Перейти к содержанию

Wallarm Node - Обновление 2.10

Изменения в системе

  • Переработан механизм загрузки правил фильтрации.
  • Важно: изменение прав доступа

  • Расширен формат правил фильтрации.

  • Селекторы по отсутствию значения.
  • Селекторы по методу http-запроса.
  • Устранен конфликт между отключением типов атак и применением vpatch.

  • Добавлена поддержка системы мониторинга Prometheus.

  • Добавлено сохранение информации о факте блокировки запроса.

  • Добавлена возможность устанавливать тэги в конфиге NGINX.

  • Директива wallarm_worker_rlimit_vmem помечена устаревшей.

  • Прекращена поддержка ОС Debian GNU/Linux 7.x (wheezy).

Новый способ загрузки правил фильтрации

Раньше ЛОМ-файл загружался в память в процессе обработки конфиг-файла и для обновления правил фильтрации была необходима перезагрузка NGINX.

Теперь обновление правил фильтрации происходит в фоне в рамках отдельного процесса "cache manager", нет необходимости перезапускать воркеры NGINX.

Кроме этого поменялся способ хранения загруженных данных в памяти и результаты загрузки кэшируются в файл. Благодаря этому нет необходимости перезагружать правила фильтрации при каждом обновлении конфиг файла.

Права доступа

Файлы license.key, proton.db и lom должны быть доступны на чтение пользователю, под которым запускаются worker-процессы NGINX.

При стандартных настройках ничего дополнительно настраивать не потребуется, но если вы используете кастомную сборку NGINX или запускаете его под нестандартныи пользователем потребуется внести следующие изменения:

  • при установке новой WAF‑ноды запускать addnode --nginx-group ... для подключения к облаку

  • на имеющихся инсталляциях добавить в /etc/wallarm/node.yaml следующее

    syncnode:
      group: ...
    

Изменения формата правил фильтрации

Добавлена возможность создавать правила для особенной обработки тех запросов, в которых присутствует или, наоборот, отсутствует заданный параметр.

Добавлена возможность создавать правила для особенной обработки запросов в зависимости от метода запроса (GET/POST и другие).

Исправлен ранее присутствующий конфликт между правилами отключения типа атаки и виртуальным патчем, применяемых на один и тот же параметр.

Поддержка системы мониторинга Prometheus

Директива wallarm_status теперь позволяет настроить отдачу метрик в формате, совместимом с Prometheus.

А также...

WAF‑нода теперь сохраняет информацию о факте блокировки запроса. Эта информация доступна при просмотре атак в личном кабинете.

В конфиге NGINX теперь можно с помощью директивы wallarm_set_tag к каждому запросу добавлять дополнительную информацию в формате ключ-значение. Эта информация доступна для использования в подсистеме постаналитики.

Директива wallarm_worker_rlimit_vmem теперь считается устаревшей и ее поведение полностью аналогично wallarm_ts_request_memory_limit.

Поддержка ОС Debian GNU/Linux 7.x (wheezy) прекращена.