Empezar con AWS WAF - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Paso 1: configurar AWS WAFPaso 2: Crear una web ACLPaso 3: Agregar una regla de coincidencia de cadenaPaso 4: Añadir un grupo de reglas de reglas AWS gestionadasPaso 5: Finalice la configuración web ACLPaso 6: Eliminar los recursos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Empezar con AWS WAF

En este tutorial se muestra cómo utilizar AWS WAF para realizar las siguientes tareas:

  • Configurar AWS WAF.

  • Cree una lista de control de acceso a la web (webACL) mediante el asistente de la AWS WAF consola.

  • Elija los AWS recursos para los que desee AWS WAF inspeccionar las solicitudes web. En este tutorial se explican los pasos para Amazon CloudFront. El proceso es básicamente el mismo para una instancia de Amazon API Gateway RESTAPI, Application Load Balancer, AWS AppSync GraphQL, un grupo de usuarios de API Amazon Cognito, un AWS App Runner servicio o una instancia de Verified Access. AWS

  • Añada las reglas y los grupos de reglas que desea utilizar para filtrar las solicitudes web. Por ejemplo, puede especificar las direcciones IP de donde provienen las solicitudes y especificar valores incluidos en la solicitud que solo utilicen los atacantes. Especifique cómo administrar las solicitudes web coincidentes para cada regla. Puedes hacer cosas como bloquearlos o contarlos y puedes ejecutar desafíos con bots como. CAPTCHA Define una acción para cada regla que definas dentro de una web ACL y para cada regla que definas dentro de un grupo de reglas.

  • Especifique una acción predeterminada para la webACL, ya sea Block oAllow. Se trata de la acción que AWS WAF se lleva a cabo cuando las reglas de la web ACL no la permiten ni bloquean de forma explícita.

nota

AWS normalmente te factura menos de 0,25 USD al día por los recursos que crees durante este tutorial. Cuando haya completado el tutorial, le recomendamos que elimine los recursos para evitar incurrir en gastos innecesarios.

Paso 1: configurar AWS WAF

Si aún no ha seguido los pasos de configuración generales de Configuración de su cuenta para usar los servicios, hágalo ahora.

Paso 2: Crear una web ACL

La AWS WAF consola lo guía a través del proceso de configuración AWS WAF para bloquear o permitir las solicitudes web en función de los criterios que especifique, como las direcciones IP de las que se originan las solicitudes o los valores de las solicitudes. En este paso, se crea una webACL. Para obtener más información acerca de la AWS WAF webACLs, consulteAWS WAF listas de control de acceso web (ACL web).

Para crear una web ACL

  1. Inicie sesión en AWS Management Console y abra la AWS WAF consola en https://console.aws.amazon.com/wafv2/.

  2. En la página de AWS WAF inicio, selecciona Crear web ACL.

  3. En Nombre, introduce el nombre que quieres usar para identificar esta webACL.

    nota

    No puedes cambiar el nombre después de crear la webACL.

  4. (Opcional) En Descripción: opcional, introduce una descripción más larga para la web ACL si lo deseas.

  5. Para el nombre de la CloudWatch métrica, cambie el nombre predeterminado, si procede. Siga las instrucciones de la consola para ver los caracteres válidos. El nombre no puede contener caracteres especiales, espacios en blanco ni se pueden utilizar nombres de métricas reservados para AWS WAF, como "All" y "Default_Action".

    nota

    No puede cambiar el nombre de la CloudWatch métrica después de crear la webACL.

  6. En Tipo de recurso, selecciona CloudFrontdistribuciones. La región se rellena automáticamente como Global (CloudFront) para CloudFront las distribuciones.

  7. (Opcional) En AWS Recursos asociados (opcional), elija Agregar AWS recursos. En el cuadro de diálogo, elija los recursos que desee asociar y, a continuación, elija Agregar. AWS WAF le devuelve a la página Describa AWS los recursos web ACL y asociados.

  8. Elija Next (Siguiente).

Paso 3: Agregar una regla de coincidencia de cadena

En este paso, creará una regla con una declaración de coincidencia de cadena e indicará qué hacer con las solicitudes que coinciden. Una instrucción de regla de coincidencia de cadena identifica las cadenas que desea que AWS WAF busque en una solicitud. Por lo general, una cadena consta de ASCII caracteres imprimibles, pero puede especificar cualquier carácter del hexadecimal 0x00 al 0xFF (del 0 al 255 decimal). Además de especificar la cadena que se va a buscar, se especifica el componente de la solicitud web en el que se desea buscar, como un encabezado, una cadena de consulta o el cuerpo de la solicitud.

Este tipo de instrucción funciona en un componente de solicitud web y requiere la siguiente configuración del componente de la solicitud:

  • Componente de solicitud: la parte de la solicitud web que se va a inspeccionar, por ejemplo, una cadena de consulta o el cuerpo.

    aviso

    Si inspeccionas el cuerpo, el JSONcuerpo, los encabezados o las cookies de los componentes de la solicitud, consulta las limitaciones en cuanto a la cantidad de contenido que se puede inspeccionar. AWS WAF Manejo de componentes de solicitudes sobredimensionadas en AWS WAF

    Para obtener información sobre los componentes de la solicitud web, consulte Especificación y manejo de componentes de solicitudes web.

  • Transformaciones de texto opcionales: transformaciones que desea AWS WAF realizar en el componente de la solicitud antes de inspeccionarlo. Por ejemplo, puede convertir a minúsculas o normalizar el espacio en blanco. Si especifica más de una transformación, las AWS WAF procesa en el orden indicado. Para obtener más información, consulte Opciones de transformación de texto.

Para obtener información adicional sobre AWS WAF las reglas, consulteAWS WAF reglas.

Para crear una declaración de regla de coincidencia de cadena

  1. En la página Add rules and rule groups (Añadir reglas y grupos de reglas), elija Add rules (Añadir reglas), Add my own rules and rule groups (Añadir mis propias reglas y grupos de reglas), Rule builder (Generador de reglas) y, a continuación, Rule visual editor (Editor visual de reglas).

    nota

    La consola proporciona el editor visual de reglas y también un JSONeditor de reglas. El JSON editor facilita la copia de configuraciones entre sitios web ACLs y es necesario para conjuntos de reglas más complejos, como los que tienen varios niveles de anidación.

    Este procedimiento utiliza Rule visual editor (Editor visual de reglas).

  2. En Name (Nombre), introduzca el nombre que desea utilizar para identificar esta regla.

  3. En Type (Tipo), elija Regular rule (Regla normal).

  4. En If a request (Si una solicitud), elija matches the statement (coincide con la declaración).

    Las demás opciones son para los tipos de instrucciones de reglas lógicas. Puede utilizarlas para combinar o anular los resultados de otras instrucciones de reglas.

  5. En Statement, en Inspect, abre el menú desplegable y elige el componente de solicitud web que deseas AWS WAF inspeccionar. Para este ejemplo, elige Cabecera única.

    Al elegir Cabecera única, también especificas qué cabecera deseas AWS WAF inspeccionar. Escriba User-Agent. Este valor no distingue entre mayúsculas y minúsculas.

  6. En Match type (Tipo de coincidencia), decida si la cadena especificada tiene que aparecer en el encabezado User-Agent.

    En este ejemplo, elija Exactly matches string (Coincide exactamente con la cadena). Esto indica que AWS WAF inspecciona el encabezado del agente de usuario de cada solicitud web en busca de una cadena que sea idéntica a la cadena que especifiques.

  7. En String to match (Cadena que debe coincidir), especifique la cadena que quiere que AWS WAF busque. La longitud máxima de String to match (Cadena que debe coincidir) es de 200 caracteres. Si desea especificar un valor con codificación base64, puede especificar hasta 200 caracteres antes de la codificación.

    Para este ejemplo, introduzca. MyAgent AWS WAF inspeccionará el User-Agent encabezado de las solicitudes web en busca del valorMyAgent.

  8. Deje el campo Text transformation (Transformación de texto) establecido en None (Ninguna).

  9. En Acción, seleccione la acción que desea que realice la regla cuando coincida con una solicitud web. Para este ejemplo, elija Recuento y deje las demás opciones como están. La acción de recuento crea métricas para las solicitudes web que coincidan con la regla, pero no afecta a si la solicitud está permitida o bloqueada. Para obtener más información sobre estas opciones, consulte Acción de regla y Evaluación de reglas y grupos de reglas de ACL web.

  10. Seleccione Agregar regla.

Paso 4: Añadir un grupo de reglas de reglas AWS gestionadas

AWS Managed Rules ofrece un conjunto de grupos de reglas administradas para su uso, la mayoría de los cuales son gratuitos para AWS WAF los clientes. Para obtener más información acerca de los grupos de reglas, consulte AWS WAF grupos de reglas. Agregaremos un grupo de reglas de reglas AWS administradas a esta webACL.

Para agregar un grupo de reglas de reglas AWS administradas

  1. En la página Add rules and rule groups (Añadir reglas y grupos de reglas), elija Add rules (Añadir reglas) y, a continuación, Add managed rule groups (Añadir grupos de reglas administrados).

  2. En la página Agregar grupos de reglas administrados, amplíe la descripción de los grupos de reglas administrados de AWS . (También verás los anuncios que se ofrecen a los AWS Marketplace vendedores. Puedes suscribirte a sus ofertas y luego utilizarlas de la misma manera que para los grupos de reglas de AWS Managed Rules).

  3. Realice lo siguiente para cada grupo de reglas que desee agregar:

    1. En la columna Acción, active la ACL opción Añadir a la web.

    2. Seleccione Editar y, en la descripción de Reglas del grupo de reglas, abra el menú desplegable Anular todas las acciones de reglas y seleccione Count. Se establece que la acción de todas las reglas del grupo de reglas es solo contar. Esto le permite ver cómo se comportan todas las reglas del grupo de reglas con sus solicitudes web antes de usarlas.

    3. Seleccione Guardar reglas.

  4. En la página Agregar grupos de reglas administrados, elija Agregar reglas. De este modo, volverá a la página Añadir reglas y grupos de reglas.

Paso 5: Finalice la configuración web ACL

Cuando haya terminado de añadir reglas y grupos de reglas a su ACL configuración web, termine gestionando la prioridad de las reglas en la web ACL y configurando ajustes como las métricas, el etiquetado y el registro.

Para finalizar la configuración web ACL

  1. En la página Add rules and rule groups (Añadir reglas y grupos de reglas), elija Next (Siguiente).

  2. En la página Establecer la prioridad de las reglas, puede ver el orden de procesamiento de las reglas y los grupos de reglas en la webACL. AWS WAF las procesa empezando por la parte superior de la lista. Para cambiar el orden de procesamiento, mueva las reglas hacia arriba o hacia abajo. Para ello, seleccione un elemento de la lista y elija Move up (Subir) o Move down (Bajar). Para obtener más información acerca de la prioridad de regla, consulte Procesamiento del orden de las reglas y los grupos de reglas en una ACL web.

  3. Elija Next (Siguiente).

  4. En la página Configurar métricas, para CloudWatchlas métricas de Amazon, puedes ver las métricas planificadas para tus reglas y grupos de reglas y puedes ver las opciones de muestreo de solicitudes web. Para obtener información sobre cómo ver las solicitudes muestreadas, consulte Visualizar una muestra de solicitudes web. Para obtener información sobre CloudWatch las métricas de Amazon, consultaMonitorización con Amazon CloudWatch.

    Puedes acceder a los resúmenes de las métricas de tráfico web en la página web ACL de la AWS WAF consola, en la pestaña Resumen del tráfico. Los paneles de la consola proporcionan resúmenes casi en tiempo real de las métricas de ACL Amazon CloudWatch de la web. Para obtener más información, consulte Paneles de información general sobre el tráfico de ACL web.

  5. Elija Next (Siguiente).

  6. En la ACL página Revisar y crear web, revisa tu configuración y, a continuación, selecciona Crear web. ACL

El asistente lo devuelve a la ACL página web en la que ACL aparece su nueva página web.

Paso 6: Eliminar los recursos

Acaba de completar correctamente el tutorial. Para evitar que su cuenta acumule AWS WAF cargos adicionales, limpie los AWS WAF objetos que ha creado. Como alternativa, puedes cambiar la configuración para que coincida con las solicitudes web que realmente deseas gestionar. AWS WAF

nota

AWS normalmente te factura menos de 0,25 USD al día por los recursos que crees durante este tutorial. Cuando haya acabado, le recomendamos que elimine los recursos para evitar incurrir en gastos innecesarios.

Para eliminar los objetos por los que se AWS WAF cobra

  1. En la ACL página web, seleccione su sitio web ACL de la lista y elija Editar.

  2. En la pestaña AWS Recursos asociados, para cada recurso asociado, seleccione el botón de opción situado junto al nombre del recurso y, a continuación, elija Desasociar. Esto desvincula la web ACL de sus recursos. AWS

  3. En cada una de las siguientes pantallas, elija Siguiente hasta que regrese a la ACL página web.

    En la ACL página web, seleccione su sitio web ACL de la lista y elija Eliminar.

Las reglas y las declaraciones de reglas no existen fuera de las ACL definiciones web y de grupos de reglas. Si eliminas una webACL, se eliminarán todas las reglas individuales que hayas definido en la webACL. Cuando eliminas un grupo de reglas de una webACL, simplemente eliminas la referencia a él.