Обновление Linux‑пакетов WAF¶

Инструкция описывает способ обновления Linux‑пакетов WAF, установленных по инструкциям ниже, до версии 3.4.

• Модуль для NGINX stable

• Модуль для NGINX из репозиториев CentOS/Debian

• Модуль для NGINX Plus

• Модуль для Kong

Порядок обновления¶

• Если модули WAF‑ноды и постаналитики установлены на одном сервере, выполните шаги ниже.

• Если модули WAF‑ноды и постаналитики установлены на разных серверах, обновите модуль постаналитики по инструкции и выполните шаги ниже для модуля WAF‑ноды.

Шаг 1: Сообщите об обновлении в техническую поддержку Валарм¶

Если вы обновляете WAF‑ноду версии 2.18 и ниже до версии 3.4, сообщите технической поддержке Валарм об обновлении и оставьте запрос на включение новой логики списков IP-адресов для вашего аккаунта. Когда новая логика будет включена, убедитесь, что в Консоли управления Валарм доступна секция Списки IP-адресов.

Шаг 2: Обновите NGINX до последней стабильной версии¶

Обновите NGINX / NGINX Plus до последней стабильной версии из официального репозитория.

Если в вашей инфраструктуре необходимо использовать другую версию NGINX, пожалуйста, напишите в техническую поддержку Валарм для сборки модуля WAF для кастомной версии NGINX.

Шаг 3: Подключите новый репозиторий Валарм WAF¶

Отключите предыдущий репозиторий Валарм WAF и подключите новый, используя команды для подходящей платформы.

CentOS и Amazon Linux 2

sudo yum remove wallarm-node-repo
sudo rpm -i https://repo.wallarm.com/centos/wallarm-node/6/3.4/x86_64/Packages/wallarm-node-repo-1-6.el6.noarch.rpm

sudo yum remove wallarm-node-repo
sudo rpm -i https://repo.wallarm.com/centos/wallarm-node/7/3.4/x86_64/Packages/wallarm-node-repo-1-6.el7.noarch.rpm

sudo yum remove wallarm-node-repo
sudo rpm -i https://repo.wallarm.com/centos/wallarm-node/8/3.4/x86_64/Packages/wallarm-node-repo-1-6.el8.noarch.rpm

Debian и Ubuntu

1. Откройте для редактирования файл /etc/apt/sources.list.d/wallarm.list:

   sudo vim /etc/apt/sources.list.d/wallarm.list
   

2. Закомментируйте или удалите предыдущий адрес репозитория.

3. Добавьте новый адрес репозитория:

   Debian 9.x (stretch)

   deb http://repo.wallarm.com/debian/wallarm-node stretch/3.4/
   

   Debian 9.x (stretch-backports)

   deb http://repo.wallarm.com/debian/wallarm-node stretch/3.4/
   deb http://repo.wallarm.com/debian/wallarm-node stretch-backports/3.4/
   

   Debian 10.x (buster)

   deb http://repo.wallarm.com/debian/wallarm-node buster/3.4/
   

   Ubuntu 18.04 LTS (bionic)

   deb http://repo.wallarm.com/ubuntu/wallarm-node bionic/3.4/
   

   Ubuntu 20.04 LTS (focal)

   deb http://repo.wallarm.com/ubuntu/wallarm-node focal/3.4/
   

Шаг 4: Перенесите настройки белых и черных списков с предыдущей версии WAF-ноды на новую¶

Если вы обновляете WAF‑ноду версии 2.18 и ниже до версии 3.4, перенесите настройки белых и черных списков с предыдущей версии WAF-ноды на новую, используя инструкцию.

Шаг 5: Обновите пакеты Валарм WAF¶

WAF‑нода и постаналитика на одном сервере¶

1. Выполните команду для обновления модулей WAF‑ноды и постаналитики:

   Debian

   sudo apt update
   sudo apt dist-upgrade
   

   Ubuntu

   sudo apt update
   sudo apt dist-upgrade
   

   CentOS или Amazon Linux 2

   sudo yum update
   

2. Если менеджер пакетов запросит подтверждение на перезапись конфигурационного файла /etc/cron.d/wallarm-node-nginx:

   1. Убедитесь, что миграция списков IP‑адресов выполнена.

   2. Введите Y для подтверждения перезаписи файла.

      Запрос появится, если вы изменяли конфигурационный файл /etc/cron.d/wallarm-node-nginx в предыдущих версиях. В версиях 3.x изменилась логика работы списков IP‑адресов, поэтому содержимое конфигурационного файла /etc/cron.d/wallarm-node-nginx было обновлено. Для корректной работы черных списков IP‑адресов в новой версии необходимо использовать обновленный конфигурационный файл.

      По умолчанию менеджер пакетов использует опцию N, но для коррекной работы черного списка IP‑адресов необходимо отправить опцию Y.

WAF‑нода и постаналитика на разных серверах¶

1. Обновите пакеты постаналитики по инструкции.

2. Обновите пакеты WAF‑ноды:

   Debian

   sudo apt update
   sudo apt dist-upgrade
   

   Ubuntu

   sudo apt update
   sudo apt dist-upgrade
   

   CentOS или Amazon Linux 2

   sudo yum update
   

3. Если менеджер пакетов запросит подтверждение на перезапись конфигурационного файла /etc/cron.d/wallarm-node-nginx:

   1. Убедитесь, что миграция списков IP‑адресов выполнена.

   2. Введите Y для подтверждения перезаписи файла.

      Запрос появится, если вы изменяли конфигурационный файл /etc/cron.d/wallarm-node-nginx в предыдущих версиях. В версиях 3.x изменилась логика работы списков IP‑адресов, поэтому содержимое конфигурационного файла /etc/cron.d/wallarm-node-nginx было обновлено. Для корректной работы черных списков IP‑адресов в новой версии необходимо использовать обновленный конфигурационный файл.

      По умолчанию менеджер пакетов использует опцию N, но для коррекной работы черного списка IP‑адресов необходимо отправить опцию Y.

Шаг 6: Адаптируйте настройку режимов фильтрации трафика под изменения в версии 3.2¶

При обновлении WAF‑ноды версии 3.0 и ниже:

1. Убедитесь, что ожидаемое поведение следующих настроек соответствует изменениям в логике работы режимов off и monitoring:

   • Директива wallarm_mode
   • Общее правило фильтрации в Консоли управления Валарм
   • Правила, устанавливающие режим фильтрации трафика

2. Если ожидаемое поведение не соответствует изменениям в логике работы режимов off и monitoring, адаптируйте настройку режимов фильтрации под изменения по инструкции.

Шаг 7: Перезапустите NGINX¶

sudo systemctl restart nginx

sudo service nginx restart

sudo systemctl restart nginx

Шаг 8: Протестируйте работу Валарм WAF¶

1. Отправьте тестовый запрос с атаками SQLI и XSS на адрес приложения:

   curl http://localhost/?id='or+1=1--a-<script>prompt(1)</script>'
   

2. Перейдите в Консоль управления Валарм → секция События для EU‑облака или для RU‑облака и убедитесь, что атаки появились в списке.
   

   

Настройка¶

Модули Валарм WAF обновлены до версии 3.4. Настройки Валарм WAF из предыдущей версии применятся к новой версии автоматически. Чтобы применить дополнительные настройки, используйте доступные директивы.

Частые настройки:

• Настройка режима фильтрации запросов

• Логирование переменных WAF‑ноды

• Использование балансировщика или прокси‑сервера перед WAF‑нодой

• Ограничение времени обработки единичного запроса в директиве wallarm_process_time_limit

• Ограничение времени ожидания ответа сервера в директиве NGINX proxy_read_timeout

• Ограничение максимального размера запроса в директиве NGINX client_max_body_size

• Настройка динамического преобразования доменного имени

• Двойное обнаружение атак с помощью библиотеки libdetection