Cómo funciona AWS WAF Classic con las características de Amazon CloudFront - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield
Uso de AWS WAF Classic con páginas de error personalizadas de CloudFrontUso de AWS WAF Classic con CloudFront para aplicaciones que se ejecutan en su propio servidor HTTPElegir los métodos HTTP a los que CloudFront responde

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Cómo funciona AWS WAF Classic con las características de Amazon CloudFront

aviso

AWS WAF Classic está pasando por un proceso planificado de final de vida útil. Consulte el panel de control de AWS Health para ver los hitos y las fechas específicos de su región.

nota

Esta es la documentación de AWS WAF Classic. Solo debe usar esta versión si creó recursos de AWS WAF, como reglas y ACL web, en AWS WAF antes de noviembre de 2019, y aún no los ha migrado a la versión más reciente. Para migrar las ACL web, consulte Migración de los recursos de AWS WAF a AWS WAF.

Para obtener la última versión de AWS WAF, consulte AWS WAF.

Cuando se crea una ACL web, puede especificar una o más distribuciones de AWS WAF que desea que AWS WAF Classic inspeccione. Classic empieza a permitir, bloquear o contar solicitudes web para las distribuciones en función de las condiciones que se identifique en la ACL web. CloudFront proporciona algunas características que mejoran la funcionalidad de AWS WAF Classic. Este capítulo describe algunas formas de configurar CloudFront para realizar que CloudFront y AWS WAF Classic funcionen mejor unidos.

Uso de AWS WAF Classic con páginas de error personalizadas de CloudFront

Cuando AWS WAF Classic bloquea una solicitud web basada en las condiciones que especifique, devuelve el código de estado HTTP 403 (Prohibido) a CloudFront. A continuación, CloudFront devuelve ese código de estado al visor. El visor muestra un breve mensaje predeterminado con formato elemental similar a este:

Forbidden: You don't have permission to access /myfilename.html on this server.

Si prefiere mostrar un mensaje de error personalizado, utilizando el mismo formato que el resto de su sitio web, puede configurar CloudFront para devolver al visor un objeto (por ejemplo, un archivo HTML) que contenga el mensaje de error personalizado.

nota

CloudFront no distingue entre un código de estado HTTP 403 devuelto por su origen y uno devuelto por AWS WAF Classic cuando se bloquea una solicitud. Esto significa que no puede devolver diferentes páginas de error personalizadas en función de las diferentes causas de un código de estado HTTP 403.

Para obtener más información sobre las páginas de error personalizadas de CloudFront, consulte el tema sobre la personalización de respuestas de error en la Guía para desarrolladores de Amazon CloudFront.

Uso de AWS WAF Classic con CloudFront para aplicaciones que se ejecutan en su propio servidor HTTP

Si utiliza AWS WAF Classic con CloudFront, puede proteger sus aplicaciones que se ejecutan en cualquier servidor web HTTP, ya sea un servidor web que se ejecuta en Amazon Elastic Compute Cloud (Amazon EC2) o un servidor web que administra de forma privada. También puede configurar CloudFront para que exija HTTPS entre CloudFront y su propio servidor web, así como entre visores y CloudFront.

Exigir HTTPS entre CloudFront y su propio servidor web

Para exigir HTTPS entre CloudFront y su propio servidor web, puede utilizar la característica de origen personalizado de CloudFront y configurar la política de protocolo de origen y la configuración de nombre de dominio de origen para orígenes específicos. En su configuración de CloudFront puede especificar el nombre de DNS del servidor junto con el puerto y el protocolo que desea que CloudFront utilice al recuperar objetos del origen. También debe asegurarse de que el certificado SSL/TLS del servidor de origen personalizado coincide con el nombre de dominio de origen que ha configurado. Cuando utiliza su propio servidor web HTTP fuera de AWS, debe utilizar un certificado firmado por una entidad de certificación (CA) externa de confianza, como Comodo, DigiCert o Symantec. Para obtener más información acerca de cómo exigir HTTPS para la comunicación entre CloudFront y su propio servidor web, consulte el tema Exigir HTTPS para la comunicación entre CloudFront y su origen personalizado en la Guía para desarrolladores de Amazon CloudFront.

Exigir HTTPS entre un visor y CloudFront

Para exigir HTTPS entre visores y CloudFront, puede cambiar la política de protocolo de visor para uno o varios comportamientos de la caché en la distribución de CloudFront. Para obtener más información acerca del uso de HTTPS entre visores y CloudFront, consulte el tema Exigir HTTPS para la comunicación entre visores y CloudFront en la Guía para desarrolladores de Amazon CloudFront. También puede traer su propio certificado SSL para que los visores puedan conectarse a su distribución de CloudFront a través de HTTPS utilizando su propio nombre de dominio, por ejemplo https://www.mysite.com. Para obtener más información, consulte el tema Configurar nombres de dominio alternativos y HTTPS en la Guía para desarrolladores de Amazon CloudFront.

Elegir los métodos HTTP a los que CloudFront responde

Al crear una distribución web de Amazon CloudFront, puede seleccionar los métodos HTTP que desea que CloudFront procese y reenvíe a su origen. Puede elegir entre las siguientes opciones:

  • GET, HEAD: puede usar CloudFront solo para obtener los objetos desde su origen o para obtener encabezados de objeto.

  • GET, HEAD, OPTIONS: puede utilizar CloudFront solo para obtener objetos del origen, obtener encabezados de objeto o recuperar una lista de las opciones admitidas por su servidor de origen.

  • GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE: puede utilizar CloudFront para obtener, agregar, actualizar y eliminar objetos, así como para obtener encabezados de objeto. Además, puede realizar otras operaciones de POST como enviar datos desde un formulario web.

También puede utilizar las condiciones de coincidencia de cadenas de AWS WAF Classic para permitir o bloquear solicitudes basadas en el método HTTP, como se describe en Trabajar con condiciones de coincidencia de cadena. Si desea utilizar una combinación de métodos admitidos por CloudFront, como GET y HEAD, no es necesario configurar AWS WAF Classic para bloquear las solicitudes que utilizan los demás métodos. Si desea permitir una combinación de métodos que CloudFront no admite, como GET, HEAD, y POST, puede configurar CloudFront para responder a todos los métodos y, a continuación, utilizar AWS WAF Classic para bloquear solicitudes que utilicen otros métodos.

Para obtener más información acerca de la elección de los métodos a los que responde CloudFront, consulte Métodos HTTP permitidos en el tema Valores que especifica al crear o actualizar una distribución web en la Guía para desarrolladores de Amazon CloudFront.