Обновление Linux‑пакетов WAF¶

Инструкция описывает способ обновления Linux‑пакетов WAF, установленных по инструкциям ниже, до версии 2.14.

• Модуль для NGINX stable

• Модуль для NGINX из репозиториев CentOS/Debian

• Модуль для NGINX Plus

• Модуль для Kong

Порядок обновления¶

• Если модули WAF‑ноды и постаналитики установлены на одном сервере, выполните шаги ниже.

• Если модули WAF‑ноды и постаналитики установлены на разных серверах, обновите модуль постаналитики по инструкции и выполните шаги ниже для модуля WAF‑ноды.

Шаг 1: Подключите новые репозитории Валарм WAF¶

1. Откройте файл с адресом репозитория Валарм WAF в установленном редакторе текста. В инструкции используется редактор vim.

   Debian

   sudo vim /etc/apt/sources.list.d/wallarm.list
   

   Ubuntu

   sudo vim /etc/apt/sources.list.d/wallarm.list
   

   CentOS или Amazon Linux 2

   sudo vim /etc/yum.repos.d/wallarm-node.repo
   

2. Закомментируйте указанный адрес репозитория Валарм WAF и укажите новый для версии 2.14:

   Debian 8.x (jessie-backports)

   # deb http://repo.wallarm.com/debian/wallarm-node jessie/
   # deb http://repo.wallarm.com/debian/wallarm-node jessie-backports/
   deb http://repo.wallarm.com/debian/wallarm-node jessie/2.14/
   deb http://repo.wallarm.com/debian/wallarm-node jessie-backports/2.14/
   

   Debian 9.x (stretch)

   # deb http://repo.wallarm.com/debian/wallarm-node stretch/
   deb http://repo.wallarm.com/debian/wallarm-node stretch/2.14/
   

   Debian 9.x (stretch-backports)

   # deb http://repo.wallarm.com/debian/wallarm-node stretch/
   # deb http://repo.wallarm.com/debian/wallarm-node stretch-backports/
   deb http://repo.wallarm.com/debian/wallarm-node stretch/2.14/
   deb http://repo.wallarm.com/debian/wallarm-node stretch-backports/2.14/
   

   Ubuntu 16.04 LTS (xenial)

   # deb http://repo.wallarm.com/ubuntu/wallarm-node xenial/
   deb http://repo.wallarm.com/ubuntu/wallarm-node xenial/2.14/
   

   Ubuntu 18.04 LTS (bionic)

   # deb http://repo.wallarm.com/ubuntu/wallarm-node bionic/
   deb http://repo.wallarm.com/ubuntu/wallarm-node bionic/2.14/
   

   CentOS 6.x

   [wallarm-node]
   # baseurl=http://repo.wallarm.com/centos/wallarm-node/6/$basearch
   baseurl=http://repo.wallarm.com/centos/wallarm-node/6/2.14/$basearch
   

   CentOS 7.x

   [wallarm-node]
   # baseurl=http://repo.wallarm.com/centos/wallarm-node/7/$basearch
   baseurl=http://repo.wallarm.com/centos/wallarm-node/7/2.14/$basearch
   

3. Загрузите файлы из новых репозиториев:

   Debian

   sudo apt update
   

   Ubuntu

   sudo apt update
   

   CentOS или Amazon Linux 2

   sudo yum update
   

Шаг 2: Обновите пакеты Валарм WAF¶

WAF‑нода и постаналитика на одном сервере¶

sudo apt install wallarm-node --no-install-recommends

sudo apt install wallarm-node --no-install-recommends

sudo yum update wallarm-node

WAF‑нода и постаналитика на разных серверах¶

1. Обновите пакеты постаналитики по инструкции.

2. Обновите пакеты WAF‑ноды:

   Debian

   sudo apt install wallarm-node-nginx --no-install-recommends
   

   Ubuntu

   sudo apt install wallarm-node-nginx --no-install-recommends
   

   CentOS или Amazon Linux 2

   sudo yum update wallarm-node-nginx
   

Шаг 3: Перезапустите NGINX¶

sudo systemctl restart nginx

sudo service nginx restart

sudo service nginx restart

sudo systemctl restart nginx

Шаг 4: Протестируйте работу Валарм WAF¶

1. Получите статистику о работе WAF‑ноды, выполнив запрос:

   curl http://127.0.0.8/wallarm-status
   

   Запрос вернет статистические данные о проанализированных запросах. Формат ответа приведен ниже, подробное описание параметров доступно по ссылке.
   

   { "requests":0,"attacks":0,"blocked":0,"abnormal":0,"tnt_errors":0,"api_errors":0,
   "requests_lost":0,"segfaults":0,"memfaults":0,"softmemfaults":0,"time_detect":0,"db_id":46,
   "lom_id":16767,"proton_instances": { "total":1,"success":1,"fallback":0,"failed":0 },
   "stalled_workers_count":0,"stalled_workers":[] }
   

2. Отправьте тестовый запрос с атаками SQLI и XSS на адрес приложения:

   curl http://localhost/?id='or+1=1--a-<script>prompt(1)</script>'
   

   WAF‑нода заблокирует запрос, в ответ на запрос вернется код 403 Forbidden.

3. Выполните запрос к wallarm-status и убедитесь, что значение параметров requests и attacks увеличилось:

   curl http://127.0.0.8/wallarm-status
   

4. Перейдите в Консоль управления Валарм → секция События для EU‑облака или для RU‑облака и убедитесь, что атаки появились в списке.
   

   

Настройка¶

Модули Валарм WAF обновлены до версии 2.14. Настройки Валарм WAF из предыдущей версии применятся к новой версии автоматически. Чтобы применить дополнительные настройки, используйте доступные директивы.

Частые настройки:

• Настройка режима фильтрации запросов

• Логирование переменных WAF‑ноды

• Использование балансировщика или прокси‑сервера перед WAF‑нодой

• Добавление адресов сканера Валарм в белый список для режима фильтрации block

• Ограничение времени обработки единичного запроса в директиве wallarm_process_time_limit

• Ограничение времени ожидания ответа сервера в директиве NGINX proxy_read_timeout

• Ограничение максимального размера запроса в директиве NGINX client_max_body_size