¿Cómo puedo permitir o bloquear solicitudes de un país o geolocalización específicos con AWS WAF?

Descripción corta

Use la Geographic match rule statement (Declaración de regla de coincidencia geográfica) para bloquear o permitir el acceso a su sitio desde países específicos.

Si desea permitir algunas solicitudes web según el país de origen, agregue una declaración de regla de coincidencia geográfica para los países que desea permitir. A continuación, agregue una segunda declaración de regla de coincidencia geográfica para los países que desee bloquear.

Nota: Si utiliza la restricción geográfica de CloudFront para bloquear el acceso de un país a su contenido, cualquier solicitud de ese país se bloquerá y no se reenviará a AWS WAF. Si desea permitir o bloquear solicitudes en función de la geografía con otros criterios de AWS WAF, utilice una declaración de reglas de coincidencia geográfica de AWS WAF en su lugar.

Resolución

Para permitir o bloquear solicitudes de un país o geolocalización específicos mediante AWS WAF, haga lo siguiente:

1.    Abra la consola de AWS WAF.

2.    En el panel de navegación, en AWS WAF, elija Web ACL (ACL web).

3.    En Region (Región), seleccione la región de AWS en la que creó la ACL web.

       Nota: Seleccione Global si su ACL web está configurada para Amazon CloudFront.

4.    Seleccione su ACL web.

5.    Elija Rules (Reglas) y, luego, Add Rules, Add my own rules and rule groups (Agregar reglas, Agregar mis propias reglas y grupos de reglas).

6.    En Rule Builder (Generador de reglas), ingrese un nombre para la regla.

       Nota: El nombre debe tener de uno a 128 caracteres válidos, como de la A a la Z, de la a a la z, del 0 al 9, - (guion) y _ (guion bajo).

7.    En If a request (Si una solicitud), elija matches the statement (coincide con la instrucción).

8.    En la opción Choose an inspection (Elegir una inspección), elija Originates from a country (Se origina desde un país).

9.    En Choose country codes (Elegir códigos de país), elija el país para el que desea que se inspeccionen las solicitudes.

10.  (Opcional) Elija Source IP address (Dirección IP de origen) o IP address in header (Dirección IP en el encabezado) para utilizarla en la determinación del país de origen.

       Advertencia: Cuando una solicitud se enruta a través de una CDN u otra red proxy, la dirección IP de origen identifica al proxy. A continuación, la dirección IP original se envía en
un encabezado. Tenga cuidado al usar la dirección IP en el encabezado, ya que los proxies pueden manejar los encabezados de manera incoherente y es posible modificarlos para omitir la inspección.

11.   En Action (Acción), elija Allow (Permitir) para permitir solicitudes o Block (Bloquear) para bloquear solicitudes del país elegido en el paso 9.

Nota: Al elegir bloquear o permitir las solicitudes, tenga en cuenta el conjunto de acciones predeterminado para la ACL web. Si la acción predeterminada es Block (Bloquear), las solicitudes que provienen de todos los países se bloquean, excepto las de los países que están permitidos explícitamente en este paso. Esta es la configuración más sencilla para gestionar las peticiones geográficas permitidas, pero esta no ofrece la posibilidad de inspeccionar el contenido de las peticiones.

Si la acción predeterminada es Allow (Permitir), puede crear una regla de negación (NO) para especificar los países que no deben bloquearse. La acción de esta regla debe estar bloqueada. Esto crea una regla que no bloquea las solicitudes de los países que quiere permitir, pero tampoco las permite explícitamente. Las solicitudes deben esperar que se aprueben otras reglas definidas por el usuario, como las inspecciones de contenido malicioso, antes que la acción por defecto las permita. Se trata de una configuración más sólida.

12.   Elija Add rule (Agregar regla).

13.   (Opcional) En Set Rule Priority (Establecer prioridad de regla), seleccione la regla y, luego, mueva su prioridad. Las reglas se procesan en el orden en que aparecen.
Para obtener más información, consulte Orden de procesamiento de reglas y grupos de reglas en una ACL web.

14.   Elija Save (Guardar).

---