Что нового в WAF‑ноде 3.2¶

WAF-нода 3.x — новая мажорная версия продукта, полностью несовместимая с WAF-нодой версии 2.18 и ниже. Перед обновлением компонентов до версии 3.2 мы рекомендуем внимательно изучить набор изменений, описанный ниже, и другие рекомендации.

Какие WAF‑ноды рекомендуется обновить?¶

• Партнерские и клиентские ноды версии 2.18 и ниже. Изменения, доступные с обновлением, упрощают настройку WAF‑ноды и повышают качество фильтрации трафика.

• Клиентские ноды версии 3.0. Изменения, доступные с обновлением, позволяют настраивать доступ по IP‑адресам к определенным приложениям и упрощают логику работы режимов фильтрации трафика.

При обновлении WAF‑ноды версии 2.18 и ниже¶

Все изменения, описанные ниже, доступны как в клиентской, так и в партнерской ноде версии 3.2.

Изменения в поддерживаемых платформах¶

• Прекращена поддержка Ubuntu 16.04 LTS (xenial)

Полный список поддерживаемых платформ →

Изменения в наборе поддерживаемых параметров настройки WAF-ноды¶

• Прекращена поддержка всех acl директив NGINX, параметров Envoy и переменных окружения, которые использовались для настройки черных списков IP-адресов. Теперь дополнительная настройка черных списков через конфигурационные файлы не требуется.

  Подробнее о миграции настроек черных списков →

• Добавлены новая директива NGINX и параметр Envoy disable_acl. Данная настройка позволяет выключить анализ источников запросов на совпадение с данными из списков IP-адресов.

  Подробнее о директиве NGINX disable_acl →

  Подробнее о параметре Envoy disable_acl →

Изменения в требованиях к системе для установки WAF-ноды¶

Начиная с версии 3.x, WAF-нода поддерживает работу с белыми, черными и серыми списками IP‑адресов. Вы можете добавить в список как одиночные IP-адреса, так и страны или дата-центры.

Чтобы при анализе запросов WAF-нода использовала актуальный список IP-адресов, которые зарегистрированы в стране или дата-центре из списков IP, WAF-нода должна иметь доступ к адресам, с которых они скачиваются. Обеспечение доступа к этим адресам — новое требование к виртуальной машине, на которую устанавливается WAF-нода.

Диапазоны IP-адресов, к которым необходимо обеспечить доступ:

• Для EU-Облака Валарм

• Для RU-Облака Валарм: диапазон 1 и диапазон 2

Изменения в логике работы режимов фильтрации трафика¶

Начиная с версии 3.2, WAF‑нода анализирует источник запросов только в режиме мягкой или обычной блокировки.

Теперь WAF‑нода в выключенном режиме (off) и режиме мониторинга (monitoring):

• Не блокирует запросы, отправленные с IP‑адресов из черного списка

• В режиме мониторинга выгружает в Облако Валарм данные об атаках, отправленных с IP‑адресов из белого списка

Подробнее о режимах работы WAF‑ноды версии 3.2 →

Новые возможности продукта¶

• Поддержка фильтрации трафика в режиме мягкой блокировки и поддержка серого списка IP-адресов.

  Использование серых списков в режиме мягкой блокировки позволяет значительно снизить уровень ложных срабатываний на атаки за счет блокировки только тех запросов из трафика, которые содержат признаки атаки и отправлены с IP-адресов из серого списка.

• Новая реакция в настройках триггеров Добавить IP в серый список. Используя триггеры с новой реакцией, вы сможете настроить автоматическое добавление IP-адресов в серый список при соблюдении заданных условий.

  Пример триггера для добавления IP в серый список →

• Управление белым списком IP-адресов через интерфейс Консоли управления Валарм.

• Автоматическое добавление IP-адресов Сканера Валарм в белый список. Теперь добавлять IP-адреса Сканера в белый список вручную не требуется.

• Новые параметры конфигурационного файла node.yaml для настройки синхронизации Облака Валарм и WAF-ноды: api.local_host и api.local_port. С помощью этих параметров вы можете задать локальный IP-адрес и порт сетевого интерфейса, через который отправляются запросы к Валарм API.

  Полный набор параметров node.yaml для настройки синхронизации Облака Валарм и WAF-ноды →

• Добавление в белый, черный и серый списки группы IP-адресов, которые зарегистрированы в определенной стране, дата-центре, являются адресами узлов Tor или сети VPN.

  Подробнее о добавлении IP-адресов в белый, черный и серый списки →

• Возможность выбрать приложения, к которым необходимо ограничить или разрешить доступ, при добавлении IP‑адресов в белый, черный или серый список.

  Подробнее о добавлении IP-адресов в белый, черный и серый списки →

• Новый модуль Обнаружение API, который строит структуру ваших API на основе реального трафика приложений.

  Подробнее о модуле Обнаружение API →

• Сервис статистики теперь учитывает запросы, отправленные с IP‑адресов из черного списка. Количество таких запросов записывается в новый параметр blocked_by_acl, а также учитывается в параметрах requests и blocked.

  Подробнее о сервисе статистики →

• Поддержка библиотеки libdetection на ноде Валарм на основе Envoy. Библиотека libdetection дополнительно проверяет атаки типа SQL‑инъекций на наличие вредоносных пэйлоадов и удаляет отметку об атаке, если пэйлоад не подтвердился. Такой подход позволяет снизить количество ложных срабатываний на атаки типа SQL‑инъекций.

  По умолчанию библиотека выключена. Мы рекомендуем ее включить для более качественного обнаружения атак.

  Подробнее о библиотеке libdetection →

При обновлении WAF‑ноды версии 3.0¶

Критическое изменение¶

Начиная с версии 3.2, WAF‑нода анализирует источник запросов только в режиме мягкой или обычной блокировки.

Теперь WAF‑нода в выключенном режиме (off) и режиме мониторинга (monitoring):

• Не блокирует запросы, отправленные с IP‑адресов из черного списка

• В режиме мониторинга выгружает в Облако Валарм данные об атаках, отправленных с IP‑адресов из белого списка

Подробнее о режимах работы WAF‑ноды версии 3.2 →

Новые возможности продукта¶

• Возможность выбирать приложения, к которым необходимо ограничить или разрешить доступ, при добавлении IP‑адресов в белый, черный или серый список.

  Подробнее о добавлении IP-адресов в белый, черный и серый списки →

• Сервис статистики теперь учитывает запросы, отправленные с IP‑адресов из черного списка. Количество таких запросов записывается в новый параметр blocked_by_acl, а также учитывается в параметрах requests и blocked.

  Подробнее о сервисе статистики →

• Поддержка библиотеки libdetection на ноде Валарм на основе Envoy. Библиотека libdetection дополнительно проверяет атаки типа SQL‑инъекций на наличие вредоносных пэйлоадов и удаляет отметку об атаке, если пэйлоад не подтвердился. Такой подход позволяет снизить количество ложных срабатываний на атаки типа SQL‑инъекций.

  По умолчанию библиотека выключена. Мы рекомендуем ее включить для более качественного обнаружения атак.

  Подробнее о библиотеке libdetection →

Процедура обновления¶

1. Ознакомьтесь с рекомендациями по обновлению модулей.

2. Обновите модули, следуя подходящей инструкции:

   • Обновление модулей NGINX, NGINX Plus, Kong
   • Обновление Docker‑контейнера с модулями для NGINX или Envoy
   • Обновление Ingress‑контроллера NGINX с сервисами Валарм WAF
   • Обновление облачного образа WAF‑ноды

3. Если вы обновляете WAF‑ноду версии 2.18 и ниже до версии 3.2, перенесите настройку белых и черных списков на новую версию.

Другие обновления в продуктах и компонентах Валарм →