Перейти к содержанию

Обновление облачного образа WAF‑ноды

Инструкция описывает способ обновления образа WAF‑ноды, развернутого в AWS, GCP или Яндекс.Облаке, до версии 3.2.

Обновление разных типов WAF‑ноды и критические изменения

  • Версия 3.2 несовместима с версиями 2.18 и ниже и включает в себя критические изменения. Перед обновлением мы рекомендуем ознакомиться с набором изменений и учесть изменение конфигурации при планировании обновления.
  • Мы рекомендуем обновить как клиентские, так и партнерские WAF‑ноды версии 3.0 и ниже до версии 3.2. В релизе 3.2 доступна настройка серых списков IP‑адресов и другие новые возможности продукта. Более ранние версии скоро перестанут поддерживаться.

Порядок обновления

Чтобы обновить версию WAF‑ноды, развернутой в облаке, необходимо:

  1. При обновлении WAF‑ноды версии 2.18 и ниже: сообщить технической поддержке Валарм, что вы планируете обновить модули WAF-ноды до версии 3.2.

  2. Запустить новую виртуальную машину из образа WAF‑ноды версии 3.2.

  3. Перенести настройки WAF‑ноды предыдущей версии на новую версию.

  4. Удалить инстанс с предыдущей версией WAF‑ноды.

Более подробное описание шагов по обновлению приведено ниже.

Шаг 1: Сообщите об обновлении в техническую поддержку Валарм

Если вы обновляете WAF‑ноду версии 2.18 и ниже до версии 3.2, сообщите технической поддержке Валарм об обновлении и оставьте запрос на включение новой логики списков IP-адресов для вашего аккаунта. Когда новая логика будет включена, убедитесь, что в Консоли управления Валарм доступна секция Списки IP-адресов.

Шаг 2: Адаптируйте настройку режимов фильтрации трафика под изменения в версии 3.2

  1. Убедитесь, что ожидаемое поведение следующих настроек соответствует изменениям в логике работы режимов off и monitoring:

  2. Если ожидаемое поведение не соответствует изменениям в логике работы режимов off и monitoring, адаптируйте настройку режимов фильтрации под изменения по инструкции.

Шаг 3: Запустите новый инстанс с WAF‑нодой 3.2

  1. Откройте образ WAF‑ноды Валарм на маркетплейсе облачной платформы и перейдите к запуску:

  2. При запуске выполните следующие настройки:

  3. Подтвердите запуск инстанса.

  4. Для GCP выполните настройку инстанса по инструкции.

Шаг 4: Подключите WAF‑ноду к Облаку Валарм

  1. Подключитесь к инстансу с WAF‑нодой по SSH. Подробная инструкция по подключению к инстансу доступна в документации облачной платформы:

  2. Подключите WAF‑ноду к Облаку Валарм по токену новой ноды или по логину и паролю в Консоли управления Валарм, как описано в инструкции для облачной платформы:

Шаг 5: Скопируйте настройки WAF‑ноды из предыдущей версии в новую версию

  1. Скопируйте настройки обработки и проксирования запросов из следующих конфигурационных файлов предыдущей версии WAF‑ноды в файлы WAF‑ноды 3.2:

    • /etc/nginx/nginx.conf и другие файлы с настройками NGINX
    • /etc/nginx/conf.d/wallarm.conf с глобальными настройками WAF‑ноды
    • /etc/nginx/conf.d/wallarm-status.conf с настройками сервиса мониторинга WAF‑ноды
    • /etc/environment с переменными окружения
    • /etc/default/wallarm-tarantool с настройками Tarantool
    • другие файлы с кастомными настройками обработки и проксирования запросов
  2. Перенесите настройки белых и черных списков с предыдущей версии WAF-ноды на новую, используя инструкцию.

  3. Перезапустите NGINX, чтобы применить настройки:

    sudo systemctl restart nginx
    

Подробная информация о работе с конфигурационными файлами NGINX доступна в официальной документации NGINX.

Список доступных директив для настройки WAF‑ноды доступен по ссылке.

Шаг 6: Протестируйте работу WAF‑ноды

  1. Отправьте тестовый запрос с атаками SQLI и XSS на адрес приложения:

    curl http://localhost/?id='or+1=1--a-<script>prompt(1)</script>'
    
  2. Перейдите в Консоль управления Валарм → секция События для EU‑облака или для RU‑облака и убедитесь, что атаки появились в списке.

    Атаки в интерфейсе

Шаг 7: Создайте образ виртуальной машины с WAF‑нодой 3.2 в AWS или GCP

Для создания образа виртуальной машины с WAF‑нодой 3.2, используйте инструкцию для AWS или GCP.

Шаг 8: Удалите инстанс с предыдущей версией WAF‑ноды

После успешной настройки и тестирования новой версии WAF‑ноды, удалите инстанс и виртуальную машину с предыдущей версией WAF‑ноды, используя консоль управления AWS, GCP или Яндекс.Облака.