Instalando como um Módulo Dinâmico para NGINX Plus¶
Estas instruções descrevem as etapas para instalar o nó de filtragem Wallarm como um módulo dinâmico para a versão comercial oficial do NGINX Plus. O nó realizará análise de tráfego em linha.
Instalação tudo em um
A partir do nó Wallarm 4.6, é recomendado usar a instalação tudo em um que automatiza todas as atividades listadas nas etapas abaixo e torna a implementação do nó muito mais fácil.
Casos de uso¶
Dentre todas as opções de implantação do Wallarm suportadas, os pacotes DEB/RPM para NGINX Plus são recomendados para a implantação do Wallarm nestes casos de uso:
-
Sua infraestrutura é baseada em metal nu ou máquinas virtuais sem o uso de métodos baseados em contêineres. Normalmente, essas configurações são gerenciadas com ferramentas de Infraestrutura como código (IaC), como Ansible ou SaltStack.
-
Seus serviços são construídos em torno do NGINX Plus. O Wallarm pode estender suas funcionalidades usando esses pacotes.
Requisitos¶
-
Acesso à conta com a função de Administrador e autenticação de dois fatores desativada no Wallarm Console para a Nuvem dos EUA ou Nuvem da UE
-
SELinux desativado ou configurado de acordo com as instruções
-
Versão de lançamento NGINX Plus 28 (R28)
Versões personalizadas do NGINX Plus
Se você possui uma versão diferente, consulte as instruções sobre como conectar o módulo Wallarm à compilação personalizada do NGINX
-
A execução de todos os comandos como superusuário (por exemplo,
root
) -
Acesso a
https://repo.wallarm.com
para baixar pacotes. Certifique-se de que o acesso não esteja bloqueado por um firewall -
Acesso a
https://us1.api.wallarm.com
para trabalhar com a Nuvem Wallarm dos EUA ou ahttps://api.wallarm.com
para trabalhar com a Nuvem Wallarm da UE. Se o acesso só pode ser configurado via servidor proxy, então use as instruções -
Access to the IP addresses below for downloading updates to attack detection rules, as well as retrieving precise IPs for your allowlisted, denylisted, or graylisted countries, regions, or data centers
-
Editor de texto instalado vim, nano, ou qualquer outro. Na instrução, vim é usado
1. Instale o NGINX Plus e as dependências¶
Instale o NGINX Plus e suas dependências usando estas instruções oficiais do NGINX.
Instalando no Amazon Linux 2.0.2021x e inferior
Para instalar o NGINX Plus no Amazon Linux 2.0.2021x e inferior, use as instruções do CentOS 7.
2. Adicione os repositórios Wallarm¶
O nó Wallarm é instalado e atualizado a partir dos repositórios Wallarm. Para adicionar repositórios, use os comandos para sua plataforma:
sudo apt -y install dirmngr
curl -fSsL https://repo.wallarm.com/wallarm.gpg | sudo gpg --no-default-keyring --keyring gnupg-ring:/etc/apt/trusted.gpg.d/wallarm.gpg --import
sudo chmod 644 /etc/apt/trusted.gpg.d/wallarm.gpg
sh -c "echo 'deb https://repo.wallarm.com/debian/wallarm-node bullseye/4.8/' | sudo tee /etc/apt/sources.list.d/wallarm.list"
sudo apt update
3. Instale os pacotes Wallarm¶
Os seguintes pacotes são necessários:
-
nginx-plus-module-wallarm
para o módulo NGINX Plus-Wallarm -
wallarm-node
para o módulo postanalytics, banco de dados Tarantool e pacotes adicionais NGINX Plus-Wallarm
4. Conecte o módulo Wallarm¶
-
Abra o arquivo
/etc/nginx/nginx.conf
: -
Adicione a seguinte diretiva logo após a diretiva
worker_processes
:Exemplo de configuração com a diretiva adicionada:
-
Copie os arquivos de configuração para a configuração do sistema:
5. Conecte o nó de filtragem à Wallarm Cloud¶
The Wallarm filtering node interacts with the Wallarm Cloud. You need to connect the node to the Cloud.
When connecting node to the Cloud, you can set the node name, under which it will be displayed in the Wallarm Console UI and put the node into the appropriate node group (used to logically organize nodes in UI).
To connect the node to the Cloud, use a Wallarm token of the appropriate type:
- Open Wallarm Console → Settings → API tokens in the US Cloud or EU Cloud.
- Find or create API token with the
Node deployment/Deployment
usage type. - Copy this token.
-
Run the
register-node
script on a machine where you install the filtering node:<TOKEN>
is the copied value of the API token with theDeploy
role.--labels 'group=<GROUP>'
parameter puts your node to the<GROUP>
node group (existing, or, if does not exist, it will be created). If you are installing filtering and postanalytics modules separately, it is recommended to put them into the same group.
- Open Wallarm Console → Nodes in the US Cloud or EU Cloud.
- Do one of the following:
- Create the node of the Wallarm node type and copy the generated token.
- Use existing node group - copy token using node's menu → Copy token.
-
Run the
register-node
script on a machine where you install the filtering node:
<TOKEN>
is the copied value of the node token. If you are installing filtering and postanalytics modules separately, it is recommended to put them into the same group using the same node token.
- You may add
-n <HOST_NAME>
parameter to set a custom name for your node instance. Final instance name will be:HOST_NAME_NodeUUID
.
6. Ative o Wallarm para analisar o tráfego¶
Por padrão, o nó Wallarm implantado não analisa o tráfego recebido. Para iniciar a análise, configure o Wallarm para proxy de tráfego através do arquivo /etc/nginx/conf.d/default.conf
na máquina com o nó instalado:
-
Defina um endereço IP para o Wallarm ser proxy do tráfego legítimo. Pode ser um IP de uma instância de aplicativo, balanceador de carga, nome DNS, etc., dependendo da sua arquitetura.
Para isso, edite o valor
proxy_pass
, por exemplo, o Wallarm deve enviar solicitações legítimas parahttp://10.80.0.5
: -
Para o nó Wallarm analisar o tráfego recebido, defina a diretiva
wallarm_mode
paramonitoring
:O modo de monitoramento é o recomendado para a primeira implantação e teste de solução. Wallarm oferece também modos seguros de bloqueio, leia mais.
7. Reinicie o NGINX Plus¶
Concedendo permissão de root
ao usuário
Se você está executando o NGINX como um usuário que não possui permissão de root
, adicione este usuário ao grupo wallarm
utilizando o seguinte comando:
onde <nome_do_usuário>
é o nome do usuário sem permissão de root
.
8. Configure o envio de tráfego para a instância Wallarm¶
Atualize os alvos do seu balanceador de carga para enviar tráfego para a instância Wallarm. Para mais detalhes, por favor, consulte a documentação do seu balanceador de carga.
9. Teste a operação do nó Wallarm¶
-
Envie a solicitação com o ataque de teste Path Traversal para um endereço de recurso protegido:
-
Abra o Console Wallarm → seção Eventos na Nuvem dos EUA ou Nuvem da UE e certifique-se de que o ataque está exibido na lista.
10. Ajuste a solução implantada¶
O módulo dinâmico Wallarm com configurações padrão é instalado para o NGINX Plus. O nó de filtragem pode exigir algumas configurações adicionais após a implantação.
As configurações do Wallarm são definidas usando as diretivas NGINX ou a UI do Console Wallarm. As diretivas devem ser definidas nos seguintes arquivos na máquina com o nó Wallarm:
-
/etc/nginx/conf.d/default.conf
com as configurações do NGINX -
/etc/nginx/conf.d/wallarm.conf
com as configurações globais do nó de filtragemO arquivo é usado para configurações aplicadas a todos os domínios. Para aplicar configurações diferentes a diferentes grupos de domínio, use o arquivo
default.conf
ou crie novos arquivos de configuração para cada grupo de domínio (por exemplo,example.com.conf
etest.com.conf
). Mais informações detalhadas sobre os arquivos de configuração do NGINX estão disponíveis na documentação oficial do NGINX. -
/etc/nginx/conf.d/wallarm-status.conf
com as configurações de monitoramento do nó Wallarm. A descrição detalhada está disponível no link -
/etc/default/wallarm-tarantool
ou/etc/sysconfig/wallarm-tarantool
com as configurações do banco de dados Tarantool
Abaixo, há algumas das configurações típicas que você pode aplicar, se necessário:
-
Usando o balanceador do servidor proxy atrás do nó de filtragem
-
Limitando o tempo de processamento de uma única solicitação na diretiva
wallarm_process_time_limit
-
Limitando o tempo de espera da resposta do servidor na diretiva NGINX
proxy_read_timeout
-
Limitando o tamanho máximo da solicitação na diretiva NGINX
client_max_body_size