Presentamos una nueva experiencia de consola para AWS WAF
Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.
Cómo AWS WAF administra las acciones de reglas y los grupos de reglas
En esta sección se explica cómo AWS WAF utiliza las reglas y los grupos de reglas para administrar las acciones.
Al configurar las reglas y los grupos de reglas, elija cómo quiere que AWS WAF gestione las solicitudes web coincidentes:
-
Allow y Block son acciones de finalización; las acciones Allow y Block detienen todos los demás procesamientos del paquete de protección (ACL web) en la solicitud web coincidente. Si una regla de un paquete de protección (ACL web) encuentra una coincidencia para una solicitud y la acción de la regla es Allow o Block, esa coincidencia determina la disposición final de la solicitud web para el paquete de protección (ACL web). AWS WAF no procesa ninguna otra regla del paquete de protección (ACL web) tras la regla coincidente. Esto se cumple en el caso de las reglas que agrega directamente al paquete de protección (ACL web) y las reglas que se encuentran en un grupo de reglas añadido. Con la acción Block, el recurso protegido no recibe ni procesa la solicitud web.
-
Count es una acción no terminal: cuando una regla con una acción de Count coincide con una solicitud, AWS WAF cuenta la solicitud y, a continuación, continúa procesando las siguientes reglas del conjunto de reglas del paquete de protección (ACL web).
-
CAPTCHA y Challenge pueden ser acciones de no finalización o finalización; cuando una regla con una de estas acciones coincide con una solicitud, AWS WAF comprueba el estado de su token. Si la solicitud tiene un token válido, AWS WAF trata la coincidencia de forma similar a una coincidencia de Count y, a continuación, continúa procesando las reglas siguientes del conjunto de reglas del paquete de protección (ACL web). Si la solicitud no tiene un token válido, AWS WAF finaliza la evaluación y envía al cliente un rompecabezas de CAPTCHA o un desafío silencioso a la sesión del cliente en segundo plano para que lo resuelva.
Si la evaluación de la regla no da lugar a ninguna acción de finalización, AWS WAF aplica la acción predeterminada del paquete de protección (ACL web) a la solicitud. Para obtener más información, consulte Cómo establecer la acción predeterminada del paquete de protección (ACL web) en AWS WAF.
En su paquete de protección (ACL web), puede anular la configuración de acciones de reglas de un grupo de reglas y puede anular la acción que devuelve un grupo de reglas. Para obtener más información, consulte Anulación de acciones de grupos de reglas en AWS WAF.
Interacción entre las acciones y la configuración de prioridades
Las acciones que AWS WAF aplica a una solicitud web se ven afectadas por la configuración de prioridad numérica de las reglas en el paquete de protección (ACL web). Por ejemplo, supongamos que su paquete de protección (ACL web) tiene una regla con una acción Allow y una prioridad numérica de 50, y otra regla con una acción Count y una prioridad numérica de 100. AWS WAF evalúa las reglas de un paquete de protección (ACL web)b por orden de prioridad, empezando por la configuración más baja, por lo que evaluará la regla de permiso antes que la regla de recuento. Una solicitud web que cumpla ambas reglas coincidirá primero con la regla de permiso. Dado que Allow se trata de una acción de finalización, AWS WAF detendrá la evaluación con esa coincidencia y no evaluará la solicitud según la regla de recuento.
Si solo quiere incluir las solicitudes que no coincidan con la regla de permiso en las métricas de las reglas de recuento, entonces, la configuración de prioridades de las reglas podría funcionar.
Por otro lado, si quiere métricas de recuento de la regla de recuento incluso para las solicitudes que coincidan con la regla de permiso, tendrá que darle a la regla de recuento una prioridad numérica inferior a la de la regla de permiso, de modo que se ejecute primero.
Para obtener más información acerca de la configuración de prioridad, consulte Cómo establecer la prioridad de las reglas.
