Uso de AWS WAF Classic con páginas de error CloudFront personalizadas Uso de AWS WAF Classic with CloudFront para aplicaciones que se ejecutan en su propio servidor HTTP Elegir los métodos HTTP que CloudFront respondan a

Cómo funciona AWS WAF Classic con las CloudFront funciones de Amazon

nota

Esta es la documentación de AWS WAF Classic. Solo debes usar esta versión si creaste AWS WAF recursos, como reglas y ACL web, AWS WAF antes de noviembre de 2019 y aún no los has migrado a la última versión. Para migrar los recursos, consulte Migración de sus recursos AWS WAF clásicos a AWS WAF.

Para obtener la versión más reciente de AWS WAF, consulteAWS WAF.

Al crear una ACL web, puede especificar una o más CloudFront distribuciones que desea que AWS WAF Classic inspeccione. AWS WAF Classic comienza a permitir, bloquear o contar las solicitudes web para esas distribuciones en función de las condiciones que usted identifique en la ACL web. CloudFront proporciona algunas funciones que mejoran la funcionalidad AWS WAF clásica. En este capítulo se describen algunas formas que puede configurar CloudFront para que la AWS WAF versión clásica CloudFront y la versión clásica funcionen mejor juntas.

Temas

Uso de AWS WAF Classic con páginas de error CloudFront personalizadas
Uso de AWS WAF Classic with CloudFront para aplicaciones que se ejecutan en su propio servidor HTTP
Elegir los métodos HTTP que CloudFront respondan a

Uso de AWS WAF Classic con páginas de error CloudFront personalizadas

Cuando AWS WAF Classic bloquea una solicitud web en función de las condiciones que especifiques, devuelve el código de estado HTTP 403 (Prohibido) a CloudFront. A continuación, CloudFront devuelve ese código de estado al espectador. El visor muestra un breve mensaje predeterminado con formato elemental similar a este:

Forbidden: You don't have permission to access /myfilename.html on this server.

Si prefieres mostrar un mensaje de error personalizado, posiblemente con el mismo formato que el resto del sitio web, puedes configurarlo CloudFront para que devuelva al espectador un objeto (por ejemplo, un archivo HTML) que contenga el mensaje de error personalizado.

nota

CloudFront no puedes distinguir entre un código de estado HTTP 403 que devuelve tu origen y uno que devuelve AWS WAF Classic cuando se bloquea una solicitud. Esto significa que no puede devolver diferentes páginas de error personalizadas en función de las diferentes causas de un código de estado HTTP 403.

Para obtener más información sobre las páginas de error CloudFront personalizadas, consulte Personalización de las respuestas de error en la Guía para CloudFront desarrolladores de Amazon.

Uso de AWS WAF Classic with CloudFront para aplicaciones que se ejecutan en su propio servidor HTTP

Cuando utilizas AWS WAF Classic with CloudFront, puedes proteger las aplicaciones que se ejecutan en cualquier servidor web HTTP, ya sea un servidor web que se ejecute en Amazon Elastic Compute Cloud (Amazon EC2) o un servidor web que gestiones de forma privada. También puede configurarlo CloudFront para que requiera HTTPS entre CloudFront y su propio servidor web, así como entre los espectadores y. CloudFront

Requiere HTTPS entre CloudFront y su propio servidor web

Si necesita HTTPS entre su servidor web CloudFront y su propio servidor web, puede utilizar la función de origen CloudFront personalizado y configurar la política de protocolo de origen y los ajustes del nombre de dominio de origen para orígenes específicos. En tu CloudFront configuración, puedes especificar el nombre DNS del servidor junto con el puerto y el protocolo que quieres usar CloudFront para recuperar objetos de tu origen. También debe asegurarse de que el certificado SSL/TLS del servidor de origen personalizado coincide con el nombre de dominio de origen que ha configurado. Si utiliza su propio servidor web HTTP fuera de AWS, debe utilizar un certificado firmado por una autoridad de certificación (CA) externa de confianza, por ejemplo, Comodo o Symantec DigiCert. Para obtener más información sobre cómo se requiere HTTPS para la comunicación entre CloudFront y su propio servidor web, consulte el tema Requerir HTTPS para la comunicación entre CloudFront y su origen personalizado en la Guía para CloudFront desarrolladores de Amazon.

Exigir HTTPS entre un espectador y CloudFront

Para requerir HTTPS entre los espectadores y CloudFront, puede cambiar la política de protocolo de visualización para uno o más comportamientos de caché en su CloudFront distribución. Para obtener más información sobre el uso de HTTPS entre espectadores CloudFront, consulte el tema Exigir HTTPS para la comunicación entre espectadores y CloudFront en la Guía para CloudFront desarrolladores de Amazon. También puedes traer tu propio certificado SSL para que los espectadores puedan conectarse a tu CloudFront distribución a través de HTTPS con tu propio nombre de dominio, por ejemplo, https://www.mysite.com. Para obtener más información, consulte el tema Configuración de nombres de dominio alternativos y HTTPS en la Guía para CloudFront desarrolladores de Amazon.

Elegir los métodos HTTP que CloudFront respondan a

Cuando creas una distribución CloudFront web de Amazon, eliges los métodos HTTP que quieres CloudFront procesar y reenviar a tu origen. Puede elegir entre las siguientes opciones:

GET, HEAD: CloudFront solo puedes usarlos para obtener objetos de tu origen o para obtener encabezados de objetos.
GET, HEAD, OPTIONS: CloudFront solo puedes usarlos para obtener objetos de tu origen, obtener encabezados de objetos o recuperar una lista de las opciones que admite tu servidor de origen.
GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE: puedes utilizarlas CloudFront para obtener, añadir, actualizar y eliminar objetos, así como para obtener encabezados de objetos. Además, puede realizar otras operaciones de POST como enviar datos desde un formulario web.

También puede utilizar las condiciones AWS WAF clásicas de coincidencia de cadenas para permitir o bloquear las solicitudes basadas en el método HTTP, tal y como se describe enTrabajar con condiciones de coincidencia de cadena. Si desea utilizar una combinación de métodos CloudFront compatibles, como GET yHEAD, no necesita configurar AWS WAF Classic para bloquear las solicitudes que utilizan los demás métodos. Si desea permitir una combinación de métodos que CloudFront no sea compatible, por ejemplo, y GET HEADPOST, puede configurarla para que responda CloudFront a todos los métodos y, a continuación, utilizar la AWS WAF versión clásica para bloquear las solicitudes que utilizan otros métodos.

Para obtener más información sobre cómo elegir los métodos CloudFront adecuados, consulte Métodos HTTP permitidos en el tema Valores que se especifican al crear o actualizar una distribución web de la Guía para CloudFront desarrolladores de Amazon.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Enumeración de las direcciones IP bloqueadas por reglas basadas en frecuencia

Seguridad