Перейти к содержанию

Рекомендации по настройке WAF‑ноды для изолированных сред

Первичная настройка WAF‑ноды

При первичной настройке WAF‑ноды рекомендуется применять подход, описанный ниже. Также, вы можете адаптировать шаги под собственные процессы и инфраструктуру.

  1. Изучите платформы, на которые может быть установлена WAF‑нода. Список платформ приведен по ссылке.

  2. Изучите способы настройки WAF‑ноды в изолированных средах. Способы описаны по ссылке.

  3. Разверните WAF‑ноду в режиме фильтрации monitoring в среде разработки или тестирования.

  4. Изучите механизм работы, способы масштабирования и мониторинга WAF‑ноды и убедитесь в стабильности нового компонента системы.

  5. Разверните WAF‑ноду в режиме фильтрации monitoring в боевой среде.

  6. Настройте процессы обновления и мониторинга WAF‑ноды.

  7. Сохраните движение запросов через WAF‑ноды в течение 7-14 дней во всех средах, включая тестовую и боевую. Это позволит облаку Валарм более качественно проанализировать ваше приложение и входящие запросы.

  8. Переведите WAF‑ноду в режим фильтрации blocking в среде разработки или тестирования и убедитесь, что WAF‑нода блокирует нелегитимные запросы. Для отправки на WAF‑ноду нелегитимных запросов используйте ручные или автоматизированные тесты.

  9. Переведите WAF‑ноду в режим фильтрации blocking в боевой среде и убедитесь, что WAF‑нода блокирует нелегитимные запросы. Для отправки на WAF‑ноду нелегитимных запросов используйте ручные или автоматизированные тесты.

Смотрите также

Для настройки режима фильтрации используйте инструкцию.

Обновление настроенной WAF‑ноды

Способ обновления установленной WAF‑ноды зависит от процессов в вашей компании. Например, вам может потребоваться проверить все обновления в среде разработки или тестирования, а затем применить их к боевому окружению.

При изменении общей конфигурации WAF‑ноды или при подключении новых возможностей продукта Валарм WAF рекомендуется использовать следующие способы:

Низкоуровневая конфигурация WAF‑ноды

Низкоуровневая конфигурация WAF‑ноды выполняется через переменные окружения, конфигурационный файл NGINX, параметры Ingress‑контроллера Kubernetes и другие ресурсы. Способ низкоуровневой конфигурации зависит от платформы, на которой развернута WAF‑нода.

Вы можете применить собственные процессы по управлению изменениями в инфраструктуре, чтобы упростить низкоуровневую конфигурацию WAF‑ноды в разных средах.

Настройка правил WAF‑ноды

При настройке правил для конкретной среды по идентификатору рекомендуется использовать следующие подходы:

  • Сначала примените и проверьте новые настройки в среде разработки или тестирования, а затем в боевой среде.

  • Используйте правило Считать атакой на основе регулярного выражения в режиме Экспериментальный. Данный режим позволяет применить правило в боевой среде без риска ошибочно заблокировать легитимный запрос.

    Создание экспериментального правила

  • Используйте правило Установить режим фильтрации для изменения режима фильтрации в конкретных средах и запросах. Данное правило позволяет более гибко настроить способ защиты новых конечных точек и других ресурсов в разных средах. По умолчанию, используется значение wallarm_mode в зависимости от настройки wallarm_mode_allow_override.

    Создание правила для изменения режима фильтрации