Перейти к содержанию

Миграция белых и черных списков IP‑адресов при обновлении до версии 3.x

В WAF‑ноде версии 3.x изменился способ настройки белых и черных списков IP‑адресов. В этой инструкции описываются шаги по миграции настроек с версии 2.18 и ниже на версию 3.x.

Что изменилось?

С релизом WAF‑ноды версии 3.x настройка белых и черных списков IP‑адресов изменилась следующим образом:

  • Директивы NGINX wallarm_acl_*, параметры Envoy acl и переменные окружения WALLARM_ACL_* больше не поддерживаются. Теперь:

    • WAF‑нода по умолчанию выгружает списки IP‑адресов из Облака Валарм и использует их при анализе запросов. Для включения списков не нужно выполнять дополнительные шаги, только добавить IP‑адреса в списки.
    • Чтобы настроить страницу блокировки и код ошибки, которые возвращаются в ответ на запрос с IP‑адреса из черного списка, необходимо использовать директиву wallarm_block_page вместо wallarm_acl_block_page.
  • Для добавления IP‑адресов в белый или черный список необходимо использовать интерфейс Консоли управления Валарм.

  • IP‑адреса Сканера Валарм по умолчанию добавлены в белый список. Теперь для корректной работы Сканера не нужно добавлять IP‑адреса в белый список вручную.

Процедура миграции настроек

  1. Сообщите технической поддержке Валарм, что вы планируете обновить модули WAF-ноды до версии 3.2, и оставьте запрос на включение новой логики списков IP-адресов для вашего аккаунта. Когда новая логика будет включена, убедитесь, что в Консоли управления Валарм доступна секция Списки IP-адресов.

  2. Если в вашей инфраструктуре установлена партнерская WAF‑нода, удалите скрипты, которые использовались для синхронизации черных списков IP-адресов с партнерской нодой версии 2.18 и ниже. Начиная с версии 3.2, дополнительная настройка для включения списков IP‑адресов не требуется.

  3. Обновите модули WAF‑ноды до версии 3.2, используя инструкцию для подходящего способа деплоя WAF‑ноды.

  4. Удалите из конфигурационных файлов белый список IP‑адресов Сканера Валарм. Теперь IP‑адреса Сканера добавлены в белый список по умолчанию. В предыдущих версиях WAF‑ноды вы могли настроить белый список следующим образом:

  5. Если с помощью перечисленных выше способов в белый список добавлены другие IP‑адреса, которые не должна блокировать WAF‑нода, перенесите их в белый список в Консоли управления Валарм.

  6. Если в ответ на запросы с IP‑адресов из черного списка возвращаются страница и код, заданные в директиве wallarm_acl_block_page, замените название директивы на wallarm_block_page и адаптируйте значение. Инструкция по настройке страницы блокировки и кода ошибки →

  7. Удалите переменные окружения WALLARM_ACL_* из команды для деплоя Docker‑контейнера на основе NGINX или Envoy.

  8. (Опционально) Удалите из конфигурационных файлов директивы NGINX wallarm_acl_* и параметры Envoy acl.