Перейти к содержанию

Обновление Linux‑пакетов WAF

Инструкция описывает способ обновления Linux‑пакетов WAF, установленных по инструкциям ниже, до версии 3.4.

Обновление разных типов WAF‑ноды и критические изменения

  • При обновлении ноды версии 2.18 и ниже обратите внимание, что версии 3.x содержат критические изменения. Перед обновлением мы рекомендуем внимательно изучить набор изменений и учесть изменение конфигурации при планировании обновления.
  • Мы рекомендуем обновить как клиентские, так и партнерские WAF‑ноды версии 3.2 и ниже до последней версии (3.4). Более ранние версии скоро перестанут поддерживаться.

Порядок обновления

  • Если модули WAF‑ноды и постаналитики установлены на одном сервере, выполните шаги ниже.

  • Если модули WAF‑ноды и постаналитики установлены на разных серверах, обновите модуль постаналитики по инструкции и выполните шаги ниже для модуля WAF‑ноды.

Шаг 1: Сообщите об обновлении в техническую поддержку Валарм

Если вы обновляете WAF‑ноду версии 2.18 и ниже до версии 3.4, сообщите технической поддержке Валарм об обновлении и оставьте запрос на включение новой логики списков IP-адресов для вашего аккаунта. Когда новая логика будет включена, убедитесь, что в Консоли управления Валарм доступна секция Списки IP-адресов.

Шаг 2: Обновите NGINX до последней стабильной версии

Обновите NGINX / NGINX Plus до последней стабильной версии из официального репозитория.

Если в вашей инфраструктуре необходимо использовать другую версию NGINX, пожалуйста, напишите в техническую поддержку Валарм для сборки модуля WAF для кастомной версии NGINX.

Шаг 3: Подключите новый репозиторий Валарм WAF

Отключите предыдущий репозиторий Валарм WAF и подключите новый, используя команды для подходящей платформы.

CentOS и Amazon Linux 2

sudo yum remove wallarm-node-repo
sudo rpm -i https://repo.wallarm.com/centos/wallarm-node/6/3.4/x86_64/Packages/wallarm-node-repo-1-6.el6.noarch.rpm
sudo yum remove wallarm-node-repo
sudo rpm -i https://repo.wallarm.com/centos/wallarm-node/7/3.4/x86_64/Packages/wallarm-node-repo-1-6.el7.noarch.rpm
sudo yum remove wallarm-node-repo
sudo rpm -i https://repo.wallarm.com/centos/wallarm-node/8/3.4/x86_64/Packages/wallarm-node-repo-1-6.el8.noarch.rpm

Debian и Ubuntu

  1. Откройте для редактирования файл /etc/apt/sources.list.d/wallarm.list:

    sudo vim /etc/apt/sources.list.d/wallarm.list
    
  2. Закомментируйте или удалите предыдущий адрес репозитория.

  3. Добавьте новый адрес репозитория:

    deb http://repo.wallarm.com/debian/wallarm-node stretch/3.4/
    
    deb http://repo.wallarm.com/debian/wallarm-node stretch/3.4/
    deb http://repo.wallarm.com/debian/wallarm-node stretch-backports/3.4/
    
    deb http://repo.wallarm.com/debian/wallarm-node buster/3.4/
    
    deb http://repo.wallarm.com/ubuntu/wallarm-node bionic/3.4/
    
    deb http://repo.wallarm.com/ubuntu/wallarm-node focal/3.4/
    

Шаг 4: Перенесите настройки белых и черных списков с предыдущей версии WAF-ноды на новую

Если вы обновляете WAF‑ноду версии 2.18 и ниже до версии 3.4, перенесите настройки белых и черных списков с предыдущей версии WAF-ноды на новую, используя инструкцию.

Шаг 5: Обновите пакеты Валарм WAF

WAF‑нода и постаналитика на одном сервере

  1. Выполните команду для обновления модулей WAF‑ноды и постаналитики:

    sudo apt update
    sudo apt dist-upgrade
    
    sudo apt update
    sudo apt dist-upgrade
    
    sudo yum update
    
  2. Если менеджер пакетов запросит подтверждение на перезапись конфигурационного файла /etc/cron.d/wallarm-node-nginx:

    1. Убедитесь, что миграция списков IP‑адресов выполнена.
    2. Введите Y для подтверждения перезаписи файла.

      Запрос появится, если вы изменяли конфигурационный файл /etc/cron.d/wallarm-node-nginx в предыдущих версиях. В версиях 3.x изменилась логика работы списков IP‑адресов, поэтому содержимое конфигурационного файла /etc/cron.d/wallarm-node-nginx было обновлено. Для корректной работы черных списков IP‑адресов в новой версии необходимо использовать обновленный конфигурационный файл.

      По умолчанию менеджер пакетов использует опцию N, но для коррекной работы черного списка IP‑адресов необходимо отправить опцию Y.

WAF‑нода и постаналитика на разных серверах

Порядок обновления модулей

Если WAF‑нода и постаналитика установлены на разных серверах, необходимо обновить пакеты постаналитики перед обновлением пакетов WAF‑ноды.

  1. Обновите пакеты постаналитики по инструкции.

  2. Обновите пакеты WAF‑ноды:

    sudo apt update
    sudo apt dist-upgrade
    
    sudo apt update
    sudo apt dist-upgrade
    
    sudo yum update
    
  3. Если менеджер пакетов запросит подтверждение на перезапись конфигурационного файла /etc/cron.d/wallarm-node-nginx:

    1. Убедитесь, что миграция списков IP‑адресов выполнена.
    2. Введите Y для подтверждения перезаписи файла.

      Запрос появится, если вы изменяли конфигурационный файл /etc/cron.d/wallarm-node-nginx в предыдущих версиях. В версиях 3.x изменилась логика работы списков IP‑адресов, поэтому содержимое конфигурационного файла /etc/cron.d/wallarm-node-nginx было обновлено. Для корректной работы черных списков IP‑адресов в новой версии необходимо использовать обновленный конфигурационный файл.

      По умолчанию менеджер пакетов использует опцию N, но для коррекной работы черного списка IP‑адресов необходимо отправить опцию Y.

Шаг 6: Адаптируйте настройку режимов фильтрации трафика под изменения в версии 3.2

При обновлении WAF‑ноды версии 3.0 и ниже:

  1. Убедитесь, что ожидаемое поведение следующих настроек соответствует изменениям в логике работы режимов off и monitoring:

  2. Если ожидаемое поведение не соответствует изменениям в логике работы режимов off и monitoring, адаптируйте настройку режимов фильтрации под изменения по инструкции.

Шаг 7: Перезапустите NGINX

sudo systemctl restart nginx
sudo service nginx restart
sudo systemctl restart nginx

Шаг 8: Протестируйте работу Валарм WAF

  1. Отправьте тестовый запрос с атаками SQLI и XSS на адрес приложения:

    curl http://localhost/?id='or+1=1--a-<script>prompt(1)</script>'
    
  2. Перейдите в Консоль управления Валарм → секция События для EU‑облака или для RU‑облака и убедитесь, что атаки появились в списке.

    Атаки в интерфейсе

Настройка

Модули Валарм WAF обновлены до версии 3.4. Настройки Валарм WAF из предыдущей версии применятся к новой версии автоматически. Чтобы применить дополнительные настройки, используйте доступные директивы.

Частые настройки: