**Presentamos una nueva experiencia de consola para AWS WAF** Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte [Trabajar con la consola](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Añadir el grupo de reglas gestionado Anti- DDo S a su paquete de protección (ACL web) En esta sección se explica cómo se agrega y configura el grupo de reglas `AWSManagedRulesAntiDDoSRuleSet`. Para configurar el grupo de reglas gestionado por DDo Anti-S, debe proporcionar ajustes que incluyan la sensibilidad del grupo de reglas a los ataques DDo S y las acciones que realiza ante las solicitudes que participan o podrían estar participando en los ataques. Esta configuración se suma a la configuración normal de un grupo de reglas administradas. Para ver la descripción del grupo de reglas y la lista de etiquetas y reglas, consulte [AWS WAF Grupo de reglas de prevención de denegación de servicio (DDoS) distribuida](aws-managed-rule-groups-anti-ddos.md). Esta guía está destinada a los usuarios que, en general, saben cómo crear y administrar paquetes de AWS WAF protección (web ACLs), reglas y grupos de reglas. Estos temas se tratan en secciones anteriores de esta guía. Para obtener información básica sobre cómo agregar un grupo de reglas administradas a su paquete de protección (ACL web), consulte [Adición de un grupo de reglas administradas a un paquete de protección (ACL web) a través de la consola](waf-using-managed-rule-group.md). **Seguir las prácticas recomendadas** Utilice el grupo de reglas Anti- DDo S de acuerdo con las prácticas recomendadas de[Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF](waf-managed-protections-best-practices.md). **Uso del grupo de reglas de `AWSManagedRulesAntiDDoSRuleSet` en su paquete de protección (ACL web)** 1. Añada el grupo de reglas AWS gestionado `AWSManagedRulesAntiDDoSRuleSet` a su paquete de protección (ACL web) y **edite** la configuración del grupo de reglas antes de guardarlo. **nota** Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/). 1. En el panel **Configuración del grupo de reglas**, proporcione cualquier configuración personalizada para el grupo de reglas `AWSManagedRulesAntiDDoSRuleSet`. 1. En el **caso del nivel de sensibilidad del bloque**, especifique el grado de sensibilidad que desea `DDoSRequests` que tenga la regla cuando coincida con la etiqueta de sospecha DDo S del grupo de reglas. A mayor sensibilidad, más bajo es el umbral de etiquetado necesario para que la regla coincida: + La sensibilidad baja es menos sensible, lo que hace que la regla coincida solo con los participantes más evidentes en un ataque, quienes tienen la etiqueta de sospecha alta `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`. + La sensibilidad media hace que la regla coincida con las etiquetas de sospecha media y alta. + La sensibilidad alta hace que la regla coincida con todas las etiquetas de sospecha: baja, media y alta. Esta regla proporciona el tratamiento más riguroso posible de las solicitudes web sospechosas de participar en ataques tipo DDo S. 1. Para **Habilitar desafío**, elija si habilita las reglas `ChallengeDDoSRequests` y `ChallengeAllDuringEvent`, que de manera predeterminada aplican la acción Challenge a las solicitudes que coinciden. Estas reglas permiten gestionar las solicitudes de forma que los usuarios legítimos puedan tramitarlas y, al mismo tiempo, bloquear a los participantes en el ataque DDo S. Puede reemplazar la acción por Allow o Count, o deshabilitar estas reglas. Si decide habilitarlas, proporcione cualquier configuración adicional que desee: + Para el **nivel de sensibilidad del desafío**, especifique la sensibilidad que desea que la regla `ChallengeDDoSRequests` aplique. A mayor sensibilidad, más bajo es el umbral de etiquetado necesario para que la regla coincida: + La sensibilidad baja es menos sensible, lo que hace que la regla coincida solo con los participantes más evidentes en un ataque, quienes tienen la etiqueta de sospecha alta `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`. + La sensibilidad media hace que la regla coincida con las etiquetas de sospecha media y alta. + La sensibilidad alta hace que la regla coincida con todas las etiquetas de sospecha: baja, media y alta. + En el **caso de las expresiones regulares de URI exentas**, proporciona una expresión regular que coincida con la de las URIs solicitudes web que no pueden gestionar un navegador silencioso. La Challenge acción bloqueará eficazmente las solicitudes a las URIs que les falte el token de desafío, a menos que puedan gestionar el desafío del navegador silencioso. La acción Challenge solo funciona correctamente cuando el cliente espera contenido HTML. Para obtener más información sobre cómo funciona la acción, consulte [Comportamiento de acción CAPTCHA y Challenge](waf-captcha-and-challenge-actions.md). Revise la expresión regular predeterminada y actualícela según sea necesario. Las reglas utilizan la expresión regular especificada para identificar las solicitudes URIs que no pueden gestionar la Challenge acción y evitar que las reglas devuelvan un desafío. Las solicitudes que excluya de esta manera solo podrán bloquearse mediante el grupo de reglas que incluye la regla `DDoSRequests`. La expresión predeterminada que aparece en la consola cubre la mayoría de los casos de uso, pero debe revisarla y adaptarla a su aplicación. AWS WAF admite la sintaxis de patrones utilizada por la biblioteca PCRE, `libpcre` con algunas excepciones. La biblioteca está documentada en [PCRE, expresiones regulares compatibles con Perl](http://www.pcre.org/). Para obtener información sobre el AWS WAF soporte, consulte[Sintaxis de expresiones regulares admitida en AWS WAF](waf-regex-pattern-support.md). 1. Proporcione cualquier configuración adicional que desee para el grupo de reglas y guarde la regla. **nota** AWS recomienda no utilizar una declaración de alcance reducido con este grupo de reglas gestionado. La declaración de alcance limitado limita las solicitudes que el grupo de reglas observa y, por lo tanto, puede dar como resultado una línea base de tráfico imprecisa y una disminución de la detección de eventos S. DDo Aunque la opción de reducción de alcance está disponible para todas las declaraciones de grupos de reglas administradas, no debe usarse en este caso. Para obtener información sobre las instrucciones de restricción de acceso, consulte [Uso de declaraciones de alcance reducido en AWS WAF](waf-rule-scope-down-statements.md). 1. En la página **Definir la prioridad** de las reglas, mueva hacia arriba la nueva regla del grupo de reglas DDo antiS gestionado para que se ejecute solo después de cualquier regla de Allow acción que tenga y antes que cualquier otra regla. Esto le da al grupo de reglas la capacidad de rastrear la mayor parte del tráfico para obtener la protección DDo Anti-S. 1. Guarde los cambios en el paquete de protección (ACL web). Antes de implementar su implementación DDo anti-S para el tráfico de producción, pruébela y ajústela en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas. Consulte la sección siguiente para obtener orientación.