Перейти к содержанию

Обновление облачного образа ноды 2.18 и ниже

Инструкция описывает способ обновления образа WAF‑ноды 2.18 и ниже, развернутого в AWS, GCP или Яндекс.Облаке, до версии 3.6.

Нода версии 2.18 и ниже больше не поддерживается

Обратите внимание, что нода версии 2.18 и ниже больше не поддерживается, поэтому мы рекомендуем обновить модули.

В версии 3.6 значительно упрощена настройка ноды и повышено качество фильтрации трафика. Некоторые настройки ноды 2.18 несовместимы с новой версией ноды. Перед обновлением компонентов внимательно изучите набор изменений и рекомендации по обновлению.

Шаг 1: Сообщите об обновлении в техническую поддержку Валарм

Сообщите технической поддержке Валарм об обновлении и оставьте запрос на включение новой логики списков IP-адресов для вашего аккаунта. Когда новая логика будет включена, убедитесь, что в Консоли управления Валарм доступна секция Списки IP-адресов.

Шаг 2: Отключите модуль активной проверки атак (для ноды 2.16 и ниже)

Если вы обновляете ноду версии 2.16 и ниже, отключите активную проверку атак в Консоли управления Валарм → Сканер → Настройки.

При обновлении нод 2.16 и ниже работа модуля может привести к ложным срабатываниям. Отключение модуля на время обновления нод позволит минимизировать этот риск.

Шаг 3: Запустите новый инстанс с WAF‑нодой 3.6

  1. Откройте образ WAF‑ноды Валарм на маркетплейсе облачной платформы и перейдите к запуску:

  2. При запуске выполните следующие настройки:

  3. Подтвердите запуск инстанса.

  4. Для GCP выполните настройку инстанса по инструкции.

Шаг 4: Адаптируйте настройку режимов фильтрации трафика

  1. Убедитесь, что ожидаемое поведение следующих настроек соответствует изменениям в логике работы режимов off и monitoring:

  2. Если ожидаемое поведение не соответствует изменениям в логике работы режимов off и monitoring, адаптируйте настройку режимов фильтрации под изменения по инструкции.

Шаг 5: Подключите ноду к Облаку Валарм

  1. Подключитесь к инстансу с WAF‑нодой по SSH. Подробная инструкция по подключению к инстансу доступна в документации облачной платформы:

  2. Подключите ноду к Облаку Валарм по токену новой ноды или по логину и паролю в Консоли управления Валарм, как описано в инструкции для облачной платформы:

Шаг 6: Скопируйте настройки WAF‑ноды из предыдущей версии в новую версию

  1. Скопируйте настройки обработки и проксирования запросов из следующих конфигурационных файлов предыдущей версии WAF‑ноды в файлы WAF‑ноды 3.6:

    • /etc/nginx/nginx.conf и другие файлы с настройками NGINX
    • /etc/nginx/conf.d/wallarm.conf с глобальными настройками WAF‑ноды
    • /etc/nginx/conf.d/wallarm-status.conf с настройками сервиса мониторинга WAF‑ноды
    • /etc/environment с переменными окружения
    • /etc/default/wallarm-tarantool с настройками Tarantool
    • Другие файлы с кастомными настройками обработки и проксирования запросов
  2. Убедитесь, что в скопированных настройках нет устаревших параметров. В новой версии ноды изменились названия директив NGINX:

    Если параметры в конфигурационных файлах заданы явно, рекомендуем их переименовать. Параметры с устаревшими названиями временно поддерживаются, но в будущих релизах их поддержка прекратится полностью. Логика параметров не изменилась.

  3. Перенесите настройки белых и черных списков с предыдущей версии WAF-ноды на новую.

  4. Обновите страницу блокировки Валарм. В новой версии ноды изменился пример страницы блокировки Валарм, &/usr/share/nginx/html/wallarm_blocked.html. Если вы используете эту страницу, скопируйте и отредактируйте ее по инструкции.

  5. Перезапустите NGINX, чтобы применить настройки:

    sudo systemctl restart nginx
    

Подробная информация о работе с конфигурационными файлами NGINX доступна в официальной документации NGINX.

Список доступных директив для настройки WAF‑ноды доступен по ссылке.

Шаг 7: Протестируйте работу WAF‑ноды

  1. Отправьте тестовый запрос с атаками SQLI и XSS на адрес приложения:

    curl http://localhost/?id='or+1=1--a-<script>prompt(1)</script>'
    
  2. Перейдите в Консоль управления Валарм → секция События для EU‑Облака или для RU‑Облака и убедитесь, что атаки появились в списке.

    Атаки в интерфейсе

Шаг 8: Создайте образ виртуальной машины с WAF‑нодой 3.6 в AWS или GCP

Для создания образа виртуальной машины с WAF‑нодой 3.6, используйте инструкцию для AWS или GCP.

Шаг 9: Удалите инстанс с предыдущей версией WAF‑ноды

После успешной настройки и тестирования новой версии WAF‑ноды, удалите инстанс и виртуальную машину с предыдущей версией WAF‑ноды, используя консоль управления AWS, GCP или Яндекс.Облака.

Шаг 10: Включите модуль активной проверки атак (при обновлении ноды 2.16 и ниже)

Ознакомьтесь с рекомендациями по настройке модуля активной проверки атак и заново включите модуль, если требуется.

После обновления ноды и повторного включения модуля, убедитесь, что работа модуля не приводит к ложным срабатываниям. При обнаружении ложных срабатываний, пожалуйста, обратитесь в техническую поддержку Валарм.

К началу