Que es el WAF de Cloudflare
El WAF (Web Application Firewall, Firewall de Aplicaciones Web) de Cloudflare es una capa de seguridad que analiza el trafico HTTP/HTTPS entrante y bloquea solicitudes que coincidan con patrones de ataques conocidos como inyeccion SQL, cross-site scripting (XSS), inclusion de archivos remotos (RFI), ataques a APIs y muchos otros vectores de ataque web documentados. Opera en la red global de Cloudflare antes de que el trafico llegue al servidor de origen.
El plan gratuito de Cloudflare incluye el WAF basico con reglas gestionadas de Cloudflare. Los planes de pago incluyen el conjunto de reglas OWASP Core Rule Set, reglas especificas para plataformas como WordPress, Drupal y Joomla, y la capacidad de crear reglas personalizadas ilimitadas.
Activar y configurar las reglas gestionadas del WAF
- Acceder al panel de Cloudflare y seleccionar el dominio.
- Ir a Security > WAF.
- En la pestaña Managed Rules, activar el conjunto de reglas de Cloudflare gestionadas.
- Para planes de pago, tambien activar el OWASP Core Rule Set con un nivel de sensibilidad apropiado (Medium es el recomendado para comenzar).
Crear reglas WAF personalizadas
Las reglas personalizadas permiten definir condiciones especificas para bloquear, desafiar o permitir trafico. Ir a Security > WAF > Custom Rules:
| Caso de uso | Condicion | Accion |
|---|---|---|
| Bloquear un pais especifico | Country equals XX | Block |
| Proteger wp-login.php | URI Path equals /wp-login.php AND NOT IP in lista_blanca | Managed Challenge |
| Bloquear bots por User-Agent | User-Agent contains "BadBot" | Block |
| Rate limiting a una URL de API | URI Path starts with /api AND Request Rate > 100/min | Block |
| Permitir solo IPs de la oficina al admin | URI Path starts with /wp-admin AND NOT IP in lista_ips | Block |
Rate Limiting para proteger APIs y formularios
El Rate Limiting bloquea automaticamente IPs que realizan demasiadas solicitudes en un periodo corto, protegiendo contra ataques de fuerza bruta y abuso de APIs:
- Ir a Security > WAF > Rate Limiting Rules.
- Crear una regla especificando la URL a proteger (ej:
/wp-login.php), el umbral de solicitudes (ej: 10 solicitudes por minuto), y la accion (bloquear por 1 hora).
Revisar y gestionar eventos del WAF
- Los eventos del WAF se pueden revisar en Security > Events, con filtros por fecha, IP, regla, pais y accion tomada.
- Si el WAF bloquea trafico legitimo (falso positivo), identificar el ID de la regla en el evento y crear una excepcion (Skip Rule) para esa URL especifica o IP.
- Revisar periodicamente los eventos del WAF para detectar patrones de ataque y ajustar las reglas segun sea necesario.
