Pular para conteúdo

Nós de filtragem de CDN

A seção Nós da UI do Console Wallarm permite que você gerencie os nós dos tipos Nó Wallarm e Nó CDN. Este artigo é sobre nós CDN.

Nós de CDN na versão gratuita

A implantação do tipo de nó CDN não é suportada pelo plano gratuito.

O nó CDN do Wallarm opera como um proxy reverso para o servidor protegido. Ele analisa o tráfego de entrada, mitiga solicitações maliciosas e encaminha solicitações legítimas para o servidor protegido.

Esquema de operação do nó CDN

O que pode ser protegido com o nó CDN

Com o nó CDN você pode proteger os domínios de terceiro nível (ou inferior, como 4º, 5º, etc.). Por exemplo, você pode criar um nó CDN para ple.example.com, mas não para example.com.

Quanto às outras características do nó CDN do Wallarm:

  • Hospedado pelo provedor de nuvem de terceiros (Section.io), portanto, nenhum recurso é necessário da sua infraestrutura para implantar o nó CDN.

    Upload de dados de solicitação para o provedor de nuvem de terceiros

    Alguns dados sobre as solicitações processadas são carregados para o serviço Lumen.

  • Faz o upload de alguns dados de solicitação para a Nuvem Wallarm. Saiba mais sobre os dados carregados e a redução dos dados sensíveis

  • Opera no modo de bloqueio seguro confiando no conteúdo da lista de IPs cinza para identificar tráfego suspeito e bloqueá-lo.

    Para alterar o modo, use a regra correspondente.

  • O nó CDN é totalmente configurado via Wallarm Console UI. A única configuração a ser alterada de outra forma é adicionar o registro CNAME do Wallarm aos registros de DNS do recurso protegido.

  • Você pode solicitar que a equipe de suporte do Wallarm realize a configuração do aplicativo para o seu nó.

Criando um nó

Para criar o nó CDN, siga as instruções.

Visualizando detalhes de um nó

Os detalhes do nó instalado são exibidos na tabela e em cada cartão do nó. Para abrir o cartão, clique no registro da tabela apropriado.

As seguintes propriedades e métricas do nó estão disponíveis:

  • Nome do nó gerado com base no nome do domínio protegido

  • Endereço IP do nó

  • Endereço de origem associado ao domínio protegido

  • Identificador único do nó (UUID)

  • Status do nó

  • Certificado SSL/TLS: Let's Encrypt gerado pelo Wallarm ou personalizado

  • Tempo da última sincronização do nó de filtragem e Wallarm Cloud

  • Data da criação do nó de filtragem

  • Número de solicitações processadas pelo nó no mês atual

  • Versões dos custom_ruleset e proton.db utilizados

  • Versões dos pacotes Wallarm instalados

  • Indicador de atualizações de componentes disponíveis

Cartão do nó CDN

Atualizando o endereço de origem do recurso protegido

Se o seu provedor de hospedagem atualizar dinamicamente o endereço IP de origem ou domínio associado ao recurso protegido, mantenha o endereço de origem especificado na configuração do nó CDN atualizado. Caso contrário, as solicitações não chegarão ao recurso protegido, pois o nó CDN tentará encaminhá-las para um endereço de origem incorreto.

Para atualizar o endereço de origem, use a opção Editar endereço de origem.

Carregando o certificado SSL/TLS personalizado

A Wallarm emite automaticamente o certificado Let's Encrypt permitindo HTTPS no domínio do nó CDN. Certificados são gerados e renovados automaticamente conforme necessário.

Se você já possui um certificado para o domínio protegido e prefere usar esse em vez do certificado Let's Encrypt, você pode fazer o upload do seu próprio certificado usando a opção Atualizar certificado SSL/TLS.

Usando Varnish Cache

Utilizar um nó CDN com o acelerador HTTP Varnish Cache acelera a entrega de conteúdo para os usuários (por exemplo, suas respostas do servidor). No entanto, se você alterar seu conteúdo, a cópia em cache no CDN pode ser atualizada com atraso, o que pode causar problemas e ser o motivo para desativar o Varnish Cache.

Para evitar problemas com a velocidade de atualização do conteúdo, o Varnish Cache é desativado por padrão. Você pode ativar/desativar o Varnish Cache manualmente. Para fazer isso, prossiga para Nós → menu Nó CDN → Ativar Varnish Cache ou Desativar Varnish Cache.

Excluindo um nó

Quando o nó de filtragem é excluído, a filtragem de solicitações para o seu domínio será interrompida. A exclusão do nó de filtragem não pode ser desfeita. O nó Wallarm será excluído permanentemente da lista de nós.

  1. Exclua o registro CNAME do Wallarm dos registros de DNS do domínio protegido.

    Mitigação de solicitações maliciosas será interrompida

    Assim que o registro CNAME for removido e as alterações entrarem em vigor na Internet, o nó CDN do Wallarm interromperá o encaminhamento de solicitações e o tráfego legítimo e malicioso irá diretamente para o recurso protegido.

    Isso resulta no risco de exploração de vulnerabilidades do servidor protegido quando o registro de DNS excluído entrou em vigor, mas o registro CNAME gerado para a nova versão do nó ainda não entrou em vigor.

  2. Aguarde as mudanças serem propagadas. O status atual do registro CNAME é exibido em Console Wallarm → NósCDNExcluir nó.

  3. Exclua o nó CDN da lista de nós.

Excluindo o nó

Solução de problemas do nó CDN

O que significam os status do nó CDN?

Os seguintes status podem aparecer no Console Wallarm → Nós para nós CDN:

  • Registrando: Wallarm registra o nó CDN no provedor de nuvem.

    Ação necessária: aguarde pelo status Requer CNAME para adicionar o registro Wallarm CNAME aos registros DNS do domínio protegido.

  • Requer CNAME: o registro Wallarm CNAME não está adicionado aos registros DNS do domínio protegido ou está adicionado, mas ainda não propagado.

    Ação necessária: adicione o registro CNAME fornecido pela Wallarm aos registros DNS do domínio protegido ou aguarde as mudanças surtirem efeito na Internet.

    Se as mudanças não surtirem efeito em mais de 24 horas, verifique se o seu provedor de domínio atualizou com sucesso os registros DNS. Se sim, mas o status Ainda não propagado ainda é exibido no Console Wallarm, entre em contato com o suporte técnico da Wallarm.

    O próximo status esperado é Ativo.

  • Configurando: Wallarm processa o endereço de origem alterado ou certificado SSL/TLS.

    Ação necessária: aguarde o status Ativo.

  • Ativo: o nó CDN da Wallarm mitiga o tráfego mal-intencionado.

    Ação necessária: nenhuma. Você pode monitorar os eventos que o nó CDN detecta.

  • Excluindo: Wallarm exclui o nó CDN.

    Ação necessária: nenhuma, aguarde a exclusão ser concluída.

Como identificar o registro CNAME propagado?

A seção Nós do Console Wallarm exibe o status atual de se o registro Wallarm CNAME surtiu efeito na Internet. Se o registro CNAME estiver propagado, o status do nó CDN é Ativo.

Além disso, você pode verificar os cabeçalhos de resposta HTTP com a seguinte solicitação:

curl -v <DOMINIO_PROTEGIDO>

Se o registro Wallarm CNAME estiver propagado, a resposta conterá os cabeçalhos section-io-*.

Se o registro CNAME não for propagado em mais de 24 horas, verifique se o seu provedor de domínio atualizou com sucesso os registros DNS. Se sim, mas o status Ainda não propagado ainda é exibido no Console Wallarm, entre em contato com o suporte técnico da Wallarm.

O nó CDN está destacado em vermelho na seção Nós. O que isso significa?

Se o nó CDN estiver destacado em vermelho na seção Nós, ocorreu um erro durante seu registro ou configuração pelos seguintes motivos possíveis:

  • Erro desconhecido durante o registro do nó no provedor de nuvem de terceiros

    Ação necessária: contate o suporte técnico da Wallarm.

  • Certificado SSL/TLS personalizado inválido

    Ação necessária: certifique-se de que o certificado carregado é válido. Se não for, faça o upload do válido.

O nó CDN destacado em vermelho não faz proxy de solicitações e, como resultado, não mitiga o tráfego mal-intencionado.

Por que o nó CDN pode desaparecer da lista de nós no Console Wallarm?

Wallarm exclui nós CDN com registros CNAME que permanecem inalterados por 10 ou mais dias desde o momento da criação do nó.

Se você descobrir que o nó CDN desapareceu, crie um novo nó.

Por que há um atraso na atualização do conteúdo protegido pelo nó CDN?

Se o seu site é protegido pelo nó CDN e você notar que, ao mudar seus dados, o site é atualizado com um atraso sensível, a provável razão pode ser o Varnish Cache que acelera a entrega do seu conteúdo, mas a cópia armazenada em cache no CDN pode ser atualizada com um atraso.

Exemplo:

  1. Você tem o Varnish Cache ativado para o seu nó CDN.

  2. Você atualizou os preços em seu site.

  3. Todas as solicitações são feitas via proxy via CDN, e o cache não é atualizado imediatamente.

  4. Os usuários do site veem os preços antigos por algum tempo.

Para resolver o problema, você pode desativar o Varnish Cache. Para fazer isso, vá para Nós → menu do nó CDN → Desativar Varnish Cache.