انتقل إلى المحتوى

نشر عقدة Wallarm مع Section.io

Section هو نظام استضافة محلي للسحاب يتيح نشر عقدة Wallarm بسهولة. من خلال توجيه حركة المرور من خلاله كوكيل عكسي، يمكنك تخفيف حركة المرور الخبيثة بفعالية دون إضافة مكونات طرف ثالث إلى بنية تحتية لتطبيقك.

حالات الاستخدام

من بين جميع خيارات نشر Wallarm المدعومة، تُعد هذه الحلول هي الأنسب للحالات التالية:

  • أنت تبحث عن حل أمني سريع وسهل التنفيذ لحماية الخدمات الخفيفة.

  • تفتقر إلى القدرة على نشر عقد Wallarm داخل بنية تحتية للمضيف الخاص بك.

  • تفضل نهجًا لا يتضمن الإدارة والصيانة شخصيًا لعقد فلترة Wallarm.

القيود

توجد بعض القيود لهذا الحل:

  • ليس من المستحسن استخدام عقد CDN لتحليل وفلترة حركة المرور ذات الحجم العالي.

  • نشر نوع عقدة CDN ليس مدعومًا تحت الخطة المجانية.

  • يمكنك باستخدام عقدة CDN حماية النطاقات من المستوى الثالث (أو أقل، مثل الرابع، الخامس، إلخ). على سبيل المثال، يمكنك إنشاء عقدة CDN لـ ple.example.com، وليس لـ example.com.

  • غير متوفر إعداد التطبيق مباشرةً من خلال الإجراءات القياسية. الرجاء التواصل مع فريق دعم Wallarm للحصول على المساعدة في التكوين.

  • لا يمكن تكوين صفحات الحظر المخصصة ورموز الخطأ. بشكل افتراضي، تُرجع عقدة CDN رمز استجابة 403 لطلبات المحظورة.

المتطلبات

  • The website to be protected must be third-level (or lower) domain

  • The IPv4 associated with the website (IPv6 not supported)

  • Sufficient access permissions to edit the DNS records of the domain

  • The Administrator [role][user-roles-docs] assigned to the user configuring the CDN node

كيفية عمل عقدة CDN

Wallarm CDN node operates as a reverse proxy to the protected server. It analyzes incoming traffic, mitigates malicious requests and forwards legitimate requests to the protected server.

![CDN node operation scheme][cdn-node-operation-scheme]

What can be protected with CDN node

With the CDN node you can protect the third-level (or lower, like 4th-, 5th- etc.) domains. For example, you can create CDN node for ple.example.com, but not for example.com.

As for the other characteristics of the Wallarm CDN node:

  • Hosted by the third-party cloud provider (Section.io), so no resources are required from your infrastructure to deploy the CDN node.

    Uploading request data to the third-party cloud provider

    Some data on processed requests is uploaded to the Lumen service.

  • Uploads some request data to the Wallarm Cloud. [Learn more about uploaded data and cutting the sensitive data][data-to-wallarm-cloud-docs]

  • [Operates][operation-modes-docs] in the safe blocking mode relying on the [IP graylist contents][graylist-populating-docs] to identify suspected traffic and block it.

    To change the mode, use the corresponding [rule][operation-mode-rule-docs].

  • The CDN node is fully configured via Wallarm Console UI. The only setting to be changed in another way is adding the Wallarm CNAME record to the protected resource's DNS records.

  • You can request the Wallarm support team to perform [application configuration][link-app-conf] for your node.

نشر عقدة CDN

  1. افتح وحدة تحكم Wallarm → العقدCDNإنشاء عقدة.

  2. أدخل عنوان النطاق المراد حمايته، على سبيل المثال ple.example.com.

    يجب أن يكون العنوان المحدد هو نطاق من المستوى الثالث (أو أقل) ولا يحتوي على الخطة والشرطات المائلة.

  3. تأكد من أن Wallarm يحدد بشكل صحيح عنوان الأصل المرتبط بالنطاق المحدد. وإلا، يرجى تغيير عنوان الأصل الذي تم اكتشافه تلقائيًا.

    ![CDN node creation modal][cdn-node-creation-modal]

    تحديث ديناميكي لعنوان الأصل

    إذا قام موفر الاستضافة الخاص بك بتحديث ديناميكي لعنوان IP الأصل أو النطاق المرتبط بالمورد المحمي، فيرجى الحفاظ على تحديث عنوان الأصل المحدد في تكوين عقدة CDN. يتيح لك وحدة تحكم Wallarm تغيير عنوان الأصل [في أي وقت][update-origin-ip-docs].

    وإلا، لن تصل الطلبات إلى المورد المحمي نظرًا لأن عقدة CDN ستحاول توجيهها إلى عنوان أصل غير صحيح.

  4. انتظر حتى انتهاء تسجيل عقدة CDN.

    بمجرد انتهاء تسجيل عقدة CDN، سيتم تغيير حالة عقدة CDN إلى يتطلب CNAME.

  5. أضف سجل CNAME الذي تم إنشاؤه بواسطة Wallarm إلى سجلات DNS للنطاق المحمي.

    إذا كان سجل CNAME مُكونًا بالفعل للنطاق، يُرجى استبدال قيمته بتلك التي أنشأتها Wallarm.

    ![CDN node creation modal][cname-required-modal]

    اعتمادًا على موفر DNS الخاص بك، يمكن أن تستغرق التغييرات في سجلات DNS ما يصل إلى 24 ساعة لتنتشر وتُحدث تأثيرًا على الإنترنت. بمجرد انتشار سجل CNAME الجديد، ستُوجه عقدة CDN Wallarm جميع الطلبات الواردة للمورد المحمي وتحظر تلك الخبيثة.

  6. إذا لزم الأمر، قم بتحميل شهادة SSL/TLS مخصصة.

    بشكل افتراضي، سيتم إنشاء شهادة Let's Encrypt لنطاق عقدة CDN بواسطة Wallarm.

  7. بمجرد انتشار تغييرات سجل DNS، قم بإرسال هجوم اختباري إلى النطاق المحمي:

    curl http://<PROTECTED_DOMAIN>/etc/passwd
    • إذا كان عنوان IP الأصلي [موجودًا في القائمة الرمادية][graylist-docs]، ستحظر العقدة الهجوم (كود استجابة HTTP هو 403) وتسجله.

    • إذا لم يكن عنوان IP الأصلي [موجودًا في القائمة الرمادية][graylist-docs]، ستسجل العقدة الهجمات المكتشفة فقط. يمكنك التحقق من تسجيل الهجمات في وحدة تحكم Wallarm → الهجمات:

      ![الهجمات في الواجهة][attacks-in-ui]

الخطوات التالية

تم نشر عقدة CDN Wallarm بنجاح!

تعرف على خيارات تكوين Wallarm:

  • [Configuration of traffic filtration mode][operation-mode-rule-docs]

  • [Customizing the traffic filtration rules][rules-docs]

  • [IP address allowlisting, denylisting and graylisting][ip-lists-docs]

  • System event notifications configured via [native integrations with DevOps tools][integration-docs] and [triggers][trigger-docs]

  • [Using the Nodes section UI][nodes-ui-docs] to update the origin address of the protected resource, upload the custom SSL/TLS certificate and delete CDN nodes

  • [Selecting whether to use the Varnish Cache][using-varnish-cache] to speed up your content delivery.

استكشاف أخطاء عقدة CDN وإصلاحها

What do CDN node statuses mean?

The following statuses may appear in Wallarm Console → Nodes for CDN nodes:

  • Registering: Wallarm registers the CDN node in the cloud provider.

    Required action: wait for the Requires CNAME status to add the Wallarm CNAME record to the protected domain's DNS records.

  • Requires CNAME: Wallarm CNAME record is not added to the DNS records of the protected domain or it is added but not propagated yet.

    Required action: add the CNAME record provided by Wallarm to the DNS records of the protected domain or wait for the changes to take effect on the Internet.

    If changes do not take effect for more than 24 hours, please check that your domain provider successfully updated the DNS records. If so, but the Not propagated yet status is still displayed in Wallarm Console, please contact the Wallarm technical support.

    The next expected status is Active.

  • Configuring: Wallarm processes changed origin address or SSL/TLS certificate.

    Required action: wait for the Active status.

  • Active: Wallarm CDN node mitigates the malicious traffic.

    Required action: none. You can monitor the [events][events-docs] the CDN node detects.

  • Deleting: Wallarm deletes the CDN node.

    Required action: none, please wait for deletion to be finished.

How to identify the CNAME record propagated?

The Nodes section of Wallarm Console displays the actual status of whether the Wallarm CNAME record took effect on the Internet. If the CNAME record is propagated, the CDN node status is Active.

In addition, you can check the HTTP response headers with the following request:

curl -v <PROTECTED_DOMAIN>

If the Wallarm CNAME record is propagated, the response will contain the section-io-* headers.

If the CNAME record is not propagated for more than 24 hours, please check that your domain provider successfully updated the DNS records. If so, but the Not propagated yet status is still displayed in Wallarm Console, please contact the Wallarm technical support.

The CDN node is highlighted in red in the Nodes section. What does it mean?

If the CDN node is highlighted in red in the Nodes section, an error occurred during its registration or configuration due to the following possible reasons:

  • Unknown error while registering the node in the third-party cloud provider

    Required action: contact the Wallarm technical support.

  • Invalid custom SSL/TLS certificate

    Required action: make sure the uploaded certificate is valid. If not, upload the valid one.

The CDN node highlighted in red does not proxy requests and as a result, does not mitigate malicious traffic.

Why the CDN node could disappear from the node list in Wallarm Console?

Wallarm deletes CDN nodes with CNAME records left unchanged for 10 or more days since the moment of the node creation.

If you find the CDN node disappeared, create a new node.

Why is there a delay in the update of the content protected by the CDN node?

If your site is protected by the CDN node and you notice that when you change your data, the site is updated with a sensible delay, the probable reason may be the [Varnish Cache][using-varnish-cache] which speeds up your content delivery, but the cached copy on the CDN may be updated with a delay.

Example:

  1. You have Varnish Cache enabled for your CDN node.

  2. You updated prices on your site.

  3. All requests are proxied via CDN, and the cache is not updated immediately.

  4. Site users see the old prices for some time.

To resolve the problem, you may disable Varnish Cache. To do so, proceed to Nodes → CDN node menu → Disable Varnish Cache.