Probar ACL web - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Recontar las solicitudes web que coinciden con las reglas en una ACL webVer una muestra de las solicitudes web que API Gateway CloudFront o Application Load Balancer han reenviado a Classic AWS WAF

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Probar ACL web

nota

Esta es la documentación de AWS WAF Classic. Solo debe usar esta versión si creó AWS WAF recursos, como reglas y ACL web, AWS WAF antes de noviembre de 2019 y aún no los ha migrado a la última versión. Para migrar los recursos, consulte Migración de sus recursos AWS WAF clásicos a AWS WAF.

Para obtener la versión más reciente de AWS WAF, consulteAWS WAF.

Para asegurarse de no configurar accidentalmente AWS WAF Classic para bloquear las solicitudes web que desee permitir o permitir las solicitudes que desee bloquear, le recomendamos que pruebe minuciosamente su ACL web antes de empezar a utilizarla en su sitio web o aplicación web.

Recontar las solicitudes web que coinciden con las reglas en una ACL web

Al añadir reglas a una ACL web, debe especificar si quiere que AWS WAF Classic permita, bloquee o cuente las solicitudes web que cumplan todas las condiciones de esa regla. Recomendamos que empiece con la siguiente configuración:

  • Configurar todas las reglas de una ACL web para contar solicitudes web

  • Establecer la acción predeterminada para que la ACL web permita las solicitudes

En esta configuración, AWS WAF Classic inspecciona cada solicitud web en función de las condiciones de la primera regla. Si la solicitud web cumple todas las condiciones de esa regla, AWS WAF Classic incrementa un contador para esa regla. A continuación, AWS WAF Classic inspecciona la solicitud web en función de las condiciones de la siguiente regla. Si la solicitud cumple todas las condiciones de esa regla, AWS WAF Classic incrementa un contador para la regla. Esto continúa hasta que AWS WAF Classic haya inspeccionado la solicitud en función de las condiciones de todas tus reglas.

Una vez que haya configurado todas las reglas de una ACL web para contar las solicitudes y haya asociado la ACL web a una API, CloudFront distribución o Application Load Balancer de Amazon API Gateway, podrá ver los recuentos resultantes en un gráfico de Amazon CloudWatch. Para cada regla de una ACL web y para todas las solicitudes que API Gateway CloudFront o Application Load Balancer reenvíen a AWS WAF Classic para una ACL web, CloudWatch le permite:

  • Ver los datos correspondientes a la hora anterior o a las tres horas anteriores

  • Cambiar el intervalo entre puntos de datos

  • Cambie el cálculo que se CloudWatch realiza con los datos, como el máximo, el mínimo, el promedio o la suma

nota

AWS WAF La versión clásica CloudFront es un servicio global y las métricas solo están disponibles si eliges la región EE. UU. Este (Virginia del Norte) en AWS Management Console. Si eliges otra región, no aparecerá ninguna métrica AWS WAF clásica en la CloudWatch consola.

Para ver los datos de las reglas de una ACL web

  1. Inicia sesión AWS Management Console y abre la CloudWatch consola en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación izquierdo, en Metrics, elija WAF.

  3. Seleccione la casilla de verificación de la ACL web cuyos datos quiera ver.

  4. Cambie la configuración aplicable:

    Estadística

    Elija el cálculo que se CloudWatch realizará con los datos.

    Intervalo de tiempo

    Elija si desea ver los datos correspondientes a la hora anterior o a las tres horas anteriores.

    Período

    Elija el intervalo entre puntos de datos del gráfico.

    Reglas

    Elija las reglas cuyos datos quiera ver.

    Tenga en cuenta lo siguiente:

    • Si acabas de asociar una ACL web a una API, CloudFront distribución o Application Load Balancer de API Gateway, es posible que tengas que esperar unos minutos para que los datos aparezcan en el gráfico y para que la métrica de la ACL web aparezca en la lista de métricas disponibles.

    • Si asocias más de una API, CloudFront distribución o Application Load Balancer de API Gateway a una ACL web, los CloudWatch datos incluirán todas las solicitudes de todas las distribuciones asociadas a la ACL web.

    • Puede colocar el cursor del ratón sobre un punto de datos para obtener más información.

    • El gráfico no se actualiza por su cuenta de forma automática. Para actualizar la pantalla, elija el icono de actualización ( Icon to refresh the Amazon CloudWatch graph ).

  5. (Opcional) Consulta información detallada sobre las solicitudes individuales que API Gateway CloudFront o Application Load Balancer han reenviado a AWS WAF Classic. Para obtener más información, consulte Ver una muestra de las solicitudes web que API Gateway CloudFront o Application Load Balancer han reenviado a Classic AWS WAF.

  6. Si determina que una regla está interceptando solicitudes que no desea interceptar, cambie la configuración aplicable. Para obtener más información, consulte Crear y configurar una lista de control de acceso web (ACL web).

    Cuando crea que todas sus reglas interceptan solo las solicitudes correctas, cambie la acción de cada una de sus reglas a Allow o Block. Para obtener más información, consulte Edición de una ACL web.

Ver una muestra de las solicitudes web que API Gateway CloudFront o Application Load Balancer han reenviado a Classic AWS WAF

En la consola AWS WAF clásica, puedes ver una muestra de las solicitudes que API Gateway CloudFront o un Application Load Balancer han reenviado a AWS WAF Classic para su inspección. Para cada solicitud muestreada, puede ver datos detallados acerca de la solicitud, como la dirección IP de origen y los encabezados incluidos en la solicitud. También puede ver con qué regla coincidió la solicitud y si la regla está configurada para permitir o bloquear solicitudes.

La muestra de solicitudes contiene hasta 100 solicitudes que coincidieron con todas las condiciones de cada regla y otras 100 solicitudes para la acción predeterminada, que se aplica a las solicitudes que no coincidieron con todas las condiciones de cada regla. Las solicitudes del ejemplo provienen de todas las API, ubicaciones CloudFront perimetrales o balanceadores de carga de aplicaciones de API Gateway que recibieron solicitudes de tu contenido en los últimos 15 minutos.

Para ver una muestra de las solicitudes web que API Gateway CloudFront o Application Load Balancer han reenviado a Classic AWS WAF

  1. Inicie sesión en la AWS WAF consola AWS Management Console y ábrala en https://console.aws.amazon.com/wafv2/.

    Si ve Cambiar a la AWS WAF versión clásica en el panel de navegación, selecciónela.

  2. En el panel de navegación, elija la ACL web cuyas solicitudes quiera ver.

  3. En el panel de la derecha, elija la pestaña Requests.

    En la tabla Sampled requests se muestran los siguientes valores para cada solicitud:

    IP de origen

    La dirección IP desde la que se originó la solicitud o, si el espectador ha usado un proxy HTTP o un equilibrador de carga de aplicación para enviar la solicitud, la dirección IP del proxy o el equilibrador de carga de aplicación.

    URI

    La ruta del URI de la solicitud, que identifica el recurso, por ejemplo, /images/daily-ad.jpg. Esto no incluye la cadena de consulta ni los componentes del fragmento del URI. Para obtener información, consulte Identificador uniforme de recursos (URI): sintaxis genérica.

    Regla de coincidencias

    Identifica la primera regla de la ACL web para la que la solicitud web coincidió con todas las condiciones. Si una solicitud web no coincide con todas las condiciones de cada regla de la ACL web, el valor de Matches rule es Default.

    Tenga en cuenta que cuando una solicitud web cumple todas las condiciones de una regla y la acción de esa regla es Contar, AWS WAF Classic continúa inspeccionando la solicitud web en función de las reglas posteriores de la ACL web. En este caso, una solicitud web podría aparecer dos veces en la lista de solicitudes muestreadas: una para la regla que tiene una acción de Count y otra vez para una regla posterior o para la acción predeterminada.

    Acción

    Indica si la acción de la regla correspondiente es Allow, Block o Count.

    Time

    La hora en que AWS WAF Classic recibió la solicitud de API Gateway CloudFront o de su Application Load Balancer.

  4. Para mostrar información adicional sobre la solicitud, selecciona la flecha situada a la izquierda de la dirección IP de la solicitud. AWS WAF La versión clásica muestra la siguiente información:

    IP de origen

    La misma dirección IP como el valor de la columna Source IP de la tabla.

    País

    El código de país de dos letras del país desde el que se originó la solicitud. Si el espectador ha usado un proxy HTTP o un equilibrador de carga de aplicación para enviar la solicitud, este es el código de país de dos letras del país en el que se encuentra el proxy HTTP o un equilibrador de carga de aplicación.

    Para obtener una lista de códigos de país de dos letras y los nombres de los países correspondientes, consulte la entrada de Wikipedia ISO 3166-1 alpha-2.

    Método

    El método de solicitud HTTP para la solicitud: GET, HEAD, OPTIONS, PUT, POST, PATCH, o bien DELETE.

    URI

    La misma URI que el valor de la columna URI de la tabla.

    Encabezados de solicitudes

    Los encabezados de la solicitud y los valores de encabezado de la solicitud.

  5. Para actualizar la lista de solicitudes de muestra, elija Get new samples.