Cómo AWS WAF administra las acciones de reglas y los grupos de reglas en una ACL web - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Cómo AWS WAF administra las acciones de reglas y los grupos de reglas en una ACL web

En esta sección se explica cómo AWS WAF utiliza las reglas y los grupos de reglas para administrar las acciones.

Al configurar las reglas y los grupos de reglas, elija cómo quiere que AWS WAF gestione las solicitudes web coincidentes:

  • Allow y Block son acciones de finalización; las acciones Allow y Block detienen todos los demás procesamientos de la ACL web en la solicitud web coincidente. Si una regla de una ACL web encuentra una coincidencia para una solicitud y la acción de la regla es Allow o Block, esa coincidencia determina la disposición final de la solicitud web para la ACL web. AWS WAF no procesa ninguna otra regla de la ACL web tras la regla coincidente. Esto se cumple en el caso de las reglas que agrega directamente a la ACL web y las reglas que se encuentran en un grupo de reglas añadido. Con la acción Block, el recurso protegido no recibe ni procesa la solicitud web.

  • Count es una acción no terminal: cuando una regla con una acción de Count coincide con una solicitud, AWS WAF cuenta la solicitud y, a continuación, continúa procesando las siguientes reglas del conjunto de reglas de la ACL web.

  • CAPTCHA y Challenge pueden ser acciones de no finalización o finalización; cuando una regla con una de estas acciones coincide con una solicitud, AWS WAF comprueba el estado de su token. Si la solicitud tiene un token válido, AWS WAF trata la coincidencia de forma similar a una coincidencia de Count y, a continuación, continúa procesando las reglas siguientes del conjunto de reglas de ACL web. Si la solicitud no tiene un token válido, AWS WAF finaliza la evaluación y envía al cliente un rompecabezas de CAPTCHA o un desafío silencioso a la sesión del cliente en segundo plano para que lo resuelva.

Si la evaluación de la regla no da lugar a ninguna acción de finalización, AWS WAF aplica la acción predeterminada de la ACL web a la solicitud. Para obtener más información, consulte Cómo establecer la acción predeterminada de la ACL web en AWS WAF.

En su ACL web, puede anular la configuración de acciones de reglas de un grupo de reglas y puede anular la acción que devuelve un grupo de reglas. Para obtener más información, consulte Anulación de acciones de grupos de reglas en AWS WAF.

Interacción entre las acciones y la configuración de prioridades

Las acciones que AWS WAF aplica a una solicitud web se ven afectadas por la configuración de prioridad numérica de las reglas en la ACL web. Por ejemplo, supongamos que su ACL web tiene una regla con una acción Allow y una prioridad numérica de 50, y otra regla con una acción Count y una prioridad numérica de 100. AWS WAF evalúa las reglas de una ACL web por orden de prioridad, empezando por la configuración más baja, por lo que evaluará la regla de permiso antes que la regla de recuento. Una solicitud web que cumpla ambas reglas coincidirá primero con la regla de permiso. Dado que Allow se trata de una acción de finalización, AWS WAF detendrá la evaluación con esa coincidencia y no evaluará la solicitud según la regla de recuento.

  • Si solo quiere incluir las solicitudes que no coincidan con la regla de permiso en las métricas de las reglas de recuento, entonces, la configuración de prioridades de las reglas podría funcionar.

  • Por otro lado, si quiere métricas de recuento de la regla de recuento incluso para las solicitudes que coincidan con la regla de permiso, tendrá que darle a la regla de recuento una prioridad numérica inferior a la de la regla de permiso, de modo que se ejecute primero.

Para obtener más información acerca de la configuración de prioridad, consulte Configuración de la prioridad de las reglas en una ACL web.