セキュリティ

AWS WAF

Firewall de aplicaciones web que protege aplicaciones contra exploits web comunes mediante reglas personalizables que filtran tráfico HTTP/HTTPS malicioso

Unos 4 min de lectura

Descripción general

AWS WAF es un firewall de aplicaciones web que permite crear reglas de seguridad para controlar el tráfico HTTP/HTTPS que llega a las aplicaciones. Protege contra exploits web comunes como inyección SQL, cross-site scripting (XSS), y ataques de fuerza bruta. Se despliega en CloudFront, ALB, API Gateway y AppSync, inspeccionando cada solicitud contra un conjunto de reglas configurables. Las reglas gestionadas de AWS y del Marketplace proporcionan protección inmediata contra amenazas conocidas sin necesidad de escribir reglas personalizadas.

Web ACLs, reglas y grupos de reglas

Una Web ACL (Access Control List) es el recurso principal de WAF que contiene las reglas que se evalúan contra cada solicitud. Las reglas pueden ser individuales o agrupadas en grupos de reglas (rule groups) para organización y reutilización. Cada regla define condiciones de coincidencia (match conditions) y una acción (Allow, Block, Count, CAPTCHA). Las condiciones inspeccionan componentes de la solicitud: IP de origen, encabezados, cuerpo, URI, query string y cookies. Las reglas se evalúan en orden de prioridad, y la primera regla que coincide determina la acción. Los grupos de reglas gestionados por AWS (AWS Managed Rules) incluyen protección contra OWASP Top 10, bots maliciosos, IPs maliciosas conocidas y patrones de ataque específicos por aplicación. El modo Count permite evaluar el impacto de una regla sin bloquear tráfico, esencial para pruebas antes de activar el bloqueo.

Rate limiting y protección contra bots

Las reglas basadas en tasa (rate-based rules) limitan el número de solicitudes desde una misma IP en un período de 5 minutos, protegiendo contra ataques de fuerza bruta y DDoS a nivel de aplicación. Se pueden definir múltiples reglas de tasa con diferentes umbrales y alcances: por IP global, por IP por URI específico, o por IP con encabezados específicos. Bot Control es un grupo de reglas gestionado que clasifica el tráfico de bots en categorías (verificados como Googlebot, no verificados, maliciosos) y permite aplicar diferentes acciones por categoría. CAPTCHA y Challenge son acciones que presentan desafíos al cliente para verificar que es un navegador legítimo, útiles para proteger formularios de login y páginas de registro sin bloquear usuarios legítimos. Los tokens de inmunidad permiten que clientes que pasan el desafío naveguen sin interrupciones durante un período configurable.

Logging, métricas y respuesta a incidentes

WAF registra cada solicitud evaluada con detalles completos: encabezados, regla que coincidió, acción tomada y timestamp. Los logs se envían a CloudWatch Logs, S3 o Kinesis Data Firehose para análisis. Las métricas de CloudWatch muestran solicitudes permitidas, bloqueadas y contadas por regla, habilitando dashboards de seguridad en tiempo real. Para respuesta a incidentes, el análisis de logs permite identificar patrones de ataque, IPs de origen y vectores utilizados. Las reglas de IP set permiten bloquear rápidamente IPs atacantes identificadas. La integración con Firewall Manager permite desplegar políticas WAF consistentes en todas las cuentas de una organización, asegurando que todas las aplicaciones tengan un nivel mínimo de protección. Shield Advanced incluye WAF sin costo adicional para recursos protegidos y acceso al Shield Response Team para asistencia con reglas WAF durante ataques.

共有するXB!

Términos relacionados

AWS ShieldAmazon CloudFrontElastic Load BalancingAmazon API GatewayAWS Firewall Manager

Servicios relacionados

AWS ShieldAmazon CloudFrontAmazon API GatewayAWS Firewall Manager

Artículos relacionados

Protección contra DDoS - Diseño y operación de defensa multicapa con AWS ShieldExplicamos la defensa contra DDoS con AWS Shield Standard y Shield Advanced. Presentamos de forma práctica la integración con CloudFront, Route 53 y ALB, la combinación con WAF y la función de protección de costos.Protección DDoS con AWS Shield - Elección entre Standard y AdvancedExplicamos las diferencias entre la protección gratuita L3/L4 de Standard y la protección avanzada L7 de Advanced con asistencia del SRT, la protección de costos y la integración con WAF.Bot Control y prevención de fraude en AWS WAF - Implementación de protección contra bots y prevención de apropiación de cuentasDetecta scrapers y herramientas de automatización con Bot Control, y previene credential stuffing con ATP. También presentamos el diseño de experiencia de usuario con challenges y CAPTCHA.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Amazon.com es el mayor cliente de AWS - El secreto de la calidad del servicio nacido del dogfooding internoA partir del hecho de que el sitio de comercio electrónico de Amazon.com, Prime Video y Alexa funcionan sobre AWS, explicamos cómo el dogfooding interno mejora la calidad del servicio y cómo la carga del Prime Day ha fortalecido el diseño de AWS.

Términos y artículos similares

AWS WAFFirewall de aplicaciones web que protege aplicaciones contra exploits web comunesProtección contra DDoS - Diseño y operación de defensa multicapa con AWS ShieldExplicamos la defensa contra DDoS con AWS Shield Standard y Shield Advanced. Presentamos de forma práctica la integración con CloudFront, Route 53 y ALB, la combinación con WAF y la función de protección de costos.Protección DDoS con AWS Shield - Elección entre Standard y AdvancedExplicamos las diferencias entre la protección gratuita L3/L4 de Standard y la protección avanzada L7 de Advanced con asistencia del SRT, la protección de costos y la integración con WAF.Gestión centralizada de reglas de seguridad con AWS Firewall Manager - Despliegue organizacional de WAF y Security GroupsGestionamos centralizadamente las reglas WAF, Security Groups y políticas de Network Firewall en toda la organización, manteniendo la línea base de seguridad con aplicación automática a nuevas cuentas.