Cloudflare için Wallarm Bağlayıcısı¶

Cloudflare, web sitelerinin ve internet uygulamalarının güvenliğini, hızını ve güvenilirliğini artırmak için tasarlanmış CDN, WAF, DNS hizmetleri ve SSL/TLS şifreleme dahil özellikler sunan bir güvenlik ve performans servisidir. Wallarm, Cloudflare üzerinde çalışan API’leri güvence altına almak için bir bağlayıcı olarak görev yapabilir.

Wallarm’ı Cloudflare için bir bağlayıcı olarak kullanmak için, Wallarm Node’u harici olarak dağıtmanız ve trafiği analiz için Wallarm Node’a yönlendirmek üzere Wallarm tarafından sağlanan kodu kullanarak bir Cloudflare worker çalıştırmanız gerekir.

Cloudflare bağlayıcısı hem in-line hem de out-of-band trafik akışlarını destekler:

Satır içi trafik akışıBant dışı trafik akışı

Wallarm kötü amaçlı etkinliği engelleyecek şekilde yapılandırılmışsa:

Kullanım senaryoları¶

Bu çözüm, uygulamalarınıza Cloudflare aracılığıyla erişim sağladığınız durumlarda önerilir.

Kısıtlamalar¶

Helm chart kullanarak LoadBalancer türünde Wallarm servisini dağıtırken, Node örneği alan adı için güvenilir bir SSL/TLS sertifikası gereklidir. Kendi imzaladığınız sertifikalar henüz desteklenmemektedir.
Wallarm kuralı ile hız sınırlama desteklenmez.
Çok kiracılık henüz desteklenmiyor.

Gereksinimler¶

Dağıtıma devam etmeden önce aşağıdaki gereksinimleri karşıladığınızdan emin olun:

Cloudflare teknolojilerine hakimiyet.
Cloudflare üzerinden akan API’ler veya trafik.

Dağıtım¶

1. Bir Wallarm Node dağıtın¶

Wallarm Node, dağıtmanız gereken Wallarm platformunun çekirdek bileşenidir. Gelen trafiği denetler, kötü amaçlı faaliyetleri tespit eder ve tehditleri azaltacak şekilde yapılandırılabilir.

Gereksinim duyduğunuz kontrol düzeyine bağlı olarak, Wallarm tarafından barındırılan veya kendi altyapınızda dağıtabilirsiniz.

Edge nodeSelf-hosted node

Bağlayıcı için Wallarm tarafından barındırılan bir node dağıtmak için talimatları izleyin.

Kendinden barındırılan node dağıtımı için bir artifakt seçin ve ekli talimatları izleyin:

Bare metal veya VM’lerde Linux altyapıları için Hepsi-bir-arada yükleyici
Konteynerleştirilmiş dağıtımlar kullanan ortamlar için Docker imajı
AWS altyapıları için AWS AMI
Kubernetes kullanan altyapılar için Helm chart

2. Wallarm worker kodunu edinin ve dağıtın¶

Trafiği Wallarm Node’a yönlendiren bir Cloudflare worker çalıştırmak için:

Wallarm Console → Security Edge → Connectors → Download code bundle yoluna gidin ve platformunuz için bir kod paketi indirin.

Kendinden barındırılan node çalıştırıyorsanız, kod paketini almak için sales@wallarm.com ile iletişime geçin.
İndirilen kodu kullanarak Bir Cloudflare worker oluşturun.
wallarm_node parametresinde Wallarm node URL’sini ayarlayın.
Eşzamansız (bant dışı) mod kullanıyorsanız, wallarm_mode parametresini async olarak ayarlayın.
Gerekirse, diğer parametreleri değiştirin.
Website → your domain içinde, Workers Routes → Add route yoluna gidin:
- Route alanında, Wallarm tarafından analiz edilmek üzere yönlendirilecek yolları belirtin (örn., tüm yollar için *.example.com/*).
- Worker alanında, oluşturduğunuz Wallarm worker’ı seçin.

Test¶

Dağıtılan çözümün işlevselliğini test etmek için:

API’nize test Yol Geçişi saldırısını içeren isteği gönderin:
```
curl http://<YOUR_APP_IP_OR_DOMAIN>/etc/passwd
```
Wallarm Console → Attacks bölümünü US Cloud veya EU Cloud üzerinde açın ve saldırının listede görüntülendiğinden emin olun.

Wallarm Node modu blocking olarak ayarlıysa ve trafik satır içi akıyorsa, istek aynı zamanda engellenecektir.

Yapılandırma seçenekleri¶

Worker kodunda aşağıdaki parametreleri belirtebilirsiniz:

Parametre	Açıklama	Gerekli mi?
`wallarm_node`	Wallarm Node örneğinizin adresini ayarlar.	Evet
`wallarm_mode`	Trafik işleme modunu belirler: Varsayılan `inline`, trafiği doğrudan Wallarm Node üzerinden işlerken, `async` trafiğin orijinal akışını etkilemeden bir kopyasını analiz eder.	Hayır
`wallarm_send_rsp_body`	Şema keşfi ve kaba kuvvet gibi gelişmiş saldırı tespiti için yanıt gövdesi analizini etkinleştirir. Varsayılan: `true` (etkin).	Hayır
`wallarm_response_body_limit`	Node’un ayrıştırıp analiz edebileceği yanıt gövdesi boyutu (bayt cinsinden) sınırı. Varsayılan: `0x4000`.	Hayır
`wallarm_block_page.custom_path` (Worker sürüm 1.0.1+)	Node’dan gelen HTTP 403 yanıtlarıyla döndürülen özel engelleme sayfasının URL’si, örn.: `https://example.com/block-page.html`. Varsayılan: `null` (`html_page` `true` ise ayrıntılı, Wallarm tarafından sağlanan hata sayfası kullanılır).	Hayır
`wallarm_block_page.html_page` (Worker sürüm 1.0.1+)	Kötü amaçlı istekler için özel bir HTML engelleme sayfasını etkinleştirir. Varsayılan: `false` (basit bir HTTP 403 döndürür).	Hayır
`wallarm_block_page.support_email` (Worker sürüm 1.0.1+)	Engelleme sayfasında sorun bildirmek için görüntülenen e-posta. Varsayılan: `support@mycorp.com`.	Evet, `html_page` `true` ise

Wallarm tarafından sağlanan hata sayfasını göster

HTTP 403 yanıtlarıyla döndürülen, Wallarm tarafından sağlanan hata sayfası aşağıdaki gibidir:

Cloudflare worker’ı yükseltme¶

Dağıtılan Cloudflare worker’ınızı daha yeni bir sürüme yükseltmek için:

Wallarm Console → Security Edge → Connectors → Download code bundle yoluna gidin ve güncellenmiş Wallarm Cloudflare kod paketini indirin.

Kendinden barındırılan node çalıştırıyorsanız, güncellenmiş kod paketini almak için sales@wallarm.com ile iletişime geçin.
Dağıtılmış Cloudflare worker’ınızdaki kodu güncellenmiş paketle değiştirin.

wallarm_node, wallarm_mode ve diğer parametreler için mevcut değerleri koruyun.
Güncellenmiş işlevleri Deploy edin.

Worker yükseltmeleri, özellikle ana sürüm güncellemelerinde, bir Wallarm Node yükseltmesi gerektirebilir. Kendi barındırdığınız Node sürüm notları ve yükseltme talimatları için Native Node değişiklik günlüğüne veya Edge node yükseltme prosedürüne bakın. Eski sürümlerin kullanım dışı kalmasını önlemek ve gelecekteki yükseltmeleri kolaylaştırmak için düzenli node güncellemeleri önerilir.