Миграция белых и черных списков IP‑адресов при обновлении устаревшей ноды¶
В WAF‑ноде версии 3.x изменился способ настройки белых и черных списков IP‑адресов. В этой инструкции описываются шаги по миграции настроек с версии 2.18 и ниже на последнюю версию.
Что изменилось?¶
С релизом последних версий WAF‑ноды настройка белых и черных списков IP‑адресов изменилась следующим образом:
-
Директивы NGINX
wallarm_acl_*
, и переменные окруженияWALLARM_ACL_*
больше не поддерживаются. Теперь:- WAF‑нода по умолчанию выгружает списки IP‑адресов из Вычислительного кластера Вебмониторэкс и использует их при анализе запросов. Для включения списков не нужно выполнять дополнительные шаги, только добавить IP‑адреса в списки.
- Чтобы настроить страницу блокировки и код ошибки, которые возвращаются в ответ на запрос с IP‑адреса из черного списка, необходимо использовать директиву
wallarm_block_page
вместоwallarm_acl_block_page
.
-
Для добавления IP‑адресов в белый или черный список необходимо использовать интерфейс Консоли управления Вебмониторэкс.
-
IP‑адреса Сканера Вебмониторэкс по умолчанию добавлены в белый список. Теперь для корректной работы Сканера не нужно добавлять IP‑адреса в белый список вручную.
Процедура миграции настроек¶
-
Сообщите технической поддержке Вебмониторэкс, что вы планируете обновить модули WAF-ноды, и оставьте запрос на включение новой логики списков IP-адресов для вашего аккаунта. Когда новая логика будет включена, убедитесь, что в Консоли управления Вебмониторэкс доступна секция Списки IP.
-
Если в вашей инфраструктуре установлена нода с мультиарендной опцией, удалите скрипты, которые использовались для синхронизации черных списков IP-адресов с нодой версии 2.18 и ниже. Начиная с версии 3.2, дополнительная настройка для включения списков IP‑адресов не требуется.
-
Обновите модули WAF‑ноды до последней версии, используя инструкцию для подходящего способа деплоя WAF‑ноды.
-
Удалите из конфигурационных файлов белый список IP‑адресов Сканера Вебмониторэкс. Теперь IP‑адреса Сканера добавлены в белый список по умолчанию. В предыдущих версиях WAF‑ноды вы могли настроить белый список следующим образом:
- С помощью выключенной фильтрации запросов с IP‑адресов Сканера (пример конфигурации NGINX, Ingress-контроллера K8s).
- С помощью директивы NGINX
allow
.
-
Если с помощью перечисленных выше способов в белый список добавлены другие IP‑адреса, которые не должна блокировать WAF‑нода, перенесите их в белый список в Консоли управления Вебмониторэкс.
-
Если в ответ на запросы с IP‑адресов из черного списка возвращаются страница и код, заданные в директиве
wallarm_acl_block_page
, замените название директивы наwallarm_block_page
и адаптируйте значение. Инструкция по настройке страницы блокировки и кода ошибки → -
Удалите переменные окружения
WALLARM_ACL_*
из команды для деплоя Docker‑контейнера на основе NGINX. -
(Опционально) Удалите из конфигурационных файлов директивы NGINX
wallarm_acl_*
.