Установка динамического модуля WAF для NGINX Plus¶

Инструкция описывает подключение Валарм WAF как динамического модуля к официальной коммерческой версии NGINX Plus.

apt list wallarm-node

apt list wallarm-node

yum list wallarm-node

# выполните на сервере с WAF‑нодой
apt list wallarm-node-nginx
# выполните на сервере с постаналитикой
apt list wallarm-node-tarantool

# выполните на сервере с WAF‑нодой
apt list wallarm-node-nginx
# выполните на сервере с постаналитикой
apt list wallarm-node-tarantool

# выполните на сервере с WAF‑нодой
yum list wallarm-node-nginx
# выполните на сервере с постаналитикой
yum list wallarm-node-tarantool

Требования¶

• Доступ к аккаунту с ролью Администратор или Деплой и отключенной двухфакторной аутентификацией в Консоли управления Валарм для RU‑облака или EU‑облака

• SELinux, отключенный или настроенный по инструкции

• Выполнение команд от имени суперпользователя (например, root)

• Для обработки запросов и постаналитики на разных серверах: постаналитика, установленная на отдельный сервер по инструкции

• Возможность обращаться к https://repo.wallarm.com для загрузки пакетов. Убедитесь, что доступ не ограничен настройками файервола

• Доступ к https://api.wallarm.com:444 для работы с EU‑облаком Валарм или к https://api.wallarm.ru:444 для работы с RU‑облаком Валарм. Если доступ к Валарм API возможен только через прокси‑сервер, используйте инструкцию для настройки

• Доступ к адресам GCP или хранилища Яндекс S3, чтобы обеспечить корректную блокировку IP-адресов, зарегистрированных в странах или дата-центрах из белого, черного и серого списков IP. Набор адресов:

  • Диапазон адресов для EU-Облака Валарм
  • Для RU-Облака Валарм необходимо обеспечить доступ к нескольким диапазонам: диапазон 1 и диапазон 2

• Установленный текстовый редактор vim, nano или другой. В инструкции используется редактор vim

Варианты установки¶

Обработка запросов в Валарм WAF делится на две фазы:

1. Первичная обработка в модуле NGINX-Wallarm. Не требует большого объема оперативной памяти, может быть размещена на текущих frontend-серверах без изменения требований.

2. Статистический анализ обработанных запросов в модуле постаналитики. Требует значительного объема памяти, что может потребовать внесения изменений в конфигурацию существующих серверов либо выполнение постаналитики на другом сервере.

В зависимости от архитектуры системы, модуль NGINX-Wallarm и модуль постаналитики могут быть установлены на один сервер или на разные серверы.

Команды установки для разных вариантов описаны в соответствующих шагах.

Установка¶

1. Установите NGINX Plus и зависимости¶

Установите NGINX Plus и зависимости, используя официальную инструкцию NGINX.

2. Добавьте репозитории Валарм WAF¶

Валарм WAF устанавливается и обновляется из репозиториев Валарм. Для добавления репозиториев используйте команды для вашей платформы.

sudo apt install dirmngr
curl -fsSL https://repo.wallarm.com/wallarm.gpg | sudo apt-key add -
sh -c "echo 'deb http://repo.wallarm.com/debian/wallarm-node buster/3.2/' | sudo tee /etc/apt/sources.list.d/wallarm.list"
sudo apt update

curl -fsSL https://repo.wallarm.com/wallarm.gpg | sudo apt-key add -
sh -c "echo 'deb http://repo.wallarm.com/ubuntu/wallarm-node bionic/3.2/' | sudo tee /etc/apt/sources.list.d/wallarm.list"
sudo apt update

curl -fsSL https://repo.wallarm.com/wallarm.gpg | sudo apt-key add -
sh -c "echo 'deb http://repo.wallarm.com/ubuntu/wallarm-node focal/3.2/' | sudo tee /etc/apt/sources.list.d/wallarm.list"
sudo apt update

sudo yum install -y epel-release
sudo rpm -i https://repo.wallarm.com/centos/wallarm-node/7/3.2/x86_64/Packages/wallarm-node-repo-1-6.el7.noarch.rpm

sudo yum install -y https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
sudo rpm -i https://repo.wallarm.com/centos/wallarm-node/7/3.2/x86_64/Packages/wallarm-node-repo-1-6.el7.noarch.rpm

sudo yum install -y epel-release
sudo rpm -i https://repo.wallarm.com/centos/wallarm-node/8/3.2/x86_64/Packages/wallarm-node-repo-1-6.el8.noarch.rpm

3. Установите пакеты Валарм WAF¶

Обработка запросов и постаналитика на одном сервере¶

Для обработки запросов и проведения статистического анализа на одном сервере, необходимо установить следующие группы пакетов:

• nginx-plus-module-wallarm для модуля NGINX Plus-Wallarm

• wallarm-node для модуля постаналитики, хранилища Tarantool и дополнительных пакетов NGINX Plus-Wallarm

sudo apt install --no-install-recommends wallarm-node nginx-plus-module-wallarm

sudo apt install --no-install-recommends wallarm-node nginx-plus-module-wallarm

sudo yum install wallarm-node nginx-plus-module-wallarm

Обработка запросов и постаналитика на разных серверах¶

Для обработки запросов и проведения статистического анализа на разных серверах, необходимо установить следующие группы пакетов:

• wallarm-node-nginx и nginx-plus-module-wallarm для модуля NGINX Plus-Wallarm

  Debian

  sudo apt install --no-install-recommends wallarm-node-nginx nginx-plus-module-wallarm
  

  Ubuntu

  sudo apt install --no-install-recommends wallarm-node-nginx nginx-plus-module-wallarm
  

  CentOS или Amazon Linux 2

  sudo yum install wallarm-node-nginx nginx-plus-module-wallarm
  

• wallarm-node-tarantool на отдельный сервер для модуля постаналитики и хранилища Tarantool (установка описана в инструкции)

4. Подключите модуль Валарм WAF¶

1. Откройте файл /etc/nginx/nginx.conf:

   sudo vim /etc/nginx/nginx.conf
   

2. Добавьте следующую директиву под директивой worker_processes:

   load_module modules/ngx_http_wallarm_module.so;
   

   Пример файла с добавленной директивой:

   user  nginx;
   worker_processes  auto;
   load_module modules/ngx_http_wallarm_module.so;
   
   error_log  /var/log/nginx/error.log notice;
   pid        /var/run/nginx.pid;
   

3. Скопируйте конфигурационные файлы для настройки системы:

   sudo cp /usr/share/doc/nginx-plus-module-wallarm/examples/*.conf /etc/nginx/conf.d/
   

5. Подключите WAF‑ноду к Облаку Валарм¶

В процессе работы WAF‑нода взаимодействует с облаком Валарм. Чтобы подключить WAF‑ноду к облаку, выполните следующие действия:

1. Убедитесь, что роль вашего пользователя в Консоли управления Валарм — Администратор или Деплой и для пользователя отключена двухфакторная аутентификация.

   Для этого перейдите к списку пользователей в RU‑облаке или EU‑облаке и проверьте столбцы Роль и Auth:

   

2. В системе с установленной WAF‑нодой запустите скрипт addnode:

   EU‑облако

   sudo /usr/share/wallarm-common/addnode
   

   RU‑облако

   sudo /usr/share/wallarm-common/addnode -H api.wallarm.ru
   

3. Введите email и пароль от вашего аккаунта Валарм.

4. Введите имя WAF‑ноды или нажмите Enter, чтобы использовать имя, сгенерированное автоматически.

   Вы сможете изменить заданное имя позже в Консоли управления Валарм → Ноды.

5. Перейдите в Консоль управления Валарм → секция Ноды для RU‑облака или EU‑облака и убедитесь, что в списке появилась созданная WAF‑нода.

6. Обновите конфигурацию Валарм WAF¶

Основные конфигурационные файлы NGINX и WAF‑ноды Валарм расположены в директориях:

• /etc/nginx/conf.d/default.conf с настройками NGINX

• /etc/nginx/conf.d/wallarm.conf с глобальными настройками WAF‑ноды Валарм

  Файл используется для настроек, которые применяются ко всем доменам. Чтобы применить разные настройки к отдельным группам доменов, используйте файл default.conf или создайте новые файлы конфигурации для каждой группы доменов (например, example.com.conf и test.com.conf). Более подробная информация о конфигурационных файлах NGINX доступна в официальной документации NGINX.

• /etc/nginx/conf.d/wallarm-status.conf с настройками мониторинга WAF‑ноды. Описание конфигурации доступно по ссылке

• /etc/default/wallarm-tarantool или /etc/sysconfig/wallarm-tarantool с настройками хранилища Tarantool

Режим фильтрации запросов¶

По умолчанию, WAF‑нода находится в режиме off и не анализирует входящие запросы. Чтобы включить анализ входящих запросов, выполните следующие шаги:

1. Откройте файл /etc/nginx/conf.d/default.conf:

   sudo vim /etc/nginx/conf.d/default.conf
   

2. Добавьте в блок http, server или location строку wallarm_mode monitoring;.

server {
    # порт, для которого фильтруется трафик
    listen       80;
    # домен, для которого фильтруется трафик
    server_name  localhost;
    # режим работы WAF‑ноды
    wallarm_mode monitoring;

    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }

    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }
}

В режиме monitoring WAF‑нода анализирует все входящие запросы, но не блокирует их, если обнаружит признаки атаки. Мы рекомендуем использовать WAF‑ноду в режиме monitoring в течение нескольких дней после установки и затем переключить в режим block. Изучить рекомендации по настройке режима фильтрации запросов →

Оперативная память¶

WAF‑нода использует находящееся в памяти хранилище Tarantool. В боевой среде мы рекомендуем выделять для Tarantool 75% от общей памяти виртуальной машины. Для тестирования ноды вы можете выделить меньшее количество памяти (например, 25% от общего объема).

Чтобы настроить объем памяти для Tarantool:

1. Откройте для редактирования конфигурационный файл Tarantool:

   Debian

   sudo vim /etc/default/wallarm-tarantool
   

   Ubuntu

   sudo vim /etc/default/wallarm-tarantool
   

   CentOS или Amazon Linux 2

   sudo vim /etc/sysconfig/wallarm-tarantool
   

2. Укажите размер выделенной памяти в директиве SLAB_ALLOC_ARENA в ГБ. Значение может быть целым или дробным (разделитель целой и дробной части — точка).

   Например:

   Для тестирования ноды

   SLAB_ALLOC_ARENA=0.5
   

   Для установки ноды в боевой среде

   SLAB_ALLOC_ARENA=24
   

   Подробные рекомендации по выделению памяти для Tarantool описаны в инструкции.

3. Чтобы применить изменения, перезапустите Tarantool:

   Debian

   sudo systemctl restart wallarm-tarantool
   

   Ubuntu

   sudo service wallarm-tarantool restart
   

   CentOS или Amazon Linux 2

   sudo systemctl restart wallarm-tarantool
   

Адрес отдельного сервера постаналитики¶

Добавьте в /etc/nginx/conf.d/wallarm.conf адреса серверов постаналитики:

upstream wallarm_tarantool {
    server <ip1>:3313 max_fails=0 fail_timeout=0 max_conns=1;
    server <ip2>:3313 max_fails=0 fail_timeout=0 max_conns=1;

    keepalive 2;
    }

    # omitted

wallarm_tarantool_upstream wallarm_tarantool;

• Значение max_conns должно быть указано для каждого сервера, чтобы предотвратить создание лишних соединений.

• Значение keepalive должно быть не меньше, чем количество серверов Tarantool.

Другие настройки¶

Чтобы обновить другие настройки NGINX и Валарм WAF, используйте документацию NGINX и список доступных директив Валарм WAF.

7. Перезапустите NGINX Plus¶

usermod -aG wallarm <user_name>

sudo systemctl restart nginx

sudo service nginx restart

sudo systemctl restart nginx

8. Протестируйте работу Валарм WAF¶

1. Отправьте тестовый запрос с атаками SQLI и XSS на адрес приложения:

   curl http://localhost/?id='or+1=1--a-<script>prompt(1)</script>'
   

2. Перейдите в Консоль управления Валарм → секция События для EU‑облака или для RU‑облака и убедитесь, что атаки появились в списке.
   

   

Настройка¶

Динамический модуль Валарм WAF со стандартными настройками установлен на NGINX Plus. Чтобы кастомизировать настройки Валарм WAF, используйте доступные директивы.

Частые настройки:

• Настройка режима фильтрации запросов

• Логирование переменных WAF‑ноды

• Использование балансировщика или прокси‑сервера перед WAF‑нодой

• Ограничение времени обработки единичного запроса в директиве wallarm_process_time_limit

• Ограничение времени ожидания ответа сервера в директиве NGINX proxy_read_timeout

• Ограничение максимального размера запроса в директиве NGINX client_max_body_size

• Двойное обнаружение атак с помощью библиотеки libdetection