コンテンツにスキップ

Wallarm node 2.18以下から5.0への許可リストおよび拒否リストの移行

Wallarm node 3.x以降、IPアドレスの許可リストおよび拒否リストの設定方法が変更されました。本書では、Wallarm node 2.18以下で設定された許可リストおよび拒否リストを最新のWallarm nodeへ移行する方法を説明します。

何が変更されましたか?

IPアドレスの許可リストおよび拒否リストの設定は以下のように変更されました:

  • NGINXディレクティブ wallarm_acl_*、Envoyパラメーター aclおよびWALLARM_ACL_*環境変数は非推奨となりました。IPリストは以下の方法で設定されます:

    • IPの許可リストまたは拒否リスト機能を有効にするための追加手順は必要ありません。Wallarm nodeはデフォルトでWallarm CloudからIPアドレスリストをダウンロードし、受信リクエストの処理時にダウンロードしたデータを適用します。
    • ブロックされたリクエストに対して返すブロックページおよびエラーコードは、wallarm_acl_block_pageの代わりにwallarm_block_pageディレクティブを使用して設定されます。

  • 許可リストおよび拒否リストに登録されたIPアドレスはWallarm Consoleで管理されます。

  • Wallarm Vulnerability ScannerのIPアドレスはデフォルトで許可リストに登録されます。ScannerのIPアドレスを手動で許可リストに登録する必要はありません。

許可リストおよび拒否リストの設定移行手順

  1. Wallarm accountに対して最新バージョンまでフィルタリングノードモジュールを更新している旨をWallarm technical supportに連絡し、新しいIPリストロジックを有効にするよう依頼してください。

    新しいIPリストロジックが有効になった場合、Wallarm Consoleを開いて、IP listsセクションが利用可能であることをご確認ください。

  2. マルチテナントのWallarm nodeを更新する場合、Wallarm node 2.18以下でIPアドレス拒否リストを同期するために使用されていたスクリプトを削除してください。Wallarm node 3.2以降、IP listsの手動統合は不要です。

  3. appropriate instructionsに従い、フィルタリングノードモジュールをバージョン5.0まで更新してください。

  4. フィルタリングノードの設定ファイルからWallarm ScannerのIPアドレスの許可リスト設定を削除してください。フィルタリングノード3.x以降、Scanner IPアドレスはデフォルトで許可リストに登録されます。

  5. 上記の方法が、フィルタリングノードによってブロックされてはならないその他のIPアドレスの許可リスト設定に使用されている場合、それらをWallarm Consoleの許可リストに移行してください。

  6. denylistedなIPアドレスからのリクエスト時に返すブロックページおよびエラーコードの設定にwallarm_acl_block_pageディレクティブを使用している場合は、ディレクティブ名をwallarm_block_pageに置き換え、instructionsに従い、その値を更新してください。

  7. docker runコマンドから、NGINX及びEnvoy環境変数WALLARM_ACL_*を削除してください。

  8. (オプション)フィルタリングノードの設定ファイルからNGINXディレクティブwallarm_acl_*およびEnvoyパラメーターaclを削除してください。