Что нового в ноде Валарм версии 3.4¶

На этой странице перечислены изменения, доступные в релизе версии 3.4 и других минорных версиях ноды 3.x.

При обновлении ноды версии 2.18 и ниже обратите внимание, что версии 3.x содержат критические изменения. Перед обновлением компонентов до версии 3.4 мы рекомендуем внимательно изучить набор изменений, описанный ниже, и другие рекомендации.

Какие ноды рекомендуется обновить?¶

• Партнерские и клиентские ноды версии 2.18 и ниже. Изменения, доступные с обновлением, упрощают настройку ноды и повышают качество фильтрации трафика.

• Клиентские и партнерские ноды версии 3.x, чтобы поддерживать модули в актуальном состоянии и избегать использования устаревших версий.

При обновлении ноды Валарм версии 2.18 и ниже¶

Все изменения, описанные ниже, доступны как в клиентской, так и в партнерской ноде версии 3.4.

Изменения в поддерживаемых формах установки¶

• Добавлена поддержка CloudLinux OS 6.x

• Добавлена поддержка Debian 11.x Bullseye

• Прекращена поддержка Ubuntu 16.04 LTS (xenial)

• Версия Envoy в Docker‑образе Валарм на основе Envoy обновлена до 1.18.4

Полный список поддерживаемых форм установок →

Изменения в наборе поддерживаемых параметров настройки WAF-ноды¶

• Прекращена поддержка всех acl директив NGINX, параметров Envoy и переменных окружения, которые использовались для настройки черных списков IP-адресов. Теперь дополнительная настройка черных списков через конфигурационные файлы не требуется.

  Подробнее о миграции настроек черных списков →

• Добавлены новая директива NGINX и параметр Envoy disable_acl. Данная настройка позволяет выключить анализ источников запросов на совпадение с данными из списков IP-адресов.

  Подробнее о директиве NGINX disable_acl →

  Подробнее о параметре Envoy disable_acl →

Изменения в требованиях к системе для установки WAF-ноды¶

Начиная с версии 3.x, WAF-нода поддерживает работу с белыми, черными и серыми списками IP‑адресов. Вы можете добавить в список как одиночные IP-адреса, так и страны или дата-центры.

Чтобы при анализе запросов WAF-нода использовала актуальный список IP-адресов, которые зарегистрированы в стране или дата-центре из списков IP, WAF-нода должна иметь доступ к адресам, с которых они скачиваются. Обеспечение доступа к этим адресам — новое требование к виртуальной машине, на которую устанавливается WAF-нода.

Диапазоны IP-адресов, к которым необходимо обеспечить доступ:

• Для EU-Облака Валарм

• Для RU-Облака Валарм: диапазон 1 и диапазон 2

Изменения в логике работы режимов фильтрации трафика¶

Начиная с версии 3.2, WAF‑нода анализирует источник запросов только в режиме мягкой или обычной блокировки.

Теперь WAF‑нода в выключенном режиме (off) и режиме мониторинга (monitoring):

• Не блокирует запросы, отправленные с IP‑адресов из черного списка

• В режиме мониторинга выгружает в Облако Валарм данные об атаках, отправленных с IP‑адресов из белого списка

Подробнее о режимах работы ноды Валарм →

Новые возможности продукта¶

• Поддержка фильтрации трафика в режиме мягкой блокировки и поддержка серого списка IP-адресов.

  Использование серых списков в режиме мягкой блокировки позволяет значительно снизить уровень ложных срабатываний на атаки за счет блокировки только тех запросов из трафика, которые содержат признаки атаки и отправлены с IP-адресов из серого списка.

• Новая реакция в настройках триггеров Добавить IP в серый список. Используя триггеры с новой реакцией, вы сможете настроить автоматическое добавление IP-адресов в серый список при соблюдении заданных условий.

  Пример триггера для добавления IP в серый список →

• Управление белым списком IP-адресов через интерфейс Консоли управления Валарм.

• Автоматическое добавление IP-адресов Сканера Валарм в белый список. Теперь добавлять IP-адреса Сканера в белый список вручную не требуется.

• Новые параметры конфигурационного файла node.yaml для настройки синхронизации Облака Валарм и WAF-ноды: api.local_host и api.local_port. С помощью этих параметров вы можете задать локальный IP-адрес и порт сетевого интерфейса, через который отправляются запросы к Валарм API.

  Полный набор параметров node.yaml для настройки синхронизации Облака Валарм и WAF-ноды →

• Добавление в белый, черный и серый списки группы IP-адресов, которые зарегистрированы в определенной стране, дата-центре, являются адресами узлов Tor или сети VPN.

  Подробнее о добавлении IP-адресов в белый, черный и серый списки →

• Возможность выбрать приложения, к которым необходимо ограничить или разрешить доступ, при добавлении IP‑адресов в белый, черный или серый список.

  Подробнее о добавлении IP-адресов в белый, черный и серый списки →

• Новый модуль Обнаружение API, который строит структуру ваших API на основе реального трафика приложений.

  Подробнее о модуле Обнаружение API →

• Сервис статистики теперь учитывает запросы, отправленные с IP‑адресов из черного списка. Количество таких запросов записывается в новый параметр blocked_by_acl, а также учитывается в параметрах requests и blocked.

  Подробнее о сервисе статистики →

• Поддержка библиотеки libdetection на ноде Валарм на основе Envoy. Библиотека libdetection дополнительно проверяет атаки типа SQL‑инъекций на наличие вредоносных пэйлоадов и удаляет отметку об атаке, если пэйлоад не подтвердился. Такой подход позволяет снизить количество ложных срабатываний на атаки типа SQL‑инъекций.

  По умолчанию библиотека выключена. Мы рекомендуем ее включить для более качественного обнаружения атак.

  Подробнее о библиотеке libdetection →

• Новая переменная окружения WALLARM_APPLICATION для Docker‑контейнера Валарм на основе NGINX (доступна с версии 3.4.1-1). В переменной передается идентификатор для обозначения защищенного приложения в Облаке Валарм.

  Инструкция по запуску Docker‑контейнера Валарм на основе NGINX →

При обновлении ноды Валарм версии 3.0¶

Критическое изменение¶

Начиная с версии 3.2, WAF‑нода анализирует источник запросов только в режиме мягкой или обычной блокировки.

Теперь WAF‑нода в выключенном режиме (off) и режиме мониторинга (monitoring):

• Не блокирует запросы, отправленные с IP‑адресов из черного списка

• В режиме мониторинга выгружает в Облако Валарм данные об атаках, отправленных с IP‑адресов из белого списка

Подробнее о режимах работы ноды Валарм →

Изменения в поддерживаемых формах установки¶

• Добавлена поддержка CloudLinux OS 6.x

• Добавлена поддержка Debian 11.x Bullseye

• Версия Envoy в Docker‑образе Валарм на основе Envoy обновлена до 1.18.4

Полный список поддерживаемых форм установки →

Новые возможности продукта¶

• Возможность выбирать приложения, к которым необходимо ограничить или разрешить доступ, при добавлении IP‑адресов в белый, черный или серый список.

  Подробнее о добавлении IP-адресов в белый, черный и серый списки →

• Сервис статистики теперь учитывает запросы, отправленные с IP‑адресов из черного списка. Количество таких запросов записывается в новый параметр blocked_by_acl, а также учитывается в параметрах requests и blocked.

  Подробнее о сервисе статистики →

• Поддержка библиотеки libdetection на ноде Валарм на основе Envoy. Библиотека libdetection дополнительно проверяет атаки типа SQL‑инъекций на наличие вредоносных пэйлоадов и удаляет отметку об атаке, если пэйлоад не подтвердился. Такой подход позволяет снизить количество ложных срабатываний на атаки типа SQL‑инъекций.

  По умолчанию библиотека выключена. Мы рекомендуем ее включить для более качественного обнаружения атак.

  Подробнее о библиотеке libdetection →

• Новая переменная окружения WALLARM_APPLICATION для Docker‑контейнера Валарм на основе NGINX (доступна с версии 3.4.1-1). В переменной передается идентификатор для обозначения защищенного приложения в Облаке Валарм.

  Инструкция по запуску Docker‑контейнера Валарм на основе NGINX →

При обновлении ноды Валарм версии 3.2¶

• Добавлена поддержка CloudLinux OS 6.x

  Полный список поддерживаемых форм установок →

• Добавлена поддержка Debian 11.x Bullseye

  Полный список поддерживаемых форм установок →

• Версия Envoy в Docker‑образе Валарм на основе Envoy обновлена до 1.18.4

  Полный список поддерживаемых форм установок →

• Новая переменная окружения WALLARM_APPLICATION для Docker‑контейнера Валарм на основе NGINX (доступна с версии 3.4.1-1). В переменной передается идентификатор для обозначения защищенного приложения в Облаке Валарм.

  Инструкция по запуску Docker‑контейнера Валарм на основе NGINX →

Процедура обновления¶

1. Ознакомьтесь с рекомендациями по обновлению модулей.

2. Обновите модули, следуя подходящей инструкции:

   • Обновление модулей NGINX, NGINX Plus, Kong
   • Обновление Docker‑контейнера с модулями для NGINX или Envoy
   • Обновление Ingress‑контроллера NGINX с сервисами Валарм WAF
   • Обновление облачного образа ноды Валарм

3. Если вы обновляете ноду версии 2.18 и ниже до версии 3.4, перенесите настройку белых и черных списков на новую версию.

Другие обновления в продуктах и компонентах Валарм →