Configuración de la protección en AWS WAF - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, y director AWS Shield de seguridad de red

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulta Trabajar con la experiencia de consola actualizada.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de la protección en AWS WAF

En esta página se explica qué son los paquetes de protección y las listas de control de acceso a la web (web ACLs) y cómo funcionan.

Un paquete de protección o ACL web realiza básicamente la misma función. Ambos le proporcionan un control detallado de todas las solicitudes web HTTP (S) a las que responde su recurso protegido. Puede proteger los recursos de Amazon CloudFront, Amazon API Gateway, Application Load Balancer AWS AppSync, Amazon Cognito AWS y AWS App Runner AWS Amplify Verified Access. Los paquetes de protección se utilizan en la nueva experiencia de consola y la web ACLs en la consola estándar. Para obtener más información sobre la nueva experiencia de consola, consulteTrabajar con la experiencia de consola actualizada.

Puede utilizar criterios como los siguientes para permitir o bloquear solicitudes:

  • Origen de la dirección IP de la solicitud

  • País de origen de la solicitud

  • Coincidencia de cadena o expresión regular (regex) en una parte de la solicitud

  • Tamaño de una parte determinada de la solicitud

  • Detección de código SQL o secuencias de comandos malintencionados

También puede probar cualquier combinación de estas condiciones. Puede bloquear o contar solicitudes web que no solo cumplan las condiciones especificadas, sino que también superen un número determinado de solicitudes en un solo minuto. Puede combinar condiciones mediante el uso de operadores lógicos. También puede ejecutar rompecabezas de CAPTCHA y desafíos silenciosos a las sesiones de los clientes para las solicitudes.

En las declaraciones de AWS WAF reglas, indicas tus criterios de coincidencia y las medidas que debes tomar en caso de que se produzcan coincidencias. Puede definir las declaraciones de reglas directamente en su paquete de protección o ACL web y en grupos de reglas reutilizables que utilice en su paquete de protección o ACL web. Para obtener una lista completa de opciones, consulte Uso de enunciados de reglas en AWS WAF y Uso de acciones de reglas en AWS WAF.

Al crear un paquete de protección o una ACL web, debe especificar los tipos de recursos con los que desea utilizarla. Para obtener información, consulte Creación de un paquete de protección o ACL web en AWS WAF. Tras definir un paquete de protección o una ACL web, puede asociarla a sus recursos para empezar a protegerlos. Para obtener más información, consulte Asociar o disociar la protección a un recurso AWS.

nota

En algunas ocasiones, AWS WAF puede producirse un error interno que retrase la respuesta a AWS los recursos asociados para decidir si se debe permitir o bloquear una solicitud. En esas ocasiones, CloudFront normalmente permite la solicitud o entrega el contenido, mientras que los servicios regionales suelen denegar la solicitud y no entregar el contenido.

Riesgo de tráfico de producción

Antes de implementar cambios en su paquete de protección o ACL web para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte Probando y ajustando sus AWS WAF protecciones.

nota

El uso de más de 1500 unidades WCUs en un paquete de protección o ACL web supone costes superiores al precio del paquete de protección básico o ACL web. Para obtener más información, consulte Unidades de capacidad de ACL web (WCUs) en AWS WAF y Precios de AWS WAF.

Incoherencias temporales durante las actualizaciones

Al crear o cambiar un paquete de protección, una ACL web u otros AWS WAF recursos, los cambios tardan un poco en propagarse a todas las áreas donde se almacenan los recursos. El tiempo de propagación puede oscilar entre unos segundos y varios minutos.

A continuación, se proporcionan ejemplos de incoherencias temporales que podría notar durante la propagación de los cambios:

  • Después de crear un paquete de protección o una ACL web, si intenta asociarlo a un recurso, es posible que se produzca una excepción que indique que el paquete de protección o la ACL web no están disponibles.

  • Después de agregar un grupo de reglas a un paquete de protección o ACL web, las nuevas reglas del grupo de reglas pueden estar en vigor en un área en la que se usa el paquete de protección o ACL web y no en otra.

  • Tras cambiar la configuración de una acción de regla, es posible que vea la acción anterior en algunos lugares y la acción nueva en otros.

  • Después de agregar una dirección IP a un conjunto de IP que está en uso dentro de una regla de bloqueo, es posible que la nueva dirección se bloquee en un área, pero que se permita en otra.