Presentamos una nueva experiencia de consola para AWS WAF
Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte Trabajar con la consola.
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Protección DDo S a nivel de recursos para balanceadores de carga de aplicaciones
La protección de nivel de recursos DDo S añade una defensa inmediata a los balanceadores de carga de aplicaciones sin incurrir en gastos por implementar grupos de reglas AWS WAF administrados. Este nivel estándar de protección DDo antiS utiliza inteligencia de AWS amenazas y análisis de patrones de tráfico para proteger los balanceadores de carga de aplicaciones. Para identificar las fuentes maliciosas conocidas, la protección Anti- DDo S filtra en el host tanto las direcciones IP directas de los clientes como las cabeceras X-Forwarded-For (XFF). Después de identificar una fuente maliciosa conocida, la protección se activa mediante uno de dos modos:
El modo de protección predeterminado es activo en DDo S y se recomienda para la mayoría de los casos de uso.
Este modo:
-
Activa la protección automáticamente al detectar condiciones de carga elevada o posibles eventos DDo S
-
Limita la velocidad del tráfico proveniente de fuentes maliciosas conocidas solo durante condiciones de ataque
-
Minimiza el impacto en tráfico legítimo durante operaciones normales
-
Utiliza las métricas de estado y los datos de AWS WAF respuesta de Application Load Balancer para determinar cuándo activar la protección
El modo Siempre encendido es un modo opcional que siempre está encendido una vez activado.
Este modo:
-
Mantiene protección continua contra orígenes maliciosos conocidos
-
Limita la velocidad del tráfico de orígenes maliciosos en tiempo real
-
Aplica protección tanto a las conexiones directas como a las solicitudes con encabezados IPs XFF maliciosos
-
Puede tener mayor impacto sobre tráfico legítimo, pero proporciona máxima seguridad
Las solicitudes bloqueadas por la protección DDo S a nivel de recurso se registran en CloudWatch los registros como métricas. LowReputationPacketsDropped LowReputationRequestsDenied Para obtener información, consulte AWS WAF métricas y dimensiones principales.
Habilite la protección DDo S estándar en una WebACL existente
Puede habilitar la protección DDo S al crear una ACL web o actualizar una ACL web existente asociada a Application Load Balancer.
nota
Si tiene una ACL web existente asociada a un Application Load Balancer, la protección DDo Anti-S está habilitada de forma predeterminada con Active en modo DDo S.
Para habilitar la protección DDo Anti-S en la consola AWS WAF
Inicie sesión en la AWS WAF consola Consola de administración de AWS y ábrala en https://console.aws.amazon.com/wafv2/Homev2.
-
Elija Web ACLs en el panel de navegación y, a continuación, abra cualquier ACL web que esté asociada a un Application Load Balancer.
-
Seleccione AWS Recursos asociados.
-
En Protección de nivel DDo de recursos S, elija Editar.
-
Seleccione uno de los siguientes modos:
-
Activo en DDo S (recomendado): la protección solo se activa en condiciones de carga elevada
-
Siempre activo: protección permanente contra orígenes maliciosos conocidos
-
-
Seleccione Save changes (Guardar cambios).
nota
Para obtener información sobre cómo crear una ACL web, consulte Creación de un paquete de protección (ACL web) en AWS WAF.
Optimización de costos de solicitudes de ACL web para su equilibrador de carga de aplicación
Debe asociar una ACL web con su equilibrador de carga de aplicación para habilitar la protección al nivel de recurso. Si su Application Load Balancer está asociado a una ACL web que no tiene configuración, no incurrirá en cargos por las solicitudes; sin embargo, no AWS WAF proporcionará AWS WAF solicitudes de muestra ni informará sobre el Application Load Balancer en las métricas. CloudWatch Puede realizar las siguientes acciones para habilitar las características de observabilidad para el equilibrador de carga de aplicación:
-
Usar la acción
Blocko la acciónAllowcon encabezados de solicitud personalizados en elDefaultAction. Para obtener información, consulte Inserción de encabezados de solicitud personalizados para acciones no bloqueantes. -
Agregar cualquier regla a la ACL web. Para obtener información, consulte AWS WAF reglas.
-
Habilitar un destino de registro. Para obtener información, consulte Configuración del registro de un paquete de protección (ACL web).
-
Asocie la ACL web a una política. AWS Firewall Manager Para obtener información, consulte Crear una AWS Firewall Manager política para AWS WAF.
AWS WAF no proporcionará solicitudes muestreadas ni publicará CloudWatch métricas sin estas configuraciones.
