Перейти к содержанию

Типы и логика работы списков IP‑адресов

В секции Списки IP‑адресов в Консоли управления Валарм вы можете настраивать доступ к вашим приложениям по IP‑адресам, добавляя их в белый, черный и серый списки:

  • Белый список — список доверенных IP‑адресов, которым вы разрешаете доступ к приложениям вне зависимости от наличия в запросах признаков атак.

  • Черный список — список IP‑адресов, которым вы не разрешаете доступ к приложениям, даже если в запросах нет признаков атак.

  • Серый список — список IP‑адресов, которым вы разрешаете доступ к приложениям, только если в запросах нет признаков атак.

Все списки IP

Поддержка списков IP‑адресов

Возможность настройки доступа по IP‑адресам с помощью белого, черного и серого списков с поддержкой выбора приложений доступна для клиентских и партнерских WAF‑нод версии 3.2 и выше.

Если в вашей инфраструктуре уже установлена обычная (клиентская) или партнерская WAF‑нода версии 3.0 и ниже, перед настройкой списков IP‑адресов:

  1. Обновите модули.
  2. Перенесите предыдущие настройки доступа по IP‑адресам на новую схему.

Алгоритм обработки списков IP‑адресов

Изменения в логике обработки списков IP‑адресов в выключенном режиме и режиме мониторинга

В версии WAF‑ноды 3.2 изменилась логика обработки списков IP‑адресов в выключенном режиме и режиме мониторинга WAF‑ноды следующим образом:

  • WAF‑нода не блокирует запросы, отправленные с IP‑адресов из черного списка
  • В режиме мониторинга WAF‑нода выгружает в Облако Валарм данные об атаках, отправленных с IP‑адресов из белого списка

Перед обновлением модулей до версии 3.2 убедитесь, что ожидаемое поведение WAF‑ноды в выключенном режиме или режиме мониторинга совпадает с изменениями.

Если вы обнаружили изменения после обновления, пожалуйста, адаптируйте настройку режима фильтрации под изменения. Подробнее о настройке режима фильтрации

WAF‑нода анализирует источники запросов и соотносит их со списками IP‑адресов только в режиме мягкой или обычной блокировки.

  • Включен режим мягкой блокировки:

    1. Если IP‑адрес источника запроса добавлен в белый список, WAF‑нода пропускает запрос. Если IP‑адреса нет в белом списке, выполняется следующий шаг.
    2. Если IP‑адрес источника запроса добавлен в черный список, WAF‑нода блокирует запрос. Если IP‑адреса нет в черном списке, выполняется следующий шаг.
    3. Если IP‑адрес источника запроса добавлен в серый список и запрос содержит признаки атаки, WAF‑нода блокирует запрос. Если в запросе нет признаков атаки, WAF‑нода пропускает его. Если IP‑адреса нет в сером списке, выполняется следующий шаг.
    4. Если источника запроса нет ни в одном списке, WAF‑нода пропускает запрос вне зависимости от наличия признаков атак.
  • Включен режим блокировки:

    1. Если IP‑адрес источника запроса добавлен в белый список, WAF‑нода пропускает запрос. Если IP‑адреса нет в белом списке, выполняется следующий шаг.
    2. Если IP‑адрес источника запроса добавлен в черный список, WAF‑нода блокирует запрос. Если IP‑адреса нет в черном списке, выполняется следующий шаг.
    3. Если источника запроса нет ни в белом, ни в черном списке и в запросе есть признаки атаки, WAF‑нода блокирует запрос. Если в запросе нет признаков атаки, WAF‑нода пропускает его.

WAF‑нода всегда анализирует списки IP‑адресов в следующей последовательности: белый, черный, серый. Например, если IP‑адрес добавлен и в белый и в черный списки, то WAF‑нода будет считать его доверенным источником и пропускать запросы с этого IP‑адреса.

Настройка списков IP‑адресов

Чтобы настроить списки IP‑адресов:

  1. Если перед передачей на WAF‑ноду запросы проходят через прокси‑сервер или балансировщик нагрузки, настройте корректную передачу реального IP‑адреса источника на WAF‑ноду по инструкции:

  2. Добавьте IP‑адреса в списки:

Использование внешнего файервола для блокировки IP‑адресов

Если вы используете дополнительные средства (программные или аппаратные) для автоматической фильтрации и блокировки трафика, необходимо добавить IP‑адреса Сканера Валарм в белый список соответствующего средства фильтрации. Это позволит компонентам Валарм беспрепятственно проверять ваши ресурсы на наличие уязвимостей.

Ограничения в настройках списков доступа по IP‑адресам