Công nghệ

WAF: Tường Lửa Ứng Dụng Web

Đăng ngày 27 tháng 4, 2026 3 phút đọc

Mục lục

WAF (Web Application Firewall) là tường lửa chuyên bảo vệ website khỏi tấn công ở tầng ứng dụng — SQL injection, XSS, bot scraping, và DDoS layer 7. WAF kiểm tra mọi HTTP request đến website, chặn request độc hại trước khi đến server. Năm 2025, 94% website bị ít nhất 1 cuộc tấn công ứng dụng web (Cloudflare Radar).

WAF Hoạt Động Như Thế Nào?

Internet → WAF kiểm tra → Website
  │           │                │
  │     ┌─────┴──────┐        │
  │     │ SQL inject? │        │
  │     │ XSS attack? │        │
  │     │ Bot traffic? │        │
  │     │ Rate limit?  │        │
  │     └─────┬──────┘        │
  │           │                │
  │     ✓ Hợp lệ → Cho qua   │
  │     ✗ Tấn công → Chặn     │

WAF Chặn Được Gì?

Tấn công	Cách thức	WAF xử lý
SQL Injection	`' OR 1=1 --` trong form	Phát hiện pattern SQL trong input → chặn
XSS	`<script>alert()</script>`	Phát hiện HTML/JS trong input → chặn
CSRF	Request giả từ website khác	Kiểm tra origin, referer → chặn
File Upload	Upload .php, .exe	Kiểm tra file type → chặn
Bot Scraping	Crawl content hàng loạt	Rate limiting + bot detection → chặn
Brute Force	Thử đăng nhập hàng nghìn lần	Rate limiting login endpoint → chặn

So Sánh WAF Platforms

WAF	Free tier	Giá Pro	Managed Rules	Phù hợp
Cloudflare	Basic rules	$20/tháng	OWASP, Cloudflare	SME → Enterprise
AWS WAF	Không	$5/tháng + $1/M req	AWS Managed	Đã dùng AWS
Sucuri	Không	$10/tháng	Sucuri rules	WordPress
Akamai	Không	Enterprise	Extensive	Enterprise

Cho SME Việt Nam: Cloudflare Pro ($20/tháng) là lựa chọn tối ưu — WAF + CDN + DDoS + SSL trong 1 gói.

Cloudflare WAF: Setup 10 Phút

Đăng ký Cloudflare → thêm domain → proxy DNS records
Security tab → WAF → Managed Rules → bật OWASP Core Ruleset
Custom Rules — thêm rules riêng: block specific countries, rate limit login page, challenge suspicious traffic
Bot Fight Mode → bật chặn bot tự động (Free)
Security Level → chọn “High” cho website e-commerce, “Medium” cho website thường

WAF Rules Thường Dùng

Rate limit login: Max 5 attempts/phút cho /login, /admin — chặn brute force.

Block bad bots: Challenge traffic không có valid browser fingerprint — chặn 90% bot.

Geo-blocking: Block hoặc challenge traffic từ countries không phục vụ — giảm attack surface.

Custom header check: Chặn request thiếu required headers — filter automated tools.

Chúng Tôi Xây Web tại Cái Răng, Cần Thơ triển khai website bảo mật với Cloudflare WAF — chặn tấn công tự động, bảo vệ dữ liệu khách hàng.

Liên hệ tư vấn: Zalo 0817.771.184 | Hotline: 0817.771.184 | Form liên hệ

Chúng Tôi Xây Web

Đội ngũ thiết kế website tại Cần Thơ

Chuyên thiết kế website chuẩn SEO, tối ưu tốc độ và trải nghiệm người dùng cho doanh nghiệp tại Cần Thơ và Đồng bằng sông Cửu Long.

Câu Hỏi Thường Gặp

WAF là gì và hoạt động thế nào?

WAF (Web Application Firewall) là tường lửa chuyên bảo vệ website — đứng giữa internet và website, kiểm tra mọi HTTP request, chặn request độc hại trước khi đến server. WAF phát hiện và chặn: SQL injection, XSS (cross-site scripting), CSRF, file upload exploit, bot traffic, DDoS layer 7. Giống bảo vệ cửa quán — kiểm tra ai vào, chặn kẻ xấu.

WAF khác firewall thường thế nào?

Firewall truyền thống (network firewall) kiểm tra traffic ở tầng network: IP, port, protocol. WAF kiểm tra traffic ở tầng application: HTTP method, URL, headers, body, cookies. Firewall chặn IP xấu, WAF chặn request xấu. Website cần CẢ HAI: firewall bảo vệ server, WAF bảo vệ ứng dụng web.

Website nhỏ có cần WAF không?

Nếu website có form (liên hệ, login, tìm kiếm) hoặc database → CẦN WAF. Bot và script tự động tấn công mọi website, không chỉ website lớn. Cloudflare Free có basic WAF (managed rulesets). Cloudflare Pro ($20/tháng) có WAF đầy đủ với custom rules — đáng đầu tư cho website có e-commerce hoặc user login.

Bạn cần dịch vụ này?

Gọi ngay 0817771184 hoặc chat Zalo để được tư vấn miễn phí về thiết kế website.

Liên hệ ngay Chat Zalo