Configuración de las DDoS protecciones de la capa de aplicación (capa 7) con AWS WAF - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de las DDoS protecciones de la capa de aplicación (capa 7) con AWS WAF

Esta página proporciona instrucciones para configurar las protecciones de la capa de aplicación con la AWS WAF webACLs.

Para proteger un recurso de la capa de aplicación, Shield Advanced utiliza una AWS WAF web ACL con una regla basada en la velocidad como punto de partida. AWS WAF es un firewall de aplicaciones web que permite supervisar las HTTP HTTPS solicitudes que se reenvían a los recursos de la capa de aplicaciones y controlar el acceso al contenido en función de las características de las solicitudes. Una regla basada en la velocidad limita el volumen de tráfico en función de los criterios de agregación de solicitudes, lo que proporciona una DDoS protección básica a la aplicación. Para obtener más información, consulte Cómo AWS WAF funciona y Uso de declaraciones de reglas basadas en tasas en AWS WAF.

Si lo desea, también puede activar la DDoS mitigación automática de la capa de aplicaciones de Shield Advanced, para que Shield Advanced solicite límites de velocidad procedentes de DDoS fuentes conocidas y le proporcione automáticamente protecciones específicas para cada incidente.

importante

Si administra sus protecciones de Shield Advanced AWS Firewall Manager mediante una política de Shield Advanced, no podrá administrar las protecciones de la capa de aplicación aquí. Debe administrarlas en su política de Shield Advanced de Firewall Manager.

Suscripciones y AWS WAF costos de Shield Advanced

Su suscripción a Shield Advanced cubre los costes de uso de AWS WAF las capacidades estándar para los recursos que proteja con Shield Advanced. Las AWS WAF tarifas estándar que cubren las protecciones Shield Advanced son el costo por webACL, el costo por regla y el precio base por millón de solicitudes de inspección de solicitudes web, hasta 1500 WCUs y hasta el tamaño corporal predeterminado.

Al habilitar la DDoS mitigación automática de la capa de aplicaciones de Shield Advanced, se añade un grupo de reglas a la web ACL que utiliza 150 unidades de ACL capacidad web (WCUs). Estas se WCUs descontarán del WCU uso en la webACL. Para obtener más información, consulte Automatizar la DDoS mitigación de la capa de aplicaciones con Shield Advanced , Protección de la capa de aplicación con el grupo de reglas Shield Advanced y Descripción de las unidades ACL de capacidad web (WCUs) en AWS WAF.

Su suscripción a Shield Advanced no cubre el uso AWS WAF de recursos que no proteja con Shield Advanced. Tampoco cubre ningún AWS WAF coste adicional no estándar de los recursos protegidos. Algunos ejemplos de AWS WAF costes no estándar son los de Bot Control, del CAPTCHA acción de regla, para sitios web ACLs que utilizan más de 1500WCUs, y para inspeccionar el cuerpo de la solicitud por encima del tamaño predeterminado. La lista completa se encuentra en la página de AWS WAF precios.

Para obtener la información completa y ejemplos de precios, consulte Precios de Shield y Precios de AWS WAF.

Para configurar DDoS las protecciones de capa 7 para una región

Shield Advanced le ofrece la opción de configurar la DDoS mitigación de capa 7 para cada región en la que se encuentren los recursos que elija. Si va a agregar protecciones en varias regiones, el asistente le guiará por el siguiente procedimiento para cada región.

  1. La página Configurar DDoS las protecciones de la capa 7 muestra todos los recursos que aún no están asociados a una webACL. Para cada uno de ellos, elija una web existente ACL o cree una web nuevaACL. Para cualquier recurso que ya tenga una web asociadaACL, puedes cambiar de web ACLs desasociando primero la web actual mediante ella. AWS WAF Para obtener más información, consulte Asociar o desasociar una web con un ACL AWS recurso.

    En el caso de sitios web ACLs que aún no tengan una regla basada en la tarifa, el asistente de configuración le pedirá que agregue una. Una regla basada en tasas limita el tráfico de las direcciones IP cuando estas envían un gran volumen de solicitudes. Las reglas basadas en tarifas ayudan a proteger tu aplicación contra la avalancha de solicitudes web y pueden proporcionar alertas sobre picos repentinos de tráfico que podrían indicar un posible ataque. DDoS Para añadir una regla basada en la tarifa a una web, selecciona Añadir regla ACL de límite de velocidad y, a continuación, proporciona una acción para limitar la velocidad y establecer una regla. Puede configurar protecciones adicionales en la web ACL a través AWS WAF de.

    Para obtener información sobre el uso de reglas web ACLs y basadas en tarifas en sus protecciones Shield Advanced, incluidas las opciones de configuración adicionales para las reglas basadas en tarifas, consulte. Protección de la capa de aplicaciones con AWS WAF web ACLs y Shield Advanced

  2. Para la DDoSmitigación automática de la capa de aplicación, si desea que Shield Advanced mitigue automáticamente DDoS los ataques contra los recursos de la capa de aplicación, elija Activar y, a continuación, seleccione la acción de AWS WAF regla que quiere que Shield Advanced utilice en sus reglas personalizadas. Esta configuración se aplica a toda la web ACLs para los recursos que gestione en esta sesión del asistente.

    Con la DDoS mitigación automática de la capa de aplicación, Shield Advanced mantiene una regla basada en la tasa en la AWS WAF web del recurso ACL que limita el volumen de solicitudes de DDoS fuentes conocidas. Además, Shield Advanced compara los patrones de tráfico actuales con las líneas base de tráfico históricas para detectar desviaciones que puedan indicar un DDoS ataque. Cuando Shield Advanced detecta un DDoS ataque, responde creando, evaluando e implementando AWS WAF reglas personalizadas para responder. Especifique si las reglas personalizadas cuentan o bloquean los ataques en su nombre.

    nota

    La DDoS mitigación automática de la capa de aplicación solo funciona con sitios web ACLs que se hayan creado con la última versión de AWS WAF (v2).

    Para obtener más información sobre la DDoS mitigación automática de la capa de aplicación Shield Advanced, incluidas las advertencias y las mejores prácticas para el uso de esta función, consulteAutomatizar la DDoS mitigación de la capa de aplicaciones con Shield Advanced .

  3. Elija Next (Siguiente). El asistente de la consola pasa a la página de detección basada en el estado.