**Presentamos una nueva experiencia de consola para AWS WAF**

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte [Trabajar con la consola](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Protección Anti- DDo S avanzada mediante el grupo de reglas gestionado AWS WAF Anti- DDo S
<a name="waf-anti-ddos-advanced"></a>

El grupo de reglas `AWSManagedRulesAntiDDoSRuleSet` gestionadas es el nivel más avanzado de protecciones DDo antiS disponible en AWS WAF.

**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

## AWS WAF Componentes de protección DDo antiS
<a name="waf-anti-ddos-components"></a>

Los principales componentes para implementar una protección DDo antiS avanzada AWS WAF incluyen los siguientes:

**`AWSManagedRulesAntiDDoSRuleSet`**— Detecta, etiqueta y cuestiona las solicitudes que probablemente estén participando en un ataque DDo S. También etiqueta todas las solicitudes dirigidas a un recurso protegido durante un evento. Para obtener detalles sobre las reglas y etiquetas del grupo de reglas, consulte [AWS WAF Grupo de reglas de prevención de denegación de servicio (DDoS) distribuida](aws-managed-rule-groups-anti-ddos.md). Para utilizar este grupo de reglas, inclúyalo en su paquete de protección (ACL web) usando una instrucción de referencia de un grupo de reglas administradas. Para obtener información, consulte [Añadir el grupo de reglas gestionado Anti- DDo S a su paquete de protección (ACL web)](waf-anti-ddos-rg-using.md).
+ **Paneles de información general sobre el tráfico de ACL web**: permiten monitorear la actividad DDo S y las respuestas DDo antiS en la consola. Para obtener más información, consulte [Paneles de información general sobre el tráfico para paquetes de protección (web ACLs)](web-acl-dashboards.md).
+ **Registro y métricas**: le permiten monitorear el tráfico y comprender los efectos de la protección DDo antiS. Configure los registros, la recopilación de datos de Amazon Security Lake y CloudWatch las métricas de Amazon para su paquete de protección (ACL web). Para obtener información sobre estas opciones, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md), [Monitorización con Amazon CloudWatch](monitoring-cloudwatch.md) y [What is Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html).
+ **Etiquetas y reglas de coincidencia de etiquetas**: le permiten personalizar la gestión de las solicitudes web identificadas por el grupo de reglas gestionado por DDo Anti-S. Si se aplica cualquier regla de `AWSManagedRulesAntiDDoSRuleSet`, puede cambiar al modo de recuento y hacer coincidir etiquetas agregadas. Para obtener más información, consulte [Instrucción de regla de coincidencia de etiquetas](waf-rule-statement-type-label-match.md) y [Etiquetado de solicitudes web en AWS WAF](waf-labels.md).
+ **Solicitudes y respuestas personalizadas**: permiten agregar encabezados personalizados a solicitudes permitidas y enviar respuestas personalizadas para solicitudes bloqueadas. Combine la coincidencia de etiquetas con las funciones AWS WAF personalizadas de solicitud y respuesta. Para obtener más información, consulte [Solicitudes y respuestas web personalizadas en AWS WAF](waf-custom-request-response.md).

# Añadir el grupo de reglas gestionado Anti- DDo S a su paquete de protección (ACL web)
<a name="waf-anti-ddos-rg-using"></a>

En esta sección se explica cómo se agrega y configura el grupo de reglas `AWSManagedRulesAntiDDoSRuleSet`.

Para configurar el grupo de reglas gestionado por DDo Anti-S, debe proporcionar ajustes que incluyan la sensibilidad del grupo de reglas a los ataques DDo S y las acciones que realiza ante las solicitudes que participan o podrían estar participando en los ataques. Esta configuración se suma a la configuración normal de un grupo de reglas administradas. 

Para ver la descripción del grupo de reglas y la lista de etiquetas y reglas, consulte [AWS WAF Grupo de reglas de prevención de denegación de servicio (DDoS) distribuida](aws-managed-rule-groups-anti-ddos.md).

Esta guía está destinada a los usuarios que, en general, saben cómo crear y administrar paquetes de AWS WAF protección (web ACLs), reglas y grupos de reglas. Estos temas se tratan en secciones anteriores de esta guía. Para obtener información básica sobre cómo agregar un grupo de reglas administradas a su paquete de protección (ACL web), consulte [Adición de un grupo de reglas administradas a un paquete de protección (ACL web) a través de la consola](waf-using-managed-rule-group.md).

**Seguir las prácticas recomendadas**  
Utilice el grupo de reglas Anti- DDo S de acuerdo con las prácticas recomendadas de[Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF](waf-managed-protections-best-practices.md). 

**Uso del grupo de reglas de `AWSManagedRulesAntiDDoSRuleSet` en su paquete de protección (ACL web)**

1. Añada el grupo de reglas AWS gestionado `AWSManagedRulesAntiDDoSRuleSet` a su paquete de protección (ACL web) y **edite** la configuración del grupo de reglas antes de guardarlo. 
**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

1. En el panel **Configuración del grupo de reglas**, proporcione cualquier configuración personalizada para el grupo de reglas `AWSManagedRulesAntiDDoSRuleSet`. 

   1. En el **caso del nivel de sensibilidad del bloque**, especifique el grado de sensibilidad que desea `DDoSRequests` que tenga la regla cuando coincida con la etiqueta de sospecha DDo S del grupo de reglas. A mayor sensibilidad, más bajo es el umbral de etiquetado necesario para que la regla coincida: 
      + La sensibilidad baja es menos sensible, lo que hace que la regla coincida solo con los participantes más evidentes en un ataque, quienes tienen la etiqueta de sospecha alta `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`.
      + La sensibilidad media hace que la regla coincida con las etiquetas de sospecha media y alta.
      + La sensibilidad alta hace que la regla coincida con todas las etiquetas de sospecha: baja, media y alta.

      Esta regla proporciona el tratamiento más riguroso posible de las solicitudes web sospechosas de participar en ataques tipo DDo S. 

   1. Para **Habilitar desafío**, elija si habilita las reglas `ChallengeDDoSRequests` y `ChallengeAllDuringEvent`, que de manera predeterminada aplican la acción Challenge a las solicitudes que coinciden. 

      Estas reglas permiten gestionar las solicitudes de forma que los usuarios legítimos puedan tramitarlas y, al mismo tiempo, bloquear a los participantes en el ataque DDo S. Puede reemplazar la acción por Allow o Count, o deshabilitar estas reglas.

      Si decide habilitarlas, proporcione cualquier configuración adicional que desee: 
      + Para el **nivel de sensibilidad del desafío**, especifique la sensibilidad que desea que la regla `ChallengeDDoSRequests` aplique. 

        A mayor sensibilidad, más bajo es el umbral de etiquetado necesario para que la regla coincida: 
        + La sensibilidad baja es menos sensible, lo que hace que la regla coincida solo con los participantes más evidentes en un ataque, quienes tienen la etiqueta de sospecha alta `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`.
        + La sensibilidad media hace que la regla coincida con las etiquetas de sospecha media y alta.
        + La sensibilidad alta hace que la regla coincida con todas las etiquetas de sospecha: baja, media y alta.
      + En el **caso de las expresiones regulares de URI exentas**, proporciona una expresión regular que coincida con la de las URIs solicitudes web que no pueden gestionar un navegador silencioso. La Challenge acción bloqueará eficazmente las solicitudes a las URIs que les falte el token de desafío, a menos que puedan gestionar el desafío del navegador silencioso. 

        La acción Challenge solo funciona correctamente cuando el cliente espera contenido HTML. Para obtener más información sobre cómo funciona la acción, consulte [Comportamiento de acción CAPTCHA y Challenge](waf-captcha-and-challenge-actions.md). 

        Revise la expresión regular predeterminada y actualícela según sea necesario. Las reglas utilizan la expresión regular especificada para identificar las solicitudes URIs que no pueden gestionar la Challenge acción y evitar que las reglas devuelvan un desafío. Las solicitudes que excluya de esta manera solo podrán bloquearse mediante el grupo de reglas que incluye la regla `DDoSRequests`. 

        La expresión predeterminada que aparece en la consola cubre la mayoría de los casos de uso, pero debe revisarla y adaptarla a su aplicación. 

        AWS WAF admite la sintaxis de patrones utilizada por la biblioteca PCRE, `libpcre` con algunas excepciones. La biblioteca está documentada en [PCRE, expresiones regulares compatibles con Perl](http://www.pcre.org/). Para obtener información sobre el AWS WAF soporte, consulte[Sintaxis de expresiones regulares admitida en AWS WAF](waf-regex-pattern-support.md).

1. Proporcione cualquier configuración adicional que desee para el grupo de reglas y guarde la regla. 
**nota**  
AWS recomienda no utilizar una declaración de alcance reducido con este grupo de reglas gestionado. La declaración de alcance limitado limita las solicitudes que el grupo de reglas observa y, por lo tanto, puede dar como resultado una línea base de tráfico imprecisa y una disminución de la detección de eventos S. DDo Aunque la opción de reducción de alcance está disponible para todas las declaraciones de grupos de reglas administradas, no debe usarse en este caso. Para obtener información sobre las instrucciones de restricción de acceso, consulte [Uso de declaraciones de alcance reducido en AWS WAF](waf-rule-scope-down-statements.md).

1. En la página **Definir la prioridad** de las reglas, mueva hacia arriba la nueva regla del grupo de reglas DDo antiS gestionado para que se ejecute solo después de cualquier regla de Allow acción que tenga y antes que cualquier otra regla. Esto le da al grupo de reglas la capacidad de rastrear la mayor parte del tráfico para obtener la protección DDo Anti-S. 

1. Guarde los cambios en el paquete de protección (ACL web). 

Antes de implementar su implementación DDo anti-S para el tráfico de producción, pruébela y ajústela en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas. Consulte la sección siguiente para obtener orientación. 

# Prueba e implementación de Anti- DDo S
<a name="waf-anti-ddos-deploying"></a>

Deberá configurar y probar la prevención de la denegación de servicio AWS WAF distribuida (DDoS) antes de implementar la función. Esta sección ofrece pautas generales para la configuración y las pruebas; sin embargo, los pasos específicos que elija dependerán de sus necesidades, sus recursos y el tipo de solicitudes web que reciba. 

Esta información se suma a la información general sobre las pruebas y los ajustes que se proporcionan en [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).

**nota**  
AWS Las reglas administradas están diseñadas para protegerlo de las amenazas web más comunes. Cuando se utilizan de acuerdo con la documentación, los grupos de reglas de reglas AWS administradas añaden otro nivel de seguridad a sus aplicaciones. Sin embargo, los grupos de reglas de reglas AWS administradas no pretenden sustituir sus responsabilidades de seguridad, que vienen determinadas por los AWS recursos que seleccione. Consulte el [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) para asegurarse de que sus recursos AWS estén debidamente protegidos. 

**Riesgo de tráfico de producción**  
Pruebe y ajuste su implementación DDo antiS en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en su tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas. 

Esta guía está destinada a los usuarios que, en general, saben cómo crear y administrar paquetes de AWS WAF protección (web ACLs), reglas y grupos de reglas. Estos temas se tratan en secciones anteriores de esta guía. 

**Para configurar y probar una implementación de prevención de denegación de servicio AWS WAF distribuida DDo**

Realice estos pasos primero en un entorno de prueba y, después, en producción.

1. 

**Agregue el grupo de reglas gestionadas de prevención de denegación de servicio (DDoS) AWS WAF distribuida en modo de recuento**
**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

   Agregue el grupo de reglas AWS administradas `AWSManagedRulesAntiDDoSRuleSet` a un paquete de protección nuevo o existente (ACL web) y configúrelo de manera que no altere el comportamiento actual del paquete de protección (ACL web). Para obtener más información sobre las reglas y etiquetas de este grupo de reglas, consulte [AWS WAF Grupo de reglas de prevención de denegación de servicio (DDoS) distribuida](aws-managed-rule-groups-anti-ddos.md).
   + Cuando añada el grupo de reglas administradas, edítelo y haga lo siguiente: 
     + En el panel de **configuración del grupo de reglas**, proporcione los detalles necesarios para realizar actividades DDo antiS para su tráfico web. Para obtener más información, consulte [Añadir el grupo de reglas gestionado Anti- DDo S a su paquete de protección (ACL web)](waf-anti-ddos-rg-using.md).
     + En el panel **Reglas**, abra el menú desplegable **Anular todas las acciones de reglas** y elija **Count**. Con esta configuración, AWS WAF evalúa las solicitudes comparándolas con todas las reglas del grupo de reglas y solo cuenta las coincidencias resultantes, sin dejar de agregar etiquetas a las solicitudes. Para obtener más información, consulte [Invalidar acciones de reglas en un grupo de reglas](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

       Con esta modificación, puede supervisar el posible impacto de las reglas gestionadas por DDo Anti-S para determinar si desea realizar modificaciones, por ejemplo, ampliar la expresión regular para las URIs que no soportan un navegador silencioso. 
   + Ubique el grupo de reglas de manera que se evalúe lo antes posible, inmediatamente después de cualquier regla que permita el tráfico. Las reglas se evalúan en orden ascendente de prioridad numérica. La consola establece ese orden automáticamente, empezando por la parte superior de la lista de reglas. Para obtener más información, consulte [Cómo establecer la prioridad de las reglas](web-acl-processing-order.md). 

1. 

**Habilitación del registro y las métricas para el paquete de protección (ACL web)**

   Según sea necesario, configure el registro, la recopilación de datos de Amazon Security Lake, el muestreo de solicitudes y CloudWatch las métricas de Amazon para el paquete de protección (ACL web). Puede utilizar estas herramientas de visibilidad para supervisar la interacción del grupo de reglas gestionado por DDo Anti-S con su tráfico. 
   + Para obtener información sobre la configuración y uso de los registros, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md). 
   + Para obtener información acerca de Amazon Security Lake, consulte [¿Qué es Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) y [Recopilación de datos de AWS los servicios de](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) la *guía del usuario de Amazon Security Lake*. 
   + Para obtener información sobre CloudWatch las métricas de Amazon, consulta[Monitorización con Amazon CloudWatch](monitoring-cloudwatch.md). 
   + Para obtener información sobre cómo el muestreo de las solicitudes de web, consulte [Visualizar una muestra de solicitudes web](web-acl-testing-view-sample.md). 

1. 

**Asociar el paquete de protección (ACL web) con un recurso**

   Si el paquete de protección (ACL web) aún no está asociado a un recurso de prueba, asócielo. Para obtener información, consulte [Asociar o disociar la protección a un recurso AWS](web-acl-associating-aws-resource.md).

1. 

**Supervise el tráfico y las coincidencias DDo de las reglas antiS**

   Asegúrese de que su tráfico normal fluya y de que las reglas del grupo de reglas gestionado por DDo Anti-S agreguen etiquetas a las solicitudes web coincidentes. Puedes ver las etiquetas en los registros y ver las métricas DDo antiS y de etiquetas en las métricas de Amazon CloudWatch . En los registros, las reglas que ha anulado para el recuento en el grupo de reglas aparecen en `ruleGroupList` con `action` establecida para el recuento y con `overriddenAction` indicando la acción de regla configurada que ha anulado. 

1. 

**Personalice la gestión de las solicitudes web de Anti- DDo S**

   Según sea necesario, añada sus propias reglas que permitan o bloqueen las solicitudes de forma explícita para cambiar la forma en que las reglas Anti- DDo S las gestionarían de otro modo. 

   Por ejemplo, puede utilizar las etiquetas Anti- DDo S para permitir o bloquear las solicitudes o para personalizar su gestión. Puede añadir una regla de coincidencia de etiquetas después del grupo de reglas gestionado por Anti- DDo S para filtrar las solicitudes etiquetadas según la gestión que desee aplicar. Tras realizar las pruebas, mantenga las reglas Anti- DDo S relacionadas en el modo de recuento y mantenga las decisiones de gestión de las solicitudes en su regla personalizada. 

1. 

**Elimine las reglas de prueba y configure los ajustes de DDo Anti-S**

   Revise los resultados de las pruebas para determinar qué reglas DDo antiS desea mantener en el modo de recuento únicamente para su supervisión. Para las reglas que desea ejecutar con protección activa, deshabilite el modo de conteo en la configuración del grupo de reglas del paquete de protección (ACL web) para que puedan ejecutar sus acciones configuradas. Una vez que haya finalizado estos ajustes, elimine cualquier regla temporal de coincidencia por etiqueta y conserve solo las reglas personalizadas necesarias para el entorno de producción. Para obtener información adicional sobre la configuración DDo Anti-S, consulte[Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF](waf-managed-protections-best-practices.md).

1. 

**Monitorización y ajuste**

   Para asegurarse de que las solicitudes web se gestionan como usted desea, supervise de cerca el tráfico después de activar la funcionalidad Anti- DDo S que pretende utilizar. Ajuste el comportamiento según sea necesario con la anulación del recuento de reglas en el grupo de reglas y con sus propias reglas. 

# Mejores prácticas para Anti- DDo S
<a name="waf-anti-ddos-best-practices"></a>
+ **Habilite la protección durante los períodos de tráfico normales**: esto permite que la protección establezca patrones de tráfico de referencia antes de responder a los ataques. Añada protección cuando no sufra un ataque y espere un tiempo para establecer la base de referencia.
+ **Supervise las métricas con regularidad**: revise CloudWatch las métricas para comprender los patrones de tráfico y la eficacia de la protección.
+ **Considere el modo proactivo para las aplicaciones críticas**: si bien se recomienda el modo reactivo para la mayoría de los casos de uso, considere usar el modo proactivo para las aplicaciones que requieren una protección continua contra las amenazas conocidas.
+ **Realice pruebas en entornos de ensayo**: antes de habilitar la protección en producción, pruebe y ajuste la configuración en un entorno provisional para comprender el impacto en el tráfico legítimo.