Обновление Linux‑пакетов WAF¶
Инструкция описывает способ обновления Linux‑пакетов WAF, установленных по инструкциям ниже, до версии 2.16.
Порядок обновления¶
-
Если модули WAF‑ноды и постаналитики установлены на одном сервере, выполните шаги ниже.
-
Если модули WAF‑ноды и постаналитики установлены на разных серверах, обновите модуль постаналитики по инструкции и выполните шаги ниже для модуля WAF‑ноды.
Шаг 1: Подключите новый репозиторий Валарм WAF¶
Отключите предыдущий репозиторий Валарм WAF и подключите новый, используя команды для подходящей платформы.
CentOS 7 и Amazon Linux 2
sudo yum remove wallarm-node-repo
sudo rpm -i https://repo.wallarm.com/centos/wallarm-node/7/2.16/x86_64/Packages/wallarm-node-repo-1-5.el7.noarch.rpm
Debian и Ubuntu
-
Откройте для редактирования файл
/etc/apt/sources.list.d/wallarm.list
:sudo vim /etc/apt/sources.list.d/wallarm.list
-
Закомментируйте или удалите предыдущий адрес репозитория.
-
Добавьте новый адрес репозитория:
deb http://repo.wallarm.com/debian/wallarm-node stretch/2.16/
deb http://repo.wallarm.com/debian/wallarm-node stretch/2.16/ deb http://repo.wallarm.com/debian/wallarm-node stretch-backports/2.16/
deb http://repo.wallarm.com/debian/wallarm-node buster/2.16/
deb http://repo.wallarm.com/ubuntu/wallarm-node xenial/2.16/
deb http://repo.wallarm.com/ubuntu/wallarm-node bionic/2.16/
Шаг 2: Обновите пакеты Валарм WAF¶
WAF‑нода и постаналитика на одном сервере¶
sudo apt update
sudo apt dist-upgrade -o Dir::Etc::sourcelist=/etc/apt/sources.list.d/wallarm.list -o Dir::Etc::sourceparts=""
sudo apt update
sudo apt dist-upgrade -o Dir::Etc::sourcelist=/etc/apt/sources.list.d/wallarm.list -o Dir::Etc::sourceparts=""
sudo yum update
WAF‑нода и постаналитика на разных серверах¶
Порядок обновления модулей
Если WAF‑нода и постаналитика установлены на разных серверах, необходимо обновить пакеты постаналитики перед обновлением пакетов WAF‑ноды.
-
Обновите пакеты постаналитики по инструкции.
-
Обновите пакеты WAF‑ноды:
sudo apt update sudo apt dist-upgrade -o Dir::Etc::sourcelist=/etc/apt/sources.list.d/wallarm.list -o Dir::Etc::sourceparts=""
sudo apt update sudo apt dist-upgrade -o Dir::Etc::sourcelist=/etc/apt/sources.list.d/wallarm.list -o Dir::Etc::sourceparts=""
sudo yum update
Шаг 3: Перезапустите NGINX¶
sudo systemctl restart nginx
sudo service nginx restart
sudo systemctl restart nginx
Шаг 4: Протестируйте работу Валарм WAF¶
-
Получите статистику о работе WAF‑ноды, выполнив запрос:
curl http://127.0.0.8/wallarm-status
Запрос вернет статистические данные о проанализированных запросах. Формат ответа приведен ниже, подробное описание параметров доступно по ссылке.
{ "requests":0,"attacks":0,"blocked":0,"abnormal":0,"tnt_errors":0,"api_errors":0, "requests_lost":0,"segfaults":0,"memfaults":0,"softmemfaults":0,"time_detect":0,"db_id":46, "lom_id":16767,"proton_instances": { "total":1,"success":1,"fallback":0,"failed":0 }, "stalled_workers_count":0,"stalled_workers":[] }
-
Отправьте тестовый запрос с атаками SQLI и XSS на адрес приложения:
curl http://localhost/?id='or+1=1--a-<script>prompt(1)</script>'
Если WAF‑нода работает в режиме
block
, запрос будет заблокирован с ответом403 Forbidden
. -
Выполните запрос к
wallarm-status
и убедитесь, что значение параметровrequests
иattacks
увеличилось:curl http://127.0.0.8/wallarm-status
-
Перейдите в Консоль управления Валарм → секция События для EU‑облака или для RU‑облака и убедитесь, что атаки появились в списке.
Настройка¶
Модули Валарм WAF обновлены до версии 2.16. Настройки Валарм WAF из предыдущей версии применятся к новой версии автоматически. Чтобы применить дополнительные настройки, используйте доступные директивы.
Частые настройки:
-
Использование балансировщика или прокси‑сервера перед WAF‑нодой
-
Добавление адресов сканера Валарм в белый список для режима фильтрации
block
-
Ограничение времени обработки единичного запроса в директиве
wallarm_process_time_limit
-
Ограничение времени ожидания ответа сервера в директиве NGINX
proxy_read_timeout
-
Ограничение максимального размера запроса в директиве NGINX
client_max_body_size