WAF Rules: Protege tu Zona CDN

Las WAF Rules (Web Application Firewall) te permiten controlar quién puede acceder a tu contenido y cuánto tráfico puede enviar. Se ejecutan en el edge, de modo que las peticiones abusivas o no deseadas se detienen antes de que lleguen a tu servidor de origen, lo que te ahorra ancho de banda y protege tu aplicación.

Las gestionas desde el panel de CubePath. Abre tu zona CDN, ve a la pestaña WAF y añade las reglas que quieras. Igual que las Edge Rules, cada regla WAF tiene una prioridad (los números más bajos se ejecutan primero), condiciones de coincidencia opcionales, un interruptor de encendido/apagado y una fecha de caducidad opcional.

Condiciones de coincidencia

Cada regla WAF puede apuntar a una parte del tráfico o a todo. Puedes filtrar por ruta, método HTTP, host, cabeceras, parámetros de consulta, cookies, país, IP o rango de red (CIDR) y User Agent. Deja las condiciones vacías para aplicar la regla a toda la zona.

Tipos de regla

Bloquear o permitir por IP

Bloquea direcciones IP concretas o rangos de red enteros (CIDR), o crea una lista de permitidos para que solo las direcciones de confianza puedan acceder a la zona. Úsalo para vetar una fuente abusiva o para restringir una zona de pruebas a la red de tu oficina.

Bloquear o permitir por país

Permite o bloquea visitantes según el país al que pertenece su IP, usando códigos de país de dos letras. Úsalo para cumplir requisitos regionales o para cortar el tráfico de zonas que no atiendes.

Bloquear por User Agent

Bloquea las peticiones cuyo User Agent coincide con los patrones que definas, como herramientas de scraping habituales o bots no deseados. Úsalo para desalentar a los scrapers y a los rastreadores mal educados.

Rate Limit (límite de tasa)

Limita cuántas peticiones puede hacer un visitante en una ventana de tiempo. Defines el número de peticiones, el periodo en segundos y si el límite cuenta por IP, por IP y host juntos, o de forma global para toda la zona. Cuando un visitante se pasa, sus siguientes peticiones se rechazan hasta que la ventana se reinicia. Úsalo para proteger páginas de inicio de sesión, formularios y APIs frente a ataques de fuerza bruta y avalanchas.

JavaScript Challenge (reto JavaScript)

Pide al navegador que resuelva en silencio un pequeño reto antes de servir el contenido. Los navegadores reales lo superan sin que el visitante lo note, mientras que los bots y scripts sencillos fallan. Úsalo en páginas que atraen abuso automatizado pero deben seguir abiertas a las personas reales.

Limitar velocidad de descarga

Limita la velocidad de descarga del contenido que coincide, medida en kB/s. También puedes permitir una ráfaga inicial, de modo que la primera parte de un archivo se descargue a máxima velocidad antes de que se aplique el límite. Úsalo para evitar que unas pocas descargas grandes saturen tu ancho de banda.

Limitar peticiones

Limita el número de peticiones por segundo desde una misma IP, con una ráfaga opcional para picos cortos. Es una versión más ligera y por segundo del Rate Limit, buena para suavizar el tráfico irregular.

Limitar conexiones

Limita cuántas conexiones simultáneas puede mantener abiertas una misma IP. Úsalo para evitar que un solo cliente acapare recursos con muchas conexiones en paralelo.

Limitar ancho de banda

Fija un tope mensual de ancho de banda, en GB, para el tráfico que coincide. Úsalo para que una sola zona o ruta no se lleve por delante toda tu transferencia.

Algunas buenas prácticas

  • Prefiere las listas de permitidos para zonas privadas o internas, y las listas de bloqueo para combatir un abuso concreto.
  • Combina un rate limit con un JavaScript challenge en las páginas de inicio de sesión y registro para una protección sólida frente a ataques automatizados.
  • Empieza con límites de tasa generosos y ajústalos mientras observas tus analíticas, para no bloquear por error a visitantes reales.
  • Usa la fecha de caducidad para bloqueos temporales durante un incidente, de modo que se limpien solos después.

Próximos pasos

Abre tu zona CDN, ve a la pestaña WAF y añade un rate limit en tu formulario de inicio de sesión o de contacto. Luego observa el panel de Peticiones Bloqueadas en las analíticas de la zona para ver qué está deteniendo el edge por ti. Para dar forma al cacheo, las redirecciones y las cabeceras de tu contenido, consulta la guía complementaria sobre Edge Rules.