¿Cómo uso AWS WAF para crear reglas de conjuntos de IP para restringir el acceso a IPv4 e IPv6?

Resolución

AWS WAF puede inspeccionar la dirección IP de origen de una solicitud web comparándola con un conjunto de direcciones IP e intervalos de direcciones. Puedes crear una regla que bloquee las solicitudes de todas las direcciones IP, excepto las direcciones IP específicas de un conjunto de IP.

Creación de una regla de conjunto de IP para restringir el acceso a IPv4 e IPv6

Sigue estos pasos:

1. Abre la consola de AWS WAF.
2. En el panel de navegación, elige Conjuntos de IP y, a continuación, elige Crear conjunto de IP.
3. En Nombre del conjunto de IP, introduce un nombre, por ejemplo ** MyTrustedIPs**.
   Nota: No puedes cambiar el nombre del conjunto de IP después de crear el conjunto de IP.
4. (Opcional) En Descripción, introduce una descripción del conjunto de IP.
5. En Región, elige la región de AWS en la que deseas almacenar el conjunto de IP.
   Nota: Para usar un conjunto de IP establecida en las listas de control de acceso web (ACL web) que protegen las distribuciones de Amazon CloudFront, debes usar Global (CloudFront).
6. En Versión de IP, elige la versión que quieres usar.
7. En Direcciones IP, introduce una dirección IP o un intervalo de direcciones IP por línea que desees permitir en la notación CIDR.
   Nota: AWS WAF admite todos los intervalos de CIDR de IPv4 e IPv6, excepto /0.
   Ejemplos:
   Para especificar la dirección IPv4 10.20.0.5, introduce 10.20.0.5/32.
   Para especificar la dirección IPv6 0:0:0:0:0:ffff:c000:22c, introduce 0:0:0:0:0:ffff:c000:22c/128.
   Para especificar el intervalo de direcciones IPv4 de 10.20.0.0 a 10.20.0.255, introduce 10.20.0.0/24.
   Para especificar el intervalo de direcciones IPv6 comprendido entre 2620:0:2d0:200:0:0:0:0 y 2620:0:2d0:200:ffff:ffff:ffff:ffff, introduce 2620:0:2d0:200::/64.
8. Revisa la configuración del conjunto de IP y, a continuación, selecciona Crear conjunto de IP.

Creación de una regla de coincidencia de IP

Sigue estos pasos:

1. En el panel de navegación, en AWS WAF, selecciona ACL web.
2. En Region, selecciona la región en la que hayas creado la ACL web.
   Nota: Si la ACL web se ha configurado para CloudFront, selecciona Global.
3. Selecciona la ACL web.
4. Elige Reglas y, a continuación, selecciona Agregar reglas, Agregar reglas y grupos de reglas propios.
5. En Nombre, introduce un nombre para identificar esta regla, por ejemplo Block-Other-IPs.
6. En Tipo, elige Regla regular.
7. En Si una solicitud, elige no cumple la instrucción (NOT).
8. En Instrucción, en Inspeccionar, elige Se origina en una dirección IP en.
9. En Conjunto de IP, elige tu conjunto de IP, por ejemplo MyTrustedIPs.
10. En Dirección IP que se va a usar como dirección de origen, elige Dirección IP de origen.
    Nota: Si el tráfico se dirige a través de una red de entrega de contenido (CDN) u otra red proxy, utiliza una dirección IP en el encabezado. Para obtener más información, consulta Uso de direcciones IP reenviadas en AWS WAF.
11. En Acción, selecciona Bloquear.
12. Elige Agregar regla.
13. Selecciona Guardar.

La regla de coincidencia de IP bloquea cualquier dirección IP que no se agregue al conjunto de IP. En el caso de las direcciones IP que has agregado a un conjunto de IP, hay otras reglas por debajo de la regla que evalúan la solicitud. Si no hay ninguna coincidencia, AWS WAF aplica la acción predeterminada de la ACL web.

Para obtener más información, consulta Establecer la prioridad de las reglas.

Información relacionada

¿Cómo puedo utilizar AWS WAF para bloquear las solicitudes HTTP sin un encabezado de agente de usuario?