1. ¿Qué es AWS WAF?
AWS WAF es un firewall para aplicaciones web que ayuda a proteger aplicaciones web contra ataques al permitirle configurar reglas que habilitan, bloquean o monitorizan (cuentan) las solicitudes web a partir de las condiciones que usted defina. Las condiciones incluyen direcciones IP, encabezados HTTP, cadenas URI, inyección de código SQL y scripts entre sitios.

2. ¿Cómo bloquea o habilita AWS WAF el tráfico?
Cuando el servicio subyacente recibe solicitudes para sus sitios web, las envía a AWS WAF para que las inspeccione de acuerdo con sus normas. Cuando la solicitud cumple una de las condiciones definidas en las reglas, AWS WAF ordena al servicio subyacente que bloquee o habilite la solicitud dependiendo de la acción que haya definido.

3. ¿Cómo protege AWS WAF mi sitio web o aplicación?
AWS WAF está muy integrado con Amazon CloudFront y el Application Load Balancer (ALB), servicios que los clientes de AWS utilizan con frecuencia para entregar contenido para sus sitios web y aplicaciones. Cuando utiliza AWS WAF en Amazon CloudFront, sus reglas se ejecutan en todas las ubicaciones de borde de AWS, situadas por todo el mundo, cerca de sus usuarios finales. Por lo tanto, no se sacrifica el desempeño en favor de la seguridad. Las solicitudes bloqueadas se detienen antes de llegar a los servidores web. Cuando utiliza AWS WAF en el Application Load Balancer, sus reglas se ejecutan en la región y pueden usarse para proteger los recursos que apuntan a Internet, así como balanceadores de carga internos.

4. ¿Puedo usar AWS WAF para proteger sitios web no alojados en AWS?
Sí, AWS WAF se integra con Amazon CloudFront, que admite los orígenes personalizados ajenos a AWS.

5. ¿Qué tipos de ataque puede ayudar a detener AWS WAF?
AWS WAF le ayuda a proteger su sitio web de técnicas comunes de ataque, como la inyección de código SQL y los scripts entre sitios (XSS). Además, puede crear reglas que bloqueen ataques de usuarios-agentes específicos, bots malintencionados o extractores de contenido. Consulte la Guía para desarrolladores de AWS WAF para ver varios ejemplos.

6. ¿Puedo obtener el historial de todas las llamadas a la API de AWS WAF realizadas en mi cuenta, por motivos de auditoría de seguridad, operativa o de conformidad?
Sí. Para recibir un historial de todas las llamadas a la API de AWS WAF realizadas en su cuenta, solo tiene que activar AWS CloudTrail en la consola de administración de AWS de CloudTrail. Para más información, visite la página de inicio de AWS CloudTrail o la guía para desarrolladores de AWS WAF.

7. ¿Es AWS WAF compatible con IPv6?
Sí, la compatibilidad con IPv6 permite a AWS WAF inspeccionar las solicitudes HTTP/S provenientes de direcciones IPv4 e IPv6.

8. ¿Es la condición de emparejamiento IPSet para una regla de AWS WAF compatible con IPv6?
Sí, puede configurar nuevas condiciones de emparejamento IPv6 para WebACL nuevas y existentes, tal y como se describe en la documentación.

9.¿Aparecerán direcciones IPv6 en las solicitudes de muestra de AWS WAF cuando proceda?
Sí. Las solicitudes de muestra mostrarán las direcciones IPv6 cuando proceda.

10. ¿Puedo utilizar IPv6 con todas las características de IPv6?
Sí. Podrá utilizar todas las características existentes para el tráfico a través de IPv4 e IPv6 sin que se produzcan cambios perceptibles en el desempeño, la escalabilidad o la disponibilidad del servicio.

11. ¿Qué servicios admite AWS WAF?
AWS WAF puede implementarse en Amazon CloudFront y el Application Load Balancer (ALB). En Amazon CloudFront, puede formar parte de su red de distribución de contenido (CDN) para proteger sus recursos y contenido en las ubicaciones de borde, mientras que en Application Load Balancer pude proteger sus servidores web de origen al situarse tras los ALB.

12. ¿En qué regiones está disponible AWS WAF en el ALB?
EE.UU. Este (Norte de Virginia), EE.UU. Oeste (Norte de California), EE.UU. Oeste (Oregón), Asia Pacífico (Tokio) y UE (Irlanda)

13. ¿AWS WAF es compatible con HIPAA? 

Sí, AWS amplió su programa de conformidad con HIPAA para incluir AWS WAF como un servicio compatible con HIPAA. Si tiene un Acuerdo de Asociado de Negocios (BAA) con AWS, puede usar AWS WAF para proteger sus aplicaciones web de explotaciones web comunes. Para obtener más información, consulte Conformidad con HIPAA.

14. ¿Cómo funcionan los precios de AWS WAF? ¿Existe algún costo anticipado?

AWS WAF cobra por el número de listas de control de acceso web (ACL web) que crea, el número de reglas que añade por ACL web y el número de solicitudes web que recibe. No se exige ningún compromiso inicial. Los cargos de AWS WAF son adicionales a los precios de Amazon CloudFront y/o los precios de Application Load Balancer (ALB).

15. ¿Qué es la regla basada en la tasa de AWS WAF?

Las reglas basadas en la tasa son un nuevo tipo de reglas que se pueden configurar en AWS WAF. Esta característica le permite especificar la cantidad de solicitudes web admitidas por una IP cliente en un punto final de 5 minutos, actualizado constantemente. Si una dirección IP supera el límite configurado, se bloquearán las nuevas solicitudes hasta que la tasa de solicitudes sea inferior al umbral configurado.

16. ¿En qué se diferencia una regla basada en la tasa de una regla de AWS WAF convencional?

Las reglas basadas en la tasa son parecidas a las reglas convencionales, con una adición: la capacidad de configurar un umbral basado en la tasa. Si, por ejemplo, el umbral de la regla basada en la tasa se configura en, por ejemplo, 2000, la regla bloqueará todas las direcciones IP que hayan tenido más de 2000 solicitudes en el último intervalo de 5 minutos. ¿Puede una regla basada en la tasa contener también alguna otra condición que una regla de AWS WAF convencional tendría?

17. ¿Cuánto cuesta una regla basada en la tasa?

Una regla basada en la tasa cuesta lo mismo que una regla de AWS WAF convencional, es decir, 1 USD por regla por WebACL por mes.

18. ¿Cuáles son los casos de uso de la regla basada en la tasa?

Estos son algunos de los casos de uso populares para los que los clientes pueden utilizar las reglas basadas en la tasa:

  • Quiero crear una lista negra o contar una dirección IP cuando esta exceda la tasa de umbral configurada (configurable en solicitudes web por punto final de 5 minutos).
  • Quiero saber qué direcciones IP se están añadiendo a la lista negra actualmente porque exceden la tasa de umbral configurada.
  • Quiero que las direcciones IP añadidas a la lista negra se eliminen automáticamente cuando ya no infrinjan la tasa de umbral configurada.
  • Quiero impedir que mis reglas basadas en la tasa añadan ciertos rangos IP de origen de tráfico elevado a la lista negra.

19. ¿Son las condiciones de emparejamiento existentes compatibles con la regla basada en la tasa?

Sí. Las reglas basadas en la tasa son compatibles con las condiciones de emparejamiento de AWS WAF existentes. Eso le permite refinar todavía más sus criterios de emparejamiento y limitar las migraciones basadas en la tasa a URL específicas de su sitio web o el tráfico procedente de orígenes de referencia específicos (o agentes de usuario) o añadir otros criterios de emparejamiento personalizados.

20. ¿Puedo usar la regla basada en la tasa para mitigar ataques DDoS en la capa web?

Sí. Este nuevo tipo de regla está diseñado para protegerle de casos de uso como los ataques DDoS en la capa web, los intentos de inicio de sesión por fuerza bruta y los bots dañinos.

21. ¿Qué características de visibilidad ofrecen las reglas basadas en la tasa?

Las reglas basadas en la tasa admiten todas las características de visibilidad disponibles actualmente en las reglas de AWS WAF convencionales. Además, dispondrá de visibilidad de las direcciones IP bloqueadas como consecuencia de la regla basada en la tasa.

22. ¿Puedo usar la regla basada en la tasa para limitar el acceso a ciertas partes de mi página web?

Sí. Aquí tiene un ejemplo. Suponga que quiere limitar las solicitudes en la página de inicio de sesión de su sitio web. Para ello, podría añadir la siguiente condición de emparejamiento de cadenas en una regla basada en la tasa:

  • La parte de la solicitud que se filtrará es “URI”.
  • El tipo de emparejamiento es “Starts with”.
  • Un valor a emparejar es “/login” (tiene que ser aquello que identifique a la página de inicio de sesión en la porción URI de la solicitud web).

Además, debe especificar un límite de la tasa de, por ejemplo, 15 000 solicitudes cada 5 minutos. Añadir esta regla basada en la tasa a la ACL de una web limita las solicitudes en la página de inicio de sesión por dirección IP sin afectar al resto del sitio web.

23. ¿Puedo impedir que mi regla basada en la tasa añada ciertos rangos IP de origen de tráfico elevado a la lista negra?

Sí. Para ello, puede añadir una condición de lista blanca de IP a la regla basada en la tasa.

24. ¿Qué grado de precisión ofrece su base de datos GeoIP?

La precisión de la dirección IP de la base de datos de búsqueda de países varía según la región. Según unas pruebas recientes, nuestra precisión global del mapeo de la dirección IP a un país es del 99,8%.

1. ¿Qué son las reglas gestionadas de AWS WAF?

Las reglas gestionadas de AWS WAF son un método sencillo para implementar reglas preconfiguradas para la protección contra amenazas habituales derivadas de las vulnerabilidades de las aplicaciones, como OWASP, bots o vulnerabilidades y exposiciones habituales (CVE). Los distribuidores de seguridad de AWS Marketplace actualizan automáticamente todas las reglas gestionadas.

2. ¿Cómo puedo suscribirme a las reglas gestionadas?

Puede suscribirse a una regla gestionada suministrada por un distribuidor de seguridad de Marketplace a través de la consola de AWS WAF o a través de AWS Marketplace. Todas las reglas gestionadas suscritas estarán a su disposición para poder añadirlas a una ACL web de AWS WAF.

3. ¿Puedo utilizar las reglas gestionadas junto con mis reglas actuales de AWS WAF?

Sí, puede utilizar las reglas gestionadas junto con sus reglas personalizadas de AWS WAF. Puede añadir reglas gestionadas a su ACL web de AWS WAF existente donde ya esté utilizando sus propias reglas.

4. ¿Una regla gestionada tiene varias reglas de AWS WAF?

Si, cada regla gestionada puede tener varias reglas de AWS WAF. El número de reglas depende de cada distribuidor de seguridad y de su producto de Marketplace.

5. ¿Las reglas gestionadas se añadirán a mi límite existente de reglas de AWS WAF?

El número de reglas incluidas en una regla gestionada no afectará a sus límites de AWS WAF. No obstante, cada regla gestionada añadida a su ACL web contará como una regla.

6. ¿Cómo puedo deshabilitar una regla gestionada?

Puede añadir una regla gestionada a una ACL web o eliminarla de la ACL web en cualquier momento. Las reglas gestionadas se deshabilitan al disociar una regla gestionada de cualquier ACL web.

7.¿Cómo puedo probar una regla gestionada?

AWS WAF permite configurar una acción de “recuento” para una regla gestionada, que determina el número de solicitudes web que cumplen las condiciones de las reglas incluidas en la regla gestionada. Puede consultar la cantidad de solicitudes web contadas para estimar cuántas solicitudes web se bloquearían o habilitarían activara la regla gestionada.

Comience con AWS de forma gratuita

Cree una cuenta gratuita

Disfrute de doce meses de acceso a la capa gratuita de AWS y de otras características del nivel Basic de AWS Support, entre otras, un servicio ininterrumpido de soporte al cliente, foros de soporte y muchas más.


1. ¿Puedo configurar páginas de error personalizadas?
Sí, puede configurar CloudFront de manera que presente una página de error personalizada cuando se bloqueen solicitudes. Para obtener más información, consulte la Guía para desarrolladores de CloudFront

2. ¿Cuánto tarda AWS WAF en propagar las reglas?
Tras la configuración inicial, la agregación o cambio de las reglas suele tardar un minuto en propagarse por todo el mundo.

3. ¿Cómo puedo comprobar que las reglas funcionan?
AWS WAF incorpora dos maneras distintas de comprobar que su sitio web está protegido: existen métricas tomadas cada minuto y disponibles en CloudWatch y solicitudes web de muestra en la API de AWS WAF o en la consola de administración. De ese modo, puede ver las solicitudes bloqueadas, habilitadas o contadas y qué regla se aplicó para una solicitud determinada (es decir, si la solicitud web se bloqueó debido a una condición de la dirección IP, etc.). Para obtener más información, consulte la Guía para desarrolladores de AWS WAF.

4. ¿Cómo puedo poner a prueba las reglas?
AWS WAF permite configurar una acción de "cuenta" que determina la cantidad de solicitudes web que cumplen las condiciones de sus reglas. Puede consultar la cantidad de solicitudes web contadas para estimar cuántas solicitudes web se bloquearían o habilitarían si activara la regla.

5. ¿Durante cuánto tiempo se almacenan las métricas en tiempo real y las solicitudes web de muestra?
Las métricas en tiempo real se almacenan en Amazon CloudWatch. Con Amazon CloudWatch puede configurar el tiempo tras el cual desea que los eventos expiren. Las solicitudes web de muestra se almacenan durante un máximo de 2 horas.

6. ¿Puede AWS WAF inspeccionar el tráfico HTTPS?
Sí. AWS WAF ayuda a proteger aplicaciones y puede inspeccionar solicitudes web transmitidas mediante HTTP o HTTPS.