Перейти к содержанию

Обновление облачного образа WAF‑ноды

Инструкция описывает способ обновления образа WAF‑ноды, развернутого в AWS, GCP или Яндекс.Облаке, до версии 3.4.

Обновление разных типов WAF‑ноды и критические изменения

  • При обновлении ноды версии 2.18 и ниже обратите внимание, что версии 3.x содержат критические изменения. Перед обновлением мы рекомендуем внимательно изучить набор изменений и учесть изменение конфигурации при планировании обновления.
  • Мы рекомендуем обновить как клиентские, так и партнерские WAF‑ноды версии 3.2 и ниже до последней версии (3.4). Более ранние версии скоро перестанут поддерживаться.

Порядок обновления

Чтобы обновить версию WAF‑ноды, развернутой в облаке, необходимо:

  1. При обновлении WAF‑ноды версии 2.18 и ниже: сообщить технической поддержке Валарм, что вы планируете обновить модули WAF-ноды до версии 3.4.

  2. Запустить новую виртуальную машину из образа WAF‑ноды версии 3.4.

  3. При обновлении WAF‑ноды версии 3.0 и ниже: адаптируйте настройку режимов фильтрации трафика под изменения в новых версиях.

  4. Перенести настройки WAF‑ноды предыдущей версии на новую версию.

  5. Удалить инстанс с предыдущей версией WAF‑ноды.

Более подробное описание шагов по обновлению приведено ниже.

Шаг 1: Сообщите об обновлении в техническую поддержку Валарм

Если вы обновляете WAF‑ноду версии 2.18 и ниже до версии 3.4, сообщите технической поддержке Валарм об обновлении и оставьте запрос на включение новой логики списков IP-адресов для вашего аккаунта. Когда новая логика будет включена, убедитесь, что в Консоли управления Валарм доступна секция Списки IP-адресов.

Шаг 2: Запустите новый инстанс с WAF‑нодой 3.4

  1. Откройте образ WAF‑ноды Валарм на маркетплейсе облачной платформы и перейдите к запуску:

  2. При запуске выполните следующие настройки:

  3. Подтвердите запуск инстанса.

  4. Для GCP выполните настройку инстанса по инструкции.

Шаг 3: Адаптируйте настройку режимов фильтрации трафика под изменения в версии 3.2

При обновлении WAF‑ноды версии 3.0 и ниже:

  1. Убедитесь, что ожидаемое поведение следующих настроек соответствует изменениям в логике работы режимов off и monitoring:

  2. Если ожидаемое поведение не соответствует изменениям в логике работы режимов off и monitoring, адаптируйте настройку режимов фильтрации под изменения по инструкции.

Шаг 4: Подключите ноду к Облаку Валарм

  1. Подключитесь к инстансу с WAF‑нодой по SSH. Подробная инструкция по подключению к инстансу доступна в документации облачной платформы:

  2. Подключите ноду к Облаку Валарм по токену новой ноды или по логину и паролю в Консоли управления Валарм, как описано в инструкции для облачной платформы:

Шаг 5: Скопируйте настройки WAF‑ноды из предыдущей версии в новую версию

  1. Скопируйте настройки обработки и проксирования запросов из следующих конфигурационных файлов предыдущей версии WAF‑ноды в файлы WAF‑ноды 3.4:

    • /etc/nginx/nginx.conf и другие файлы с настройками NGINX
    • /etc/nginx/conf.d/wallarm.conf с глобальными настройками WAF‑ноды
    • /etc/nginx/conf.d/wallarm-status.conf с настройками сервиса мониторинга WAF‑ноды
    • /etc/environment с переменными окружения
    • /etc/default/wallarm-tarantool с настройками Tarantool
    • другие файлы с кастомными настройками обработки и проксирования запросов

  2. Если вы обновляете WAF‑ноду версии 2.18 и ниже до версии 3.4, перенесите настройки белых и черных списков с предыдущей версии WAF-ноды на новую, используя инструкцию.

  3. Перезапустите NGINX, чтобы применить настройки: 

    sudo systemctl restart nginx

Подробная информация о работе с конфигурационными файлами NGINX доступна в официальной документации NGINX.

Список доступных директив для настройки WAF‑ноды доступен по ссылке.

Шаг 6: Протестируйте работу WAF‑ноды

  1. Отправьте тестовый запрос с атаками SQLI и XSS на адрес приложения:

    curl http://localhost/?id='or+1=1--a-<script>prompt(1)</script>'

  2. Перейдите в Консоль управления Валарм → секция События для EU‑Облака или для RU‑Облака и убедитесь, что атаки появились в списке.

    Атаки в интерфейсе

Шаг 7: Создайте образ виртуальной машины с WAF‑нодой 3.4 в AWS или GCP

Для создания образа виртуальной машины с WAF‑нодой 3.4, используйте инструкцию для AWS или GCP.

Шаг 8: Удалите инстанс с предыдущей версией WAF‑ноды

После успешной настройки и тестирования новой версии WAF‑ноды, удалите инстанс и виртуальную машину с предыдущей версией WAF‑ноды, используя консоль управления AWS, GCP или Яндекс.Облака.