específica sobre los grupos de reglas de reglas AWS administradas, consultaAWS Reglas administradas para AWS WAF.

      Cuando haya terminado con la configuración, seleccione Guardar regla.

    Seleccione Add rules (Añadir reglas) para terminar de agregar reglas administradas y volver a la página Add rules and rule groups (Añadir reglas y grupos de reglas).

    nota

    Si agrega más de una regla a una ACL web, AWS WAF evalúa las reglas en el orden en que aparecen en la ACL web. Para obtener más información, consulte Uso de un paquete de protección o web ACLs con reglas y grupos de reglas en AWS WAF.

  12. (Opcional) Si desea agregar su propio grupo de reglas, en la página Add rules and rule groups (Añadir reglas y grupos de reglas), elija Add rules (Añadir reglas) y, a continuación, seleccione Add my own rules and rule groups (Añadir mis propias reglas y grupos de reglas). Realice lo siguiente para cada grupo de reglas que desee agregar:

    1. En la página Add my own rules and rule groups (Añadir mis propias reglas y grupos de reglas), elija Rule group (Grupo de reglas).

    2. En Nombre, introduzca el nombre que desee usar para la regla del grupo de reglas en esta ACL web. No utilice nombres que comiencen por AWS, Shield, PreFM o PostFM. Estas cadenas están reservadas o pueden causar confusión con los grupos de reglas que otros servicios administran para usted. Consulte Reconocimiento de grupos de reglas proporcionados por otros servicios.

    3. Seleccione el grupo de reglas de la lista.

      nota

      Si desea anular las acciones de la regla para un grupo de reglas propio, guárdelo primero en la ACL web y, a continuación, edite la ACL web y la declaración de referencia del grupo de reglas en la lista de reglas de la ACL web. Puede sustituir las acciones de la regla por cualquier configuración de acción válida, del mismo modo que puede hacerlo con los grupos de reglas administradas.

    4. Seleccione Agregar regla.

  13. (Opcional) Si desea agregar su propia regla, en la página Add rules and rule groups (Añadir reglas y grupos de reglas), elija Add rules (Añadir reglas), Add my own rules and rule groups (Añadir mis propias reglas y grupos de reglas), Rule builder (Generador, de reglas) y, a continuación, Rule visual editor (Editor visual de reglas).

    nota

    El Rule visual editor (Editor visual de reglas) de la consola admite un nivel de anidamiento. Por ejemplo, puede utilizar una sola instrucción lógica AND o OR y anidar otro nivel de instrucciones en ella, pero no puede anidar instrucciones lógicas dentro de instrucciones lógicas. Para administrar instrucciones de regla más complejas, utilice el Rule JSON editor (Editor de JSON de reglas). Para obtener información sobre todas las opciones de reglas, consulte AWS WAF reglas.

    Este procedimiento abarca el Rule visual editor (Editor visual de reglas).

    1. En Name (Nombre), introduzca el nombre que desea utilizar para identificar esta regla. No utilice nombres que comiencen por AWS, Shield, PreFM o PostFM. Estas cadenas están reservadas o pueden causar confusión con los grupos de reglas que otros servicios administran para usted.

    2. Introduzca la definición de la regla en función de sus necesidades. Puede combinar reglas en instrucciones de reglas lógicas AND y OR. El asistente le guía a través de las opciones para cada regla según el contexto. Para obtener información sobre las opciones de reglas, consulte AWS WAF reglas.

    3. En Action (Acción), seleccione la acción que desea que realice la regla cuando coincida con una solicitud web. Para obtener más información acerca de sus opciones, consulte Uso de acciones de reglas en AWS WAF y Uso de un paquete de protección o web ACLs con reglas y grupos de reglas en AWS WAF.

      Si utiliza la acción CAPTCHA o Challenge, ajuste la configuración del tiempo de inmunidad según sea necesario para la regla. Si no especifica la configuración, la regla la hereda de la ACL web. Para modificar la configuración del tiempo de inmunidad de la ACL web, edite la ACL web después de crearla. Para obtener más información sobre los tiempos de inmunidad, consulte Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF.

      nota

      Se le cobrarán tarifas adicionales cuando utilice la acción de regla CAPTCHA o Challenge en una de sus reglas o como anulación de una acción de regla en un grupo de reglas. Para obtener más información, consulte AWS WAF Precios.

      Si quiere personalizar la solicitud o la respuesta, elija las opciones correspondientes y complete los detalles de la personalización. Para obtener más información, consulte Solicitudes web y respuestas personalizadas en AWS WAF.

      Si quiere que su regla añada etiquetas a las solicitudes web coincidentes, elija las opciones correspondientes y rellene los detalles de la etiqueta. Para obtener más información, consulte Etiquetado de solicitudes web en AWS WAF.

    4. Seleccione Agregar regla.

  14. Elija la acción predeterminada para ACL web, cualquiera de Block o Allow. Esta es la acción que AWS WAF se lleva a cabo cuando las reglas de la ACL web no la permiten ni bloquean de forma explícita. Para obtener más información, consulte Configurar el paquete de protección o la acción predeterminada de la ACL web en AWS WAF.

    Si desea personalizar la acción predeterminada, elija las opciones correspondientes y rellene los detalles de su personalización. Para obtener más información, consulte Solicitudes web y respuestas personalizadas en AWS WAF.

  15. Puede definir una lista de dominios de token para permitir el intercambio de tokens entre aplicaciones protegidas. Los tokens los utilizan Challenge las acciones CAPTCHA y la integración de aplicaciones SDKs que se implementan cuando se utilizan los grupos de reglas de AWS Managed Rules para el control del AWS WAF fraude, la creación de cuentas, la prevención del fraude (ACFP), el control del AWS WAF fraude, la prevención del robo de cuentas (ATP) y el control de AWS WAF bots.

    No se admiten sufijos públicos. Por ejemplo, no puede usar gov.au o co.uk como dominio de token.

    De forma predeterminada, solo AWS WAF acepta los tokens del dominio del recurso protegido. Si agrega dominios simbólicos a esta lista, AWS WAF acepta los tokens para todos los dominios de la lista y para el dominio del recurso asociado. Para obtener más información, consulte AWS WAF configuración de un paquete de protección o una lista de dominios de token de ACL web.

  16. Elija Siguiente.

  17. En la página Definir la prioridad de las reglas, seleccione y mueva las reglas y los grupos de reglas AWS WAF al orden en que desee procesarlos. AWS WAF procesa las reglas empezando por la parte superior de la lista. Al guardar la ACL web, AWS WAF asigna una configuración de prioridad numérica a las reglas en el orden en el que las haya colocado en la lista. Para obtener más información, consulte Establecer la prioridad de las reglas.

  18. Elija Siguiente.

  19. En la página Configurar métricas, revise las opciones y aplique las actualizaciones que necesite. Puede combinar métricas de varias fuentes proporcionándoles el mismo nombre de CloudWatch métrica.

  20. Elija Siguiente.

  21. Revise las definiciones en la página Review and create web ACL (Revisar y crear ACL web). Si desea cambiar cualquier área, elija el área y seleccione Edit (Editar). Esto le devuelve a la página en el asistente de ACL web. Realice los cambios y, a continuación, haga clic en Next (Siguiente) para pasar las páginas hasta volver a la página Review and create web ACL (Revisar y crear ACL Web).

  22. Elija Create web ACL (Crear ACL web). Su nueva ACL web aparece en la ACLs página web.