Creación de un paquete de protección (ACL web) en AWS WAF - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Creación de un paquete de protección (ACL web) en AWS WAF

Using the new console

En esta sección, se proporcionan los procedimientos para crear paquetes de protección (web ACL) mediante la nueva consola de AWS.

Para crear un nuevo paquete de protección (web ACL), utilice el asistente de creación siguiendo el procedimiento indicado en esta página.

Riesgo de tráfico de producción

Antes de implementar cambios en su paquete de protección (ACL web) para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte Pruebas y ajustes de sus protecciones de AWS WAF.

nota

El uso de más de 1500 WCU en un paquete de protección (ACL web) conlleva costos superiores al precio del paquete de protección (ACL web) básico. Para obtener más información, consulte Unidades de capacidad de ACL web (WCU) en AWS WAF y Precios de AWS WAF.

  1. Inicie sesión en la nueva Consola de administración de AWS y abra la consola de AWS WAF en https://console.aws.amazon.com/wafv2-pro.

  2. En el panel de navegación, elija Recursos y paquetes de protección (ACL web).

  3. En la página Recursos y paquetes de protección (ACL web), elija Agregar paquete de protección (ACL web).

  4. En Cuéntenos acerca de su aplicación, en Categoría de aplicación, seleccione una o más categorías de aplicaciones.

  5. En Fuente de tráfico, elija el tipo de tráfico con el que interactúa la aplicación: API, web o ambas, API y web.

  6. En Recursos que proteger, seleccione Agregar recursos.

  7. Seleccione la categoría del recurso AWS que desea asociar con este paquete de protección (web ACL): distribuciones de Amazon CloudFront o recursos regionales. Para obtener más información, consulte Asociar o disociar la protección con un recurso de AWS.

  8. En Elegir las protecciones iniciales, seleccione el nivel de protección que prefiera: Recomendado, Esencial o Usted lo construye.

  9. (Opcional) Si eliges Usted lo construye, configure sus reglas.

    1. (Opcional) Si quiere agregar su propia regla, en la página Añadir reglas, seleccione Regla personalizada y, a continuación, Siguiente.

      1. Seleccione el tipo de regla.

      2. En Action (Acción), seleccione la acción que desea que realice la regla cuando coincida con una solicitud web. Para obtener más información acerca de sus opciones, consulte Utilización de acciones de reglas en AWS WAF y Uso de los paquetes de protección (ACL web) con reglas y grupos de reglas en AWS WAF.

        Si utiliza la acción CAPTCHA o Challenge, ajuste la configuración del tiempo de inmunidad según sea necesario para la regla. Si no especifica el valor, la regla hereda el del paquete de protección (web ACL). Para modificar el tiempo de inmunidad del paquete de protección (web ACL), edite el paquete después de crearlo. Para obtener más información sobre los tiempos de inmunidad, consulte Configuración del vencimiento de la marca de tiempo y de los tiempos de inmunidad de los tóquenes en AWS WAF.

        nota

        Se le cobrarán tarifas adicionales cuando utilice la acción de regla CAPTCHA o Challenge en una de sus reglas o como anulación de una acción de regla en un grupo de reglas. Para más información, consulte Precios de AWS WAF.

        Si quiere personalizar la solicitud o la respuesta, elija las opciones correspondientes y complete los detalles de la personalización. Para obtener más información, consulte Solicitudes web y respuestas personalizadas en AWS WAF.

        Si quiere que su regla añada etiquetas a las solicitudes web coincidentes, elija las opciones correspondientes y rellene los detalles de la etiqueta. Para obtener más información, consulte Etiquetado de solicitudes web en AWS WAF.

      3. En Name (Nombre), introduzca el nombre que desea utilizar para identificar esta regla. No utilice nombres que comiencen por AWS, Shield, PreFM o PostFM. Estas cadenas están reservadas o pueden causar confusión con los grupos de reglas que otros servicios administran para usted.

      4. Introduzca la definición de la regla en función de sus necesidades. Puede combinar reglas en instrucciones de reglas lógicas AND y OR. El asistente le guía a través de las opciones para cada regla según el contexto. Para obtener información sobre las opciones de reglas, consulte AWS WAFReglas de .

      5. Seleccione Creación de regla.

        nota

        Si agrega más de una regla a un paquete de protección (ACL web), AWS WAF evalúa las reglas en el orden en que aparecen listadas en ese paquete de protección (ACL web). Para obtener más información, consulte Uso de los paquetes de protección (ACL web) con reglas y grupos de reglas en AWS WAF.

    2. (Opcional) Si desea agregar grupos de reglas administrados, en la página Agregar reglas, seleccione Grupo de reglas administrado por AWS o Grupo de reglas de MarketplaceAWS y, luego, seleccione Siguiente. Realice lo siguiente para cada grupo de reglas administradas que desee agregar:

      1. En la página Agregar grupos de reglas administradas, amplíe la descripción de los AWSgrupos de reglas administradas de AWS Marketplace.

      2. Seleccione la versión del grupo de reglas.

      3. Para personalizar cómo su paquete de protección utiliza el grupo de reglas, seleccione Editar. A continuación se muestra la configuración de personalización común:

        • Reduzca el alcance de las solicitudes mediante una instrucción de reducción de alcance en la sección Inspección. Para obtener más información acerca de esta opción, consulte Uso de instrucciones de restricción de acceso en AWS WAF.

        • Sobrescriba acciones de reglas específicas en Anulación de acciones de reglas. Si no define una acción de anulación para una regla, la evaluación utiliza la acción de la regla que está definida dentro del grupo de reglas. Para obtener más información acerca de esta opción, consulte Anulación de acciones de grupos de reglas en AWS WAF.

        • Algunos grupos de reglas administradas requieren que se proporcione una configuración adicional. Consulte la documentación de su proveedor de grupos de reglas administradas. Para obtener información específica de los grupos de reglas de reglas administradas de AWS, consulte Reglas administradas de AWS para AWS WAF.

      4. Elija Siguiente.

    3. (Opcional) Si quiere agregar su propio grupo de reglas, en la págin Añadir reglas, seleccione Regla personalizada y, a continuación, Siguiente. Realice lo siguiente para cada grupo de reglas que desee agregar:

      1. En Nombre, ingrese el nombre que desea usar para el grupo de reglas dentro de este paquete de protección (web ACL). No utilice nombres que comiencen por AWS, Shield, PreFM o PostFM. Estas cadenas están reservadas o pueden causar confusión con los grupos de reglas que otros servicios administran para usted. Consulte Reconocimiento de grupos de reglas proporcionados por otros servicios.

      2. Seleccione el grupo de reglas de la lista.

      3. (Opcional) En Configuración de reglas, elija una Anulación de regla. Puede sustituir las acciones de la regla por cualquier configuración de acción válida, del mismo modo que puede hacerlo con los grupos de reglas administradas.

      4. (Opcional) En Añadir etiquetas, seleccione Añadir etiqueta y, a continuación, ingrese las etiquetas que desee añadir a las solicitudes que coincidan con la regla. Las reglas que se evalúen posteriormente en el mismo paquete de protección (web ACL) pueden hacer referencia a las etiquetas que agrega esta regla.

      5. Seleccione Creación de regla.

  10. En Nombre y descripción, ingrese un nombre para su paquete de protección (web ACL). Si lo desea, introduzca una descripción.

    nota

    No podrá cambiar el nombre después de crear el paquete de protección (web ACL).

  11. (Opcional) En Personalizar el paquete de protección (ACL web), configure las acciones predeterminadas de las reglas, las configuraciones y el destino de registro:

    1. (Opcional) En Acciones predeterminadas de las reglas, seleccione la acción predeterminada para el paquete de protección (web ACL). Esta es la acción que AWS WAF aplica a una solicitud cuando las reglas del paquete de protección (web ACL) no aplican explícitamente una acción. Para obtener más información, consulte Solicitudes web y respuestas personalizadas en AWS WAF.

    2. (Opcional) En Configuración de reglas, personalice la configuración para las reglas del paquete de protección (web ACL):

      • Límites de velocidad predeterminados: establezca límites de velocidad para bloquear ataques de denegación de servicio (DoS) que puedan afectar la disponibilidad, comprometer la seguridad o consumir recursos en exceso. Esta regla por velocidad bloquea las solicitudes por dirección IP que superen la tasa permitida para su aplicación. Para obtener más información, consulte Uso de instrucciones de regla basada en tasas en AWS WAF

      • Direcciones IP: ingrese direcciones IP para bloquear o permitir. Esta configuración tiene prioridad sobre otras reglas.

      • Orígenes específicos de cada país: bloquee solicitudes de países específicos o contabilice todo el tráfico.

    3. Para el destino del registro, configure el tipo de destino de registro y el lugar donde almacenar los registros. Para obtener más información, consulte Destinos de registro de AWS WAF.

  12. Revise su configuración y elija Agregar paquete de protección (ACL web).

Using the standard console

En esta sección se proporcionan los procedimientos para crear las ACL web a través de la consola de AWS.

Para crear una nueva ACL web, utilice el asistente de creación de ACL web siguiendo el procedimiento de esta página.

Riesgo de tráfico de producción

Antes de implementar cambios en su ACL web para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte Pruebas y ajustes de sus protecciones de AWS WAF.

nota

El uso de más de 1500 WCU en un paquete de protección (web ACL) genera costos adicionales más allá del precio básico del paquete de protección (web ACL). Para obtener más información, consulte Unidades de capacidad de ACL web (WCU) en AWS WAF y Precios de AWS WAF.

Para crear una ACL web

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS WAF en https://console.aws.amazon.com/wafv2/homev2.

  2. Elija ACL web en el panel de navegación y, a continuación, elija Crear ACL web.

  3. En Name (Nombre), escriba el nombre que desea utilizar para identificar esta ACL web.

    nota

    No se puede cambiar el nombre después de crear la ACL web.

  4. (Opcional) En Description - optional (Descripción: opcional), introduzca una descripción más larga para la ACL web si lo desea.

  5. En Nombre de métrica de CloudWatch, cambie el nombre predeterminado si procede. Siga las instrucciones de la consola para ver los caracteres válidos. El nombre no puede contener caracteres especiales, espacios en blanco ni se pueden utilizar nombres de métricas reservados para AWS WAF, como "All" y "Default_Action".

    nota

    No se puede cambiar el nombre de las métricas de CloudWatch después de crear la ACL web.

  6. En Tipo de recurso, elija la categoría de recurso de AWS que desee asociar a esta ACL web, ya sean distribuciones de Amazon CloudFront o recursos regionales. Para obtener más información, consulte Asociar o disociar la protección con un recurso de AWS.

  7. En Región, si ha elegido un tipo de recurso regional, elija la región donde desea que AWS WAF almacene la ACL web.

    Solo tiene que elegir esta opción para los tipos de recursos regionales. Para las distribuciones de CloudFront, la región tiene una codificación rígida para la región Este de EE. UU. (Norte de Virginia), us-east-1, para aplicaciones globales (CloudFront).

  8. (CloudFront, API Gateway, Amazon Cognito, App Runner y Acceso verificado) Para el Límite de tamaño de inspección de solicitudes web (opcional), si desea especificar un límite de tamaño de inspección del cuerpo diferente, seleccione el límite. Inspeccionar tamaños de cuerpo superiores al valor predeterminado de 16 KB puede implicar costos adicionales. Para obtener más información acerca de esta opción, consulte Consideraciones para gestionar la inspección corporal en AWS WAF.

  9. (Opcional) Para Recursos asociados de AWS (opcional), si desea especificar sus recursos ahora, elija Agregar recursos de AWS. En el cuadro de diálogo, elija los recursos que desea asociar y, a continuación, elija Agregar. AWS WAF le devuelve a la página Describir la ACL web y los recursos asociados de AWS.

    nota

    Cuando elige asociar un Application Load Balancer con su web ACL, se habilita la protección DDoS al nivel de recursos. Para obtener más información, consulte Prevención de denegación de servicio distribuida (DDoS) de AWS WAF.

  10. Elija Siguiente.

  11. (Opcional) Si desea agregar grupos de reglas administradas, en la página Add rules and rule groups (Añadir reglas y grupos de reglas), seleccione Add rules (Añadir reglas) y, a continuación, haga clic en Add managed rule groups (Añadir grupos de reglas administradas). Realice lo siguiente para cada grupo de reglas administradas que desee agregar:

    1. En la página Add managed rule groups (Añadir grupos de reglas administradas), amplíe la descripción de los grupos de reglas administradas por AWS o del vendedor de AWS Marketplace que elija.

    2. En el grupo de reglas que desea agregar, en la columna Acción, active la opción Añadir a la ACL web.

      Para personalizar la forma en que su ACL web utiliza el grupo de reglas, seleccione Editar. A continuación se muestra la configuración de personalización común:

      • Anule las acciones de reglas para algunas o todas las reglas. Si no define una acción de anulación para una regla, la evaluación utiliza la acción de la regla que está definida dentro del grupo de reglas. Para obtener más información acerca de esta opción, consulte Anulación de acciones de grupos de reglas en AWS WAF.

      • Reduzca el alcance de las solicitudes web que inspecciona el grupo de reglas agregando una instrucción de restricción de acceso. Para obtener más información acerca de esta opción, consulte Uso de instrucciones de restricción de acceso en AWS WAF.

      • Algunos grupos de reglas administradas requieren que se proporcione una configuración adicional. Consulte la documentación de su proveedor de grupos de reglas administradas. Para obtener información específica de los grupos de reglas de reglas administradas de AWS, consulte Reglas administradas de AWS para AWS WAF.

      Cuando haya terminado con la configuración, seleccione Guardar regla.

    Seleccione Add rules (Añadir reglas) para terminar de agregar reglas administradas y volver a la página Add rules and rule groups (Añadir reglas y grupos de reglas).

    nota

    Si añade más de una regla a una ACL web, AWS WAF evalúe las reglas en el orden en el que se muestran en la ACL web. Para obtener más información, consulte Uso de los paquetes de protección (ACL web) con reglas y grupos de reglas en AWS WAF.

  12. (Opcional) Si desea agregar su propio grupo de reglas, en la página Add rules and rule groups (Añadir reglas y grupos de reglas), elija Add rules (Añadir reglas) y, a continuación, seleccione Add my own rules and rule groups (Añadir mis propias reglas y grupos de reglas). Realice lo siguiente para cada grupo de reglas que desee agregar:

    1. En la página Add my own rules and rule groups (Añadir mis propias reglas y grupos de reglas), elija Rule group (Grupo de reglas).

    2. En Nombre, introduzca el nombre que desee usar para la regla del grupo de reglas en esta ACL web. No utilice nombres que comiencen por AWS, Shield, PreFM o PostFM. Estas cadenas están reservadas o pueden causar confusión con los grupos de reglas que otros servicios administran para usted. Consulte Reconocimiento de grupos de reglas proporcionados por otros servicios.

    3. Seleccione el grupo de reglas de la lista.

      nota

      Si desea anular las acciones de la regla para un grupo de reglas propio, guárdelo primero en la ACL web y, a continuación, edite la ACL web y la declaración de referencia del grupo de reglas en la lista de reglas de la ACL web. Puede sustituir las acciones de la regla por cualquier configuración de acción válida, del mismo modo que puede hacerlo con los grupos de reglas administradas.

    4. Seleccione Agregar regla.

  13. (Opcional) Si desea agregar su propia regla, en la página Add rules and rule groups (Añadir reglas y grupos de reglas), elija Add rules (Añadir reglas), Add my own rules and rule groups (Añadir mis propias reglas y grupos de reglas), Rule builder (Generador, de reglas) y, a continuación, Rule visual editor (Editor visual de reglas).

    nota

    El Rule visual editor (Editor visual de reglas) de la consola admite un nivel de anidamiento. Por ejemplo, puede utilizar una sola instrucción lógica AND o OR y anidar otro nivel de instrucciones en ella, pero no puede anidar instrucciones lógicas dentro de instrucciones lógicas. Para administrar instrucciones de regla más complejas, utilice el Rule JSON editor (Editor de JSON de reglas). Para obtener información sobre todas las opciones de reglas, consulte AWS WAFReglas de .

    Este procedimiento abarca el Rule visual editor (Editor visual de reglas).

    1. En Name (Nombre), introduzca el nombre que desea utilizar para identificar esta regla. No utilice nombres que comiencen por AWS, Shield, PreFM o PostFM. Estas cadenas están reservadas o pueden causar confusión con los grupos de reglas que otros servicios administran para usted.

    2. Introduzca la definición de la regla en función de sus necesidades. Puede combinar reglas en instrucciones de reglas lógicas AND y OR. El asistente le guía a través de las opciones para cada regla según el contexto. Para obtener información sobre las opciones de reglas, consulte AWS WAFReglas de .

    3. En Action (Acción), seleccione la acción que desea que realice la regla cuando coincida con una solicitud web. Para obtener más información acerca de sus opciones, consulte Utilización de acciones de reglas en AWS WAF y Uso de los paquetes de protección (ACL web) con reglas y grupos de reglas en AWS WAF.

      Si utiliza la acción CAPTCHA o Challenge, ajuste la configuración del tiempo de inmunidad según sea necesario para la regla. Si no especifica la configuración, la regla la hereda de la ACL web. Para modificar la configuración del tiempo de inmunidad de la ACL web, edite la ACL web después de crearla. Para obtener más información sobre los tiempos de inmunidad, consulte Configuración del vencimiento de la marca de tiempo y de los tiempos de inmunidad de los tóquenes en AWS WAF.

      nota

      Se le cobrarán tarifas adicionales cuando utilice la acción de regla CAPTCHA o Challenge en una de sus reglas o como anulación de una acción de regla en un grupo de reglas. Para más información, consulte Precios de AWS WAF.

      Si quiere personalizar la solicitud o la respuesta, elija las opciones correspondientes y complete los detalles de la personalización. Para obtener más información, consulte Solicitudes web y respuestas personalizadas en AWS WAF.

      Si quiere que su regla añada etiquetas a las solicitudes web coincidentes, elija las opciones correspondientes y rellene los detalles de la etiqueta. Para obtener más información, consulte Etiquetado de solicitudes web en AWS WAF.

    4. Seleccione Agregar regla.

  14. Elija la acción predeterminada para ACL web, cualquiera de Block o Allow. Esta es la acción que AWS WAF lleva a cabo cuando las reglas de la ACL web no la permiten ni bloquean de forma explícita. Para obtener más información, consulte Cómo establecer la acción predeterminada del paquete de protección (ACL web) en AWS WAF.

    Si desea personalizar la acción predeterminada, elija las opciones correspondientes y rellene los detalles de su personalización. Para obtener más información, consulte Solicitudes web y respuestas personalizadas en AWS WAF.

  15. Puede definir una lista de dominios de token para permitir el intercambio de tokens entre aplicaciones protegidas. Los tokens los utilizan las acciones de CAPTCHA y Challenge, y los SDK de integración de aplicaciones que se implementan cuando se utilizan los grupos de reglas administradas de AWS de prevención contra fraude en la creación de cuentas (ACFP) de control de fraudes de AWS WAF, prevención contra apropiación de cuentas (ATP) de control de fraudes de AWS WAF y control de bots de AWS WAF.

    No se admiten sufijos públicos. Por ejemplo, no puede usar gov.au o co.uk como dominio de token.

    De forma predeterminada, AWS WAF solo acepta tokens para el dominio del recurso protegido. Si agrega dominios de token en esta lista, AWS WAF acepta los tokens de todos los dominios de la lista y del dominio del recurso asociado. Para obtener más información, consulte Configuración de la lista de dominios de tokens del paquete de protección (ACL web) de AWS WAF.

  16. Elija Siguiente.

  17. En la página Establecer prioridad de regla, seleccione y coloque las reglas y los grupos de reglas según el orden que quiere que AWS WAF siga para procesarlos. AWS WAF procesa las reglas empezando por la parte superior de la lista. Al guardar la ACL web, AWS WAF asigna una configuración de prioridad numérica a las reglas en el orden en el que las haya colocado en la lista. Para obtener más información, consulte Cómo establecer la prioridad de las reglas.

  18. Elija Siguiente.

  19. En la página Configurar métricas, revise las opciones y aplique las actualizaciones que necesite. Puede combinar métricas de varios orígenes proporcionando el mismo nombre de métrica de CloudWatch.

  20. Elija Siguiente.

  21. Revise las definiciones en la página Review and create web ACL (Revisar y crear ACL web). Si desea cambiar cualquier área, elija el área y seleccione Edit (Editar). Esto le devuelve a la página en el asistente de ACL web. Realice los cambios y, a continuación, haga clic en Next (Siguiente) para pasar las páginas hasta volver a la página Review and create web ACL (Revisar y crear ACL Web).

  22. Elija Create web ACL (Crear ACL web). La nueva ACL web aparece en la página ACL web .