**Presentamos una nueva experiencia de consola para AWS WAF**

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte [Trabajar con la consola](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Uso de paquetes de protección (web ACLs) con reglas y grupos de reglas en AWS WAF
<a name="web-acl-processing"></a>

En esta sección se presenta cómo ACLs funcionan los paquetes de protección (web ACLs) y web con las reglas y los grupos de reglas.

La forma en la que un paquete de protección (ACL web) gestione una solicitud web dependerá de lo siguiente: 
+ La configuración de prioridad numérica de las reglas en el paquete de protección (ACL web) y dentro de los grupos de reglas
+ La configuración de la acción en las reglas y en el paquete de protección (ACL web)
+ Cualquier anulación que repercuta en las reglas y en los grupos de reglas que agregue

Para obtener una lista de la configuración de las acciones de reglas, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md). 

Puede personalizar la gestión de solicitudes y respuestas en la configuración de la acción de su regla y en la configuración de acción predeterminada del paquete de protección (ACL web). Para obtener información, consulte [Solicitudes y respuestas web personalizadas en AWS WAF](waf-custom-request-response.md).

**Topics**
+ [Cómo establecer la prioridad de las reglas](web-acl-processing-order.md)
+ [Cómo AWS WAF gestiona las acciones de las reglas y los grupos de reglas](web-acl-rule-actions.md)
+ [Supervisar las acciones de un grupo de reglas en AWS WAF](web-acl-rule-group-override-options.md)

# Cómo establecer la prioridad de las reglas
<a name="web-acl-processing-order"></a>

En esta sección se explica cómo se AWS WAF utiliza la configuración de prioridad numérica para establecer el orden de evaluación de las reglas.

En un paquete de protección (ACL web) y dentro de cualquier grupo de reglas, el orden de evaluación de las reglas se determina mediante la configuración de la prioridad numérica. A cada regla de un paquete de protección (ACL web) debe asignarle una configuración de prioridad única dentro de ese paquete de protección (ACL web), y a cada regla de un grupo de reglas debe asignarle una configuración de prioridad única dentro de ese grupo de reglas. 

**nota**  
Al administrar grupos de reglas, los paquetes de protección (web ACLs), a través de la consola, le AWS WAF asignan una configuración de prioridad numérica exclusiva en función del orden de las reglas de la lista. AWS WAF asigna la prioridad numérica más baja a la regla de la parte superior de la lista y la prioridad numérica más alta a la regla de la parte inferior. 

Al AWS WAF evaluar cualquier grupo de reglas, paquete de protección (ACL web) con respecto a una solicitud web, evalúa las reglas desde la configuración de prioridad numérica más baja hasta que encuentra una coincidencia que finalice la evaluación o agote todas las reglas.

Por ejemplo, supongamos que tiene las siguientes reglas y grupos de reglas en su paquete de protección (ACL web), priorizados como se muestra:
+ Regla 1: prioridad 0
+ RuleGroupA: prioridad 100
  + Regla A1: prioridad 10 000
  + Regla A2: prioridad 20 000
+ Regla 2: prioridad 200
+ RuleGroupB: prioridad 300
  + Regla B1: prioridad 0
  + Regla B2: prioridad 1

AWS WAF evaluaría las reglas de este paquete de protección (ACL web) en el siguiente orden:
+ Rule1
+ RuleGroupUna regla A1
+ RuleGroupUna regla A2
+ Rule2
+ RuleGroupRegla B B1
+ RuleGroupRegla B: B2

# Cómo AWS WAF gestiona las acciones de las reglas y los grupos de reglas
<a name="web-acl-rule-actions"></a>

En esta sección se explica cómo se AWS WAF utilizan las reglas y los grupos de reglas para gestionar las acciones.

Al configurar las reglas y los grupos de reglas, usted elige cómo AWS WAF quiere gestionar las solicitudes web coincidentes: 
+ **Allow y Block son acciones de finalización**; las acciones Allow y Block detienen todos los demás procesamientos del paquete de protección (ACL web) en la solicitud web coincidente. Si una regla de un paquete de protección (ACL web) encuentra una coincidencia para una solicitud y la acción de la regla es Allow oBlock, esa coincidencia determina la disposición final de la solicitud web del paquete de protección (ACL web). AWS WAF no procesa ninguna otra regla del paquete de protección (ACL web) que venga después de la correspondiente. Esto se cumple en el caso de las reglas que agrega directamente al paquete de protección (ACL web) y las reglas que se encuentran en un grupo de reglas añadido. Con la acción Block, el recurso protegido no recibe ni procesa la solicitud web.
+ **Count es una acción no terminal**: cuando una regla con una acción de Count coincide con una solicitud, AWS WAF cuenta la solicitud y, a continuación, continúa procesando las siguientes reglas del conjunto de reglas del paquete de protección (ACL web). 
+ **CAPTCHAy Challenge pueden ser acciones que no terminan o terminan**: cuando una regla con una de estas acciones coincide con una solicitud, AWS WAF comprueba el estado de su token. Si la solicitud tiene un token válido, AWS WAF trata la coincidencia de forma similar a una Count coincidencia y, a continuación, continúa procesando las reglas que figuran en el conjunto de reglas del paquete de protección (ACL web). Si la solicitud no tiene un token válido, AWS WAF finaliza la evaluación y envía al cliente un acertijo de CAPTCHA o un desafío silencioso de sesión de cliente en segundo plano para que lo resuelva. 

Si la evaluación de la regla no da lugar a ninguna acción de finalización, se AWS WAF aplica la acción predeterminada del paquete de protección (ACL web) a la solicitud. Para obtener información, consulte [Configuración de la acción predeterminada del paquete de protección (ACL web) en AWS WAF](web-acl-default-action.md).

En su paquete de protección (ACL web), puede anular la configuración de acciones de reglas de un grupo de reglas y puede anular la acción que devuelve un grupo de reglas. Para obtener información, consulte [Supervisar las acciones de un grupo de reglas en AWS WAF](web-acl-rule-group-override-options.md). 

**Interacción entre las acciones y la configuración de prioridades**  
Las acciones que AWS WAF se aplican a una solicitud web se ven afectadas por la configuración de prioridad numérica de las reglas del paquete de protección (ACL web). Por ejemplo, supongamos que su paquete de protección (ACL web) tiene una regla con una acción Allow y una prioridad numérica de 50, y otra regla con una acción Count y una prioridad numérica de 100. AWS WAF evalúa las reglas de un paquete de protección (ACL web)b por orden de prioridad, empezando por la configuración más baja, por lo que evaluará la regla de permiso antes que la regla de recuento. Una solicitud web que cumpla ambas reglas coincidirá primero con la regla de permiso. Dado que Allow se trata de una acción de finalización, AWS WAF detendrá la evaluación en este momento y no evaluará la solicitud según la regla de recuento. 
+ Si solo quiere incluir las solicitudes que no coincidan con la regla de permiso en las métricas de las reglas de recuento, entonces, la configuración de prioridades de las reglas podría funcionar. 
+ Por otro lado, si quiere métricas de recuento de la regla de recuento incluso para las solicitudes que coincidan con la regla de permiso, tendrá que darle a la regla de recuento una prioridad numérica inferior a la de la regla de permiso, de modo que se ejecute primero. 

Para obtener más información acerca de la configuración de prioridad, consulte [Cómo establecer la prioridad de las reglas](web-acl-processing-order.md). 

# Supervisar las acciones de un grupo de reglas en AWS WAF
<a name="web-acl-rule-group-override-options"></a>

Esta sección explica cómo anular las acciones de un grupo de reglas.

Cuando agrega un grupo de reglas a su paquete de protección (ACL web), puede anular las acciones que realiza cuando las solicitudes web coinciden. Si se anulan las acciones de un grupo de reglas en la configuración del paquete de protección (ACL web), no se altera el grupo de reglas en sí. Solo altera la forma en que se AWS WAF usa el grupo de reglas en el contexto del paquete de protección (ACL web). 

## Anulación de acciones de reglas de un grupo de reglas
<a name="web-acl-rule-group-override-options-rules"></a>

Puede anular las acciones de las reglas dentro de un grupo de reglas para cualquier acción de regla válida. Al hacerlo, las solicitudes coincidentes se gestionan exactamente como si la acción de regla configurada fuera la configuración de anulación. 

**nota**  
Las acciones de la regla pueden ser de finalización o no. Una acción de finalización detiene la evaluación de la solicitud por parte del paquete de protección (ACL web) y permite que continúe con la aplicación protegida o la bloquea. 

Estas son las opciones de la acción de la regla: 
+ **Allow**— AWS WAF permite reenviar la solicitud al AWS recurso protegido para su procesamiento y respuesta. Se trata de una acción de finalización. En las reglas que defina, puede insertar encabezados personalizados en la solicitud antes de reenviarla al recurso protegido.
+ **Block**— AWS WAF bloquea la solicitud. Se trata de una acción de finalización. De forma predeterminada, el AWS recurso protegido responde con un código de `403 (Forbidden)` estado HTTP. En las reglas que defina, puede personalizar la respuesta. Cuando AWS WAF bloquea una solicitud, la configuración de la Block acción determina la respuesta que el recurso protegido envía al cliente. 
+ **Count**— AWS WAF cuenta la solicitud pero no determina si se permite o se bloquea. Se trata de una acción no terminal. AWS WAF continúa procesando las reglas restantes en el paquete de protección (ACL web). En las reglas que defina, puede insertar encabezados personalizados en la solicitud y puede agregar etiquetas con las que puedan coincidir otras reglas.
+ **CAPTCHAy Challenge**: AWS WAF usa acertijos CAPTCHA y desafíos silenciosos para verificar que la solicitud no proviene de un bot, y AWS WAF usa fichas para rastrear las respuestas recientes de los clientes que han obtenido buenos resultados. 

  Los rompecabezas de CAPTCHA y los desafíos silenciosos solo se pueden ejecutar cuando los navegadores acceden a los puntos de conexión HTTPS. Los clientes del navegador deben ejecutarse en contextos seguros para poder adquirir los tókenes. 
**nota**  
Se le cobrarán tarifas adicionales cuando utilice la acción de regla CAPTCHA o Challenge en una de sus reglas o como anulación de una acción de regla en un grupo de reglas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

  Estas acciones de regla pueden ser de finalización o no, según el estado del token de la solicitud: 
  + No se **cancela para un token válido y no caducado: si el token** es válido y no ha caducado según el CAPTCHA configurado o el tiempo de inmunidad de impugnación, AWS WAF tramita la solicitud de forma similar a la acción. Count AWS WAF continúa inspeccionando la solicitud web en función de las demás reglas del paquete de protección (ACL web). Al igual que en la configuración de Count, en las reglas que defina, puede configurar opcionalmente estas acciones con encabezados personalizados para insertarlos en la solicitud y puede agregar etiquetas con las que puedan coincidir otras reglas. 
  + **Finalizar con una solicitud bloqueada de un token no válido o caducado**: si el token no es válido o la marca de tiempo indicada ha caducado, AWS WAF finaliza la inspección de la solicitud web y bloquea la solicitud, de forma similar a como se ha hecho antes. Block AWS WAF a continuación, responde al cliente con un código de respuesta personalizado. PuesCAPTCHA, si el contenido de la solicitud indica que el navegador del cliente puede gestionarla, AWS WAF envía un acertijo CAPTCHA en un JavaScript intersticial, diseñado para distinguir a los clientes humanos de los bots. Para elloChallenge, AWS WAF envía un JavaScript intersticial con un desafío silencioso diseñado para distinguir los navegadores normales de las sesiones ejecutadas por bots. 

  Para obtener información adicional, consulta [CAPTCHAy Challenge en AWS WAF](waf-captcha-and-challenge.md).

Para obtener información acerca de cómo utilizar esta acción, consulte [Invalidar acciones de reglas en un grupo de reglas](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

### Anulación de la acción de regla para Count
<a name="web-acl-rule-group-override-to-count"></a>

El caso de uso más común para anular las acciones de reglas es anular algunas o todas las acciones de la regla para Count, con el fin de probar y supervisar el comportamiento de un grupo de reglas antes de ponerlo en producción. 

También puede utilizar esto para solucionar problemas relacionados con un grupo de reglas que esté generando falsos positivos. Los falsos positivos se producen cuando un grupo de reglas bloquea el tráfico que no se espera que bloquee. Si identifica una regla dentro de un grupo de reglas que bloquee solicitudes que desea permitir, puede mantener la anulación de la acción de recuento en esa regla para evitar que actúe sobre sus solicitudes.

Para obtener más información acerca de cómo utilizar la anulación de la acción de las reglas en las pruebas, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).

### Lista de JSON: `RuleActionOverrides` reemplaza a `ExcludedRules`
<a name="web-acl-rule-group-override-replaces-exclude"></a>

Si configuró las acciones de las reglas del grupo de reglas Count en la configuración de su paquete de protección (ACL web) antes del 27 de octubre de 2022, AWS WAF guarde las anulaciones en el JSON del paquete de protección (ACL web) como. `ExcludedRules` Ahora la configuración JSON para anular una regla en Count se encuentra en la configuración `RuleActionOverrides`. 

Le recomendamos que actualice todas las configuraciones de `ExcludedRules` de sus listas JSON a las configuraciones de `RuleActionOverrides` con la acción establecida en Count. La API acepta cualquier configuración, pero si solo utiliza la nueva configuración de `RuleActionOverrides`, conseguirá coherencia en sus listas JSON entre el trabajo de la consola y el de la API. 

**nota**  
En la AWS WAF consola, la pestaña de **solicitudes muestreadas** del paquete de protección (ACL web) no muestra ejemplos de reglas con la configuración anterior. Para obtener más información, consulte [Visualizar una muestra de solicitudes web](web-acl-testing-view-sample.md). 

Al utilizar la AWS WAF consola para editar la configuración del grupo de reglas existente, la consola convierte automáticamente cualquier `ExcludedRules` configuración del JSON en `RuleActionOverrides` configuración, con la acción de anulación establecida en. Count 
+ Ejemplo de configuración actual: 

  ```
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "RuleActionOverrides": [
              {
                "Name": "AdminProtection_URIPATH",
                "ActionToUse": {
                  "Count": {}
                }
              }
            ]
  ```
+ Ejemplo de configuración anterior: 

  ```
  OLD SETTING
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "ExcludedRules": [
              {
                "Name": "AdminProtection_URIPATH"
              }
            ]
  OLD SETTING
  ```

## Anulación de la acción de retorno del grupo de reglas para Count
<a name="web-acl-rule-group-override-options-rule-group"></a>

Puede anular la acción que devuelve el grupo de reglas, configurándola en Count. 

**nota**  
Esta no es una buena opción para probar las reglas de un grupo de reglas, ya que no altera la forma en que AWS WAF se evalúa el propio grupo de reglas. Solo afecta a la forma en AWS WAF que se gestionan los resultados que se devuelven al paquete de protección (ACL web) tras la evaluación del grupo de reglas. Si desea probar las reglas de un grupo de reglas, utilice la opción descrita en la sección anterior, [Anulación de acciones de reglas de un grupo de reglas](#web-acl-rule-group-override-options-rules).

Al anular la acción del grupo de reglas paraCount, AWS WAF procesa la evaluación del grupo de reglas con normalidad. 

Si ninguna regla del grupo de reglas coincide o si todas las reglas coincidentes tienen una acción Count, esta anulación no afecta al procesamiento del grupo de reglas ni al paquete de protección (ACL web).

La primera regla del grupo de reglas que coincide con una solicitud web y que tiene una acción de regla de finalización hace AWS WAF que deje de evaluar el grupo de reglas y devuelva el resultado de la acción de finalización al nivel de evaluación del paquete de protección (ACL web). En este punto, en la evaluación del paquete de protección (ACL web), entra en vigor esta anulación. AWS WAF anula la acción de finalización para que el resultado de la evaluación del grupo de reglas sea solo una acción. Count AWS WAF a continuación, continúa procesando el resto de las reglas del paquete de protección (ACL web).

Para obtener información acerca de cómo utilizar esta acción, consulte [Sustitución del resultado de la evaluación de un grupo de reglas por Count](web-acl-rule-group-settings.md#web-acl-rule-group-action-override).