Перейти к содержанию

Обновление Docker‑образа на основе NGINX или Envoy (с версии 2.18 и ниже)

Инструкция описывает способ обновления Docker‑образа Валарм версии 2.18 или ниже до версии 3.6.

Использование данных существующей WAF‑ноды

Мы не рекомендуем использовать уже созданную WAF‑ноду предыдущей версии. Пожалуйста, используйте данную инструкцию, чтобы создать новую WAF‑ноду версии 3.6 и развернуть Docker‑контейнер с новой версией.

Нода версии 2.18 и ниже больше не поддерживается

Обратите внимание, что нода версии 2.18 и ниже больше не поддерживается, поэтому мы рекомендуем обновить модули.

В версии 3.6 значительно упрощена настройка ноды и повышено качество фильтрации трафика. Некоторые настройки ноды 2.18 несовместимы с новой версией ноды. Перед обновлением компонентов внимательно изучите набор изменений и рекомендации по обновлению.

Требования

  • Доступ к аккаунту с ролью Деплой или Администратор и отключенная двухфакторная аутентификация в Консоли управления Валарм для RU‑Облака или EU‑Облака

  • Доступ виртуальной машины к Валарм API по адресу api.wallarm.com:444 для EU‑Облака или api.wallarm.ru:444 для RU‑Облака. Убедитесь, что доступ не ограничен файерволом

Шаг 1: Сообщите об обновлении в техническую поддержку Валарм

Сообщите технической поддержке Валарм об обновлении и оставьте запрос на включение новой логики списков IP-адресов для вашего аккаунта. Когда новая логика будет включена, убедитесь, что в Консоли управления Валарм доступна секция Списки IP-адресов.

Шаг 2: Отключите модуль активной проверки атак (для ноды 2.16 и ниже)

Если вы обновляете ноду версии 2.16 и ниже, отключите активную проверку атак в Консоли управления Валарм → Сканер → Настройки.

При обновлении нод 2.16 и ниже работа модуля может привести к ложным срабатываниям. Отключение модуля на время обновления нод позволит минимизировать этот риск.

Шаг 3: Загрузите обновленный образ

docker pull wallarm/node:3.6.2-1
docker pull wallarm/envoy:3.6.1-1

Шаг 4: Остановите текущий контейнер

docker stop <RUNNING_CONTAINER_NAME>

Шаг 5: Перенесите настройки белых и черных списков с предыдущей версии WAF-ноды на новую

Перенесите настройки белых и черных списков с предыдущей версии WAF-ноды на новую.

Шаг 6: Убедитесь, что в конфигурации образа нет устаревших элементов

В новых версиях образов Валарм:

  • Переменная окружения WALLARM_ACL_ENABLE больше не поддерживается.

  • Изменились названия директив NGINX:

    Если параметры заданы явно в примонтированном конфигурационном файле, рекомендуем их переименовать. Параметры с устаревшими названиями временно поддерживаются, но в будущих релизах их поддержка прекратится полностью. Логика параметров не изменилась.

  • Изменились названия параметров Envoy:

    Если параметры заданы явно в примонтированном конфигурационном файле, рекомендуем их переименовать. Параметры с устаревшими названиями временно поддерживаются, но в будущих релизах их поддержка прекратится полностью. Логика параметров не изменилась.

Шаг 7: Обновите страницу блокировки Валарм (для образа на основе NGINX)

В новом образе ноды изменилась страница блокировки Валарм, &/usr/share/nginx/html/wallarm_blocked.html. Теперь на странице по умолчанию не заданы логотип и почта.

Если вы используете страницу &/usr/share/nginx/html/wallarm_blocked.html:

  1. Скопируйте содержимое новой страницы из нового образа.

  2. Отредактируйте страницу по инструкции.

  3. При запуске нового образа примонтируйте в Docker-контейнер конфигурационный файл NGINX и кастомизированную страницу блокировки Валарм.

Шаг 8: Запустите контейнер на основе нового образа

При запуске контйнера можно использовать те же параметрами конфигурации, которые были переданы с предыдущей версией образа, за исключением параметров из предыдущего пункта.

Вы можете передать параметры конфигурации в контейнер одним из следующих способов:

Шаг 9: Адаптируйте настройку режимов фильтрации трафика

  1. Убедитесь, что ожидаемое поведение следующих настроек соответствует изменениям в логике работы режимов off и monitoring:

  2. Если ожидаемое поведение не соответствует изменениям в логике работы режимов off и monitoring, адаптируйте настройку режимов фильтрации.

Шаг 10: Протестируйте работу Валарм

  1. Отправьте тестовый запрос с атаками SQLI и XSS на адрес защищенного ресурса:

    curl http://localhost/?id='or+1=1--a-<script>prompt(1)</script>'
    
  2. Перейдите в Консоль управления Валарм → секция События для EU‑Облака или для RU‑Облака и убедитесь, что атаки появились в списке.

    Атаки в интерфейсе

Шаг 11: Удалите WAF‑ноду предыдущей версии

Если развернутый образ версии 3.6 работает корректно, вы можете удалить WAF‑ноду предыдущей версии в Консоли управления Валарм → секция Ноды.

Шаг 12: Включите модуль активной проверки атак (при обновлении ноды 2.16 и ниже)

Ознакомьтесь с рекомендациями по настройке модуля активной проверки атак и заново включите модуль, если требуется.

После обновления ноды и повторного включения модуля, убедитесь, что работа модуля не приводит к ложным срабатываниям. При обнаружении ложных срабатываний, пожалуйста, обратитесь в техническую поддержку Валарм.

К началу