Shield: ACL AWS WAF web de capa de aplicación avanzada y reglas basadas en tasas - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Shield: ACL AWS WAF web de capa de aplicación avanzada y reglas basadas en tasas

Para proteger un recurso de la capa de aplicación con Shield Advanced, comience por asociar una ACL AWS WAF web al recurso. AWS WAF es un firewall de aplicaciones web que permite supervisar las solicitudes HTTP y HTTPS que se reenvían a los recursos de la capa de aplicaciones y controlar el acceso al contenido en función de las características de las solicitudes. Puede configurar una ACL web para supervisar y administrar las solicitudes en función de factores como el origen de la solicitud, el contenido de las cadenas de consulta y las cookies, y la tasa de solicitudes procedentes de una sola dirección IP. Como mínimo, su protección Shield Advanced requiere que asocie una ACL web a una regla basada en tasas, que limita la tasa de solicitudes para cada dirección IP.

Si la ACL web asociada no tiene definida una regla basada en tasas, Shield Advanced le pide que defina al menos una. Las reglas basadas en tasas bloquean automáticamente el tráfico de las IP de origen cuando superan los umbrales que defina. Ayudan a proteger la aplicación frente a avalanchas de solicitudes web y pueden proporcionar alertas sobre picos repentinos de tráfico que pudieran indicar un posible ataque DDoS.

nota

Una regla basada en la velocidad responde muy rápidamente a los picos de tráfico que la regla supervisa. Por ello, una regla basada en la velocidad puede impedir no solo un ataque, sino también la detección de un posible ataque mediante la detección de Shield Advanced. Esta compensación favorece la prevención por encima de la visibilidad total de los patrones de ataque. Te recomendamos que utilices una regla basada en la velocidad como primera línea de defensa contra los ataques.

Una vez establecida la ACL web, si se produce un ataque DDoS, se aplican medidas de mitigación mediante la adición y la gestión de reglas en la ACL web. Puede hacerlo directamente, con la ayuda del equipo de respuesta de Shield (SRT) o automáticamente mediante la mitigación automática de DDoS en la capa de aplicación.

importante

Si también utiliza la mitigación automática de DDoS en la capa de aplicación, consulte las prácticas recomendadas para gestionar su ACL web en. Prácticas recomendadas para utilizar la mitigación automática

Comportamiento predeterminado de las reglas basado en la velocidad

Cuando utiliza una regla basada en tasas con su configuración predeterminada, evalúa AWS WAF periódicamente el tráfico durante el intervalo de tiempo anterior de 5 minutos. AWS WAF bloquea las solicitudes de cualquier dirección IP que supere el umbral de la regla hasta que la tasa de solicitudes baje a un nivel aceptable. Al configurar una regla basada en la velocidad a través de Shield Advanced, configure su umbral de velocidad en un valor superior a la velocidad de tráfico normal que espera de cualquier IP de origen en cualquier intervalo de tiempo de cinco minutos.

Es posible que desee utilizar más de una regla basada en tasas en una ACL web. Por ejemplo, podría tener una regla basada en tasas con un umbral alto para todo el tráfico, además de una o más reglas adicionales configuradas para que coincidan con determinadas partes de la aplicación web y que tengan umbrales más bajos. Por ejemplo, puede hacer coincidir el URI /login.html con un umbral más bajo para evitar abusos en una página de inicio de sesión.

Puede configurar una regla basada en la tasa para utilizar un intervalo de tiempo de evaluación diferente y para agregar las solicitudes en función de varios componentes de la solicitud, como los valores de los encabezados, las etiquetas y los argumentos de consulta. Para obtener más información, consulte Instrucción de regla basada en frecuencia.

Para obtener información y orientación adicionales, consulte la entrada del blog sobre seguridad Las tres reglas AWS WAF basadas en tarifas más importantes.

Se ampliaron las opciones de configuración mediante AWS WAF

La consola Shield Advanced le permite añadir una regla basada en tasas y configurarla con los ajustes básicos predeterminados. Puede definir opciones de configuración adicionales gestionando sus reglas basadas en tarifas mediante. AWS WAF Por ejemplo, puede configurar la regla para agregar las solicitudes en función de claves como una dirección IP reenviada, una cadena de consulta y una etiqueta. También puede añadir una declaración de restricción a la regla para filtrar algunas solicitudes de evaluación y limitación de tasas. Para obtener más información, consulte Instrucción de regla basada en frecuencia. Para obtener información sobre cómo AWS WAF administrar las reglas de supervisión y administración de las solicitudes web, consulteCrear una ACL web.