Миграция белых и черных списков IP‑адресов при обновлении устаревшей ноды¶

В WAF‑ноде версии 3.x изменился способ настройки белых и черных списков IP‑адресов. В этой инструкции описываются шаги по миграции настроек с версии 2.18 и ниже на последнюю версию.

Что изменилось?¶

С релизом последних версий WAF‑ноды настройка белых и черных списков IP‑адресов изменилась следующим образом:

• Директивы NGINX wallarm_acl_*, и переменные окружения WALLARM_ACL_* больше не поддерживаются. Теперь:

  • WAF‑нода по умолчанию выгружает списки IP‑адресов из Вычислительного кластера Вебмониторэкс и использует их при анализе запросов. Для включения списков не нужно выполнять дополнительные шаги, только добавить IP‑адреса в списки.
  • Чтобы настроить страницу блокировки и код ошибки, которые возвращаются в ответ на запрос с IP‑адреса из черного списка, необходимо использовать директиву wallarm_block_page вместо wallarm_acl_block_page.

• Для добавления IP‑адресов в белый или черный список необходимо использовать интерфейс Консоли управления Вебмониторэкс.

• IP‑адреса Сканера Вебмониторэкс по умолчанию добавлены в белый список. Теперь для корректной работы Сканера не нужно добавлять IP‑адреса в белый список вручную.

Процедура миграции настроек¶

1. Сообщите технической поддержке Вебмониторэкс, что вы планируете обновить модули WAF-ноды до версии 4.6, и оставьте запрос на включение новой логики списков IP-адресов для вашего аккаунта. Когда новая логика будет включена, убедитесь, что в Консоли управления Вебмониторэкс доступна секция Списки IP.

2. Если в вашей инфраструктуре установлена нода с мультиарендной опцией, удалите скрипты, которые использовались для синхронизации черных списков IP-адресов с нодой версии 2.18 и ниже. Начиная с версии 3.2, дополнительная настройка для включения списков IP‑адресов не требуется.

3. Обновите модули WAF‑ноды до последней версии, используя инструкцию для подходящего способа деплоя WAF‑ноды.

4. Удалите из конфигурационных файлов белый список IP‑адресов Сканера Вебмониторэкс. Теперь IP‑адреса Сканера добавлены в белый список по умолчанию. В предыдущих версиях WAF‑ноды вы могли настроить белый список следующим образом:

   • С помощью выключенной фильтрации запросов с IP‑адресов Сканера (пример конфигурации NGINX, sidecar-контейнера K8s, Ingress-контроллера K8s).
   • С помощью директивы NGINX allow.

5. Если с помощью перечисленных выше способов в белый список добавлены другие IP‑адреса, которые не должна блокировать WAF‑нода, перенесите их в белый список в Консоли управления Вебмониторэкс.

6. Если в ответ на запросы с IP‑адресов из черного списка возвращаются страница и код, заданные в директиве wallarm_acl_block_page, замените название директивы на wallarm_block_page и адаптируйте значение. Инструкция по настройке страницы блокировки и кода ошибки →

7. Удалите переменные окружения WALLARM_ACL_* из команды для деплоя Docker‑контейнера на основе NGINX.

8. (Опционально) Удалите из конфигурационных файлов директивы NGINX wallarm_acl_*.