Configuración de la protección en AWS WAF - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Configuración de la protección en AWS WAF

En esta página se explica qué son los paquetes de protección (ACL web) y cómo funcionan.

Un paquete de protección (ACL web) le proporciona un control detallado de todas las solicitudes web HTTP(S) a las que responde su recurso protegido. Puede proteger los recursos de Amazon CloudFront, Amazon API Gateway, equilibrador de carga de aplicación, AWS AppSync, Amazon Cognito, AWS App Runner, AWS Amplify y Acceso verificado de AWS.

Puede utilizar criterios como los siguientes para permitir o bloquear solicitudes:

  • Origen de la dirección IP de la solicitud

  • País de origen de la solicitud

  • Coincidencia de cadena o expresión regular (regex) en una parte de la solicitud

  • Tamaño de una parte determinada de la solicitud

  • Detección de código SQL o secuencias de comandos malintencionados

También puede probar cualquier combinación de estas condiciones. Puede bloquear o contar solicitudes web que no solo cumplan las condiciones especificadas, sino que también superen un número determinado de solicitudes en un solo minuto. Puede combinar condiciones mediante el uso de operadores lógicos. También puede ejecutar rompecabezas de CAPTCHA y desafíos silenciosos a las sesiones de los clientes para las solicitudes.

Indique sus criterios que cumplir y la acción que se debe tomar en caso de que se cumplan las instrucciones de las reglas de AWS WAF. Puede definir las instrucciones de las reglas directamente en su paquete de protección (ACL web) y en los grupos de reglas reutilizables que use en su paquete de protección (ACL web). Para obtener una lista completa de opciones, consulte Uso de instrucciones de reglas en AWS WAF y Utilización de acciones de reglas en AWS WAF.

Cuando se crea un paquete de protección (ACL web), se especifican los tipos de recursos con los que se desea usar. Para obtener más información, consulte Creación de un paquete de protección (ACL web) en AWS WAF. Después de definir un paquete de protección (ACL web), puede asociarlo con sus recursos para comenzar a proporcionarles protección. Para obtener más información, consulte Asociar o disociar la protección con un recurso de AWS.

nota

En raras ocasiones, AWS WAF puede encontrar un error interno que retrase la respuesta a recursos asociados de AWS sobre si desea permitir o bloquear una solicitud. En esas ocasiones, CloudFront normalmente permite la solicitud o publica el contenido, mientras que Regional Services suele denegar la solicitud y no publica el contenido.

Riesgo de tráfico de producción

Antes de implementar cambios en su paquete de protección (ACL web) para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte Pruebas y ajustes de sus protecciones de AWS WAF.

nota

El uso de más de 1500 WCU en un paquete de protección (ACL web) conlleva costos superiores al precio del paquete de protección (ACL web) básico. Para obtener más información, consulte Unidades de capacidad de ACL web (WCU) en AWS WAF y Precios de AWS WAF.

Incoherencias temporales durante las actualizaciones

Al crear o cambiar un paquete de protección (ACL web) u otros recursos de AWS WAF, los cambios tardan un poco en propagarse a todas las áreas donde se almacenan los recursos. El tiempo de propagación puede oscilar entre unos segundos y varios minutos.

A continuación, se proporcionan ejemplos de incoherencias temporales que podría notar durante la propagación de los cambios:

  • Después de crear un paquete de protección (ACL web), si intenta asociarlo a un recurso, es posible que se produzca una excepción que indique que el paquete de protección (ACL web) no está disponible.

  • Después de agregar un grupo de reglas a un paquete de protección (ACL web), las nuevas reglas del grupo de reglas pueden estar en vigor en un área en la que se usa el paquete de protección (ACL web) y no en otra.

  • Tras cambiar la configuración de una acción de regla, es posible que vea la acción anterior en algunos lugares y la acción nueva en otros.

  • Después de agregar una dirección IP a un conjunto de IP que está en uso dentro de una regla de bloqueo, es posible que la nueva dirección se bloquee en un área, pero que se permita en otra.

Temas