Creación de una ACL web

Para crear una ACL web

1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS WAF en https://console.aws.amazon.com/wafv2/.

   Si ve Cambiar a AWS WAF Classic en el panel de navegación, selecciónelo.

2. Si es la primera vez que utiliza AWS WAF Classic, elija Ir a AWS WAF Classic y, a continuación, Configurar ACL web. Si ya ha utilizado AWS WAF Classic antes, seleccione ACL web en el panel de navegación y, a continuación, elija Crear ACL web.

3. En Nombre de ACL web, escriba un nombre.

   nota

   No se puede cambiar el nombre después de crear la ACL web.

4. En Nombre de métrica de CloudWatch, cambie el nombre predeterminado si procede. El nombre solo puede contener caracteres alfanuméricos (A-Z, a-z, 0-9), con una longitud máxima de 128 y una longitud mínima de 1. No puede contener espacios en blanco ni se pueden utilizar nombres de métricas reservados para AWS WAF Classic, como "All" y "Default_Action".

   nota

   No se puede cambiar el nombre después de crear la ACL web.

5. En Region (Región), seleccione una región.

6. En AWS resource, seleccione el recurso que desea asociar a esta ACL web y, a continuación, elija Next.

7. Si ya ha creado las condiciones que desea que utilice AWS WAF Classic para inspeccionar sus solicitudes web, elija Siguiente y, a continuación, vaya al siguiente paso.

   Si todavía no ha creado las condiciones, hágalo ahora. Para obtener más información, consulte los temas siguientes:

   • Trabajar con condiciones de coincidencia de scripting entre sitios

   • Trabajar con condiciones de coincidencia de IP

   • Trabajar con condiciones de coincidencia geográfica

   • Trabajar con condiciones de restricción de tamaño

   • Trabajar con condiciones de coincidencia de inyección de código SQL

   • Trabajar con condiciones de coincidencia de cadena

   • Trabajar con condiciones de coincidencia de regex

8. Si ya ha creado las reglas o los grupos de reglas (o se ha suscrito a un grupo de reglas de AWS Marketplace) que desea agregar, agregue las reglas a la ACL web:

   1. En la lista Rules, elija una regla.

   2. Elija Add rule to web ACL (Añadir regla a ACL web).

   3. Repita los pasos a y b hasta que haya añadido todas las reglas que desea añadir a esta ACL web.

   4. Vaya al paso 10.

9. Si todavía no ha creado reglas, puede añadirlas ahora:

   1. Elija Create rule (Crear regla).

   2. Escriba los siguientes valores:

      Nombre

      Escriba un nombre.

      Nombre de métrica de CloudWatch

      Escriba un nombre para la métrica de CloudWatch con la que AWS WAF Classic va a crear y asociar a la regla. El nombre solo puede contener caracteres alfanuméricos (A-Z, a-z, 0-9), con una longitud máxima de 128 y una longitud mínima de 1. No puede contener espacios en blanco ni se pueden utilizar nombres de métricas reservados para AWS WAF Classic, como "All" y "Default_Action".

      nota

      Después de crear la regla, no se puede cambiar el nombre de las métricas.

   3. Para añadir una condición a la regla, especifique los siguientes valores:

      Cuando una solicitud incluye/excluye

      Si quiere que AWS WAF Classic permita o bloquee solicitudes en función de los filtros de una condición, como, por ejemplo, solicitudes web que se originan en el mismo rango de direcciones IP 192.0.2.0/24, elija incluye.

      Si quiere que AWS WAF Classic permita o bloquee solicitudes en función de lo que queda fuera de los filtros de una condición, elija excluye. Por ejemplo, si una condición de coincidencia de IP incluye el rango de direcciones IP 192.0.2.0/24 y quiere que AWS WAF Classic permita o bloquee solicitudes que no procedan de dichas direcciones IP, elija excluye.

      coincide/se origina en

      Elija el tipo de condición que desea añadir a la regla:

      • Condiciones de coincidencia de scripting entre sitios: elija hacer coincidir al menos uno de los filtros en la condición de coincidencia de scripts entre sitios

      • Condiciones de coincidencia de IP: elija originar desde una dirección IP en

      • Condiciones de coincidencia geográfica: elija originar desde una ubicación geográfica en

      • Condiciones de restricción de tamaño: elija coincidir con al menos uno de los filtros en la condición de restricción de tamaño

      • Condiciones de coincidencia de inyección de código SQL: elija coincidir con al menos uno de los filtros en la condición de coincidencia de inyección de código SQL

      • Condiciones de coincidencia de cadena: elija coincidir al menos uno de los filtros en la condición de coincidencia de cadena

      • Condiciones de coincidencia de regex: elija coincidir con al menos uno de los filtros en la condición de coincidencia de expresiones regulares

      nombre de condición

      Elija la condición que desea añadir a la regla. La lista muestra únicamente las condiciones del tipo que eligió en la lista anterior.

   4. Para agregar otra condición a la regla, elija Add another condition (Agregar otra condición) y, a continuación, repita los pasos b y c. Tenga en cuenta lo siguiente:

      • Si agrega más de una condición, una solicitud web debe coincidir con al menos un filtro en cada condición para que AWS WAF Classic permita o bloquee las solicitudes basándose en dicha regla.

      • Si agrega dos condiciones de coincidencia de IP a la misma regla, AWS WAF Classic solo permitirá o bloqueará solicitudes que provengan de direcciones IP que aparecen en las condiciones de coincidencia de IP.

   5. Repita el paso 9 hasta que haya creado todas las reglas que desea añadir a esta ACL web.

   6. Seleccione Crear.

   7. Continúe con el paso 10.

10. Para cada regla o grupo de reglas de la ACL web, elija el tipo de administración que desea que proporcione AWS WAF Classic, como se indica a continuación:

    • Para cada regla, elija si desea que AWS WAF Classic permita, bloquee o cuente solicitudes web en función de las condiciones de la regla:

      • Permitir: API Gateway, CloudFront o un equilibrador de carga de aplicación responde con el objeto solicitado. En el caso de CloudFront, si el objeto no está en la caché de la periferia, CloudFront reenvía la solicitud al origen.

      • Bloquear: API Gateway, CloudFront o un equilibrador de carga de aplicación responde a la solicitud con un código de estado HTTP 403 (Prohibido). CloudFront también puede responder con una página de error personalizada. Para obtener más información, consulte Uso de AWS WAF Classic con páginas de error personalizadas de CloudFront.

      • Recuento: AWS WAF Classic incrementa un recuento de solicitudes que cumple las condiciones de la regla y, a continuación, sigue inspeccionando la solicitud web según las reglas restantes en la ACL web.

        Para obtener más información acerca de cómo utilizar Count (Recuento) para probar una ACL web antes de comenzar a utilizarla para permitir o bloquear solicitudes web, consulte Recontar las solicitudes web que coinciden con las reglas en una ACL web.

    • Para cada grupo de reglas, establezca la acción de anulación para el grupo de reglas:

      • No anular: hace que se accionen las reglas individuales del grupo de reglas que se va a utilizar.

      • Anular para recuento: anula cualquier acción de bloqueo especificada por las reglas individuales del grupo, de modo que solo se hace el recuento de todas las solicitudes coincidentes.

      Para obtener más información, consulte Invalidar un grupo de reglas.

11. Si quiere cambiar el orden de las reglas en la ACL web, utilice las flechas de la columna Pedido. AWS WAF Classic inspecciona solicitudes web en función del orden en el que aparecen las reglas en la ACL web.

12. Si desea eliminar una regla que ha añadido a la ACL web, elija la x de la fila de la regla.

13. Elija la acción predeterminada para ACL web. Esta es la acción que AWS WAF Classic realiza cuando una solicitud web no cumple con ninguna de las condiciones de las reglas de esta ACL web. Para obtener más información, consulte Decidir sobre la acción predeterminada para una ACL web.

14. Elija Review and create.

15. Revise la configuración de la ACL web y elija Confirm and create (Confirmar y crear).