Công nghệ

WAF: Tường Lửa Ứng Dụng Web

Published on April 27, 2026 3 min read

Table of Contents

WAF (Web Application Firewall) là tường lửa chuyên bảo vệ website khỏi tấn công ở tầng ứng dụng — SQL injection, XSS, bot scraping, và DDoS layer 7. WAF kiểm tra mọi HTTP request đến website, chặn request độc hại trước khi đến server. Năm 2025, 94% website bị ít nhất 1 cuộc tấn công ứng dụng web (Cloudflare Radar).

WAF Hoạt Động Như Thế Nào?

Internet → WAF kiểm tra → Website
  │           │                │
  │     ┌─────┴──────┐        │
  │     │ SQL inject? │        │
  │     │ XSS attack? │        │
  │     │ Bot traffic? │        │
  │     │ Rate limit?  │        │
  │     └─────┬──────┘        │
  │           │                │
  │     ✓ Hợp lệ → Cho qua   │
  │     ✗ Tấn công → Chặn     │

WAF Chặn Được Gì?

Tấn công	Cách thức	WAF xử lý
SQL Injection	`' OR 1=1 --` trong form	Phát hiện pattern SQL trong input → chặn
XSS	`<script>alert()</script>`	Phát hiện HTML/JS trong input → chặn
CSRF	Request giả từ website khác	Kiểm tra origin, referer → chặn
File Upload	Upload .php, .exe	Kiểm tra file type → chặn
Bot Scraping	Crawl content hàng loạt	Rate limiting + bot detection → chặn
Brute Force	Thử đăng nhập hàng nghìn lần	Rate limiting login endpoint → chặn

So Sánh WAF Platforms

WAF	Free tier	Giá Pro	Managed Rules	Phù hợp
Cloudflare	Basic rules	$20/tháng	OWASP, Cloudflare	SME → Enterprise
AWS WAF	Không	$5/tháng + $1/M req	AWS Managed	Đã dùng AWS
Sucuri	Không	$10/tháng	Sucuri rules	WordPress
Akamai	Không	Enterprise	Extensive	Enterprise

Cho SME Việt Nam: Cloudflare Pro ($20/tháng) là lựa chọn tối ưu — WAF + CDN + DDoS + SSL trong 1 gói.

Cloudflare WAF: Setup 10 Phút

Đăng ký Cloudflare → thêm domain → proxy DNS records
Security tab → WAF → Managed Rules → bật OWASP Core Ruleset
Custom Rules — thêm rules riêng: block specific countries, rate limit login page, challenge suspicious traffic
Bot Fight Mode → bật chặn bot tự động (Free)
Security Level → chọn “High” cho website e-commerce, “Medium” cho website thường

WAF Rules Thường Dùng

Rate limit login: Max 5 attempts/phút cho /login, /admin — chặn brute force.

Block bad bots: Challenge traffic không có valid browser fingerprint — chặn 90% bot.

Geo-blocking: Block hoặc challenge traffic từ countries không phục vụ — giảm attack surface.

Custom header check: Chặn request thiếu required headers — filter automated tools.

Chúng Tôi Xây Web tại Cái Răng, Cần Thơ triển khai website bảo mật với Cloudflare WAF — chặn tấn công tự động, bảo vệ dữ liệu khách hàng.

Liên hệ tư vấn: Zalo 0817.771.184 | Hotline: 0817.771.184 | Form liên hệ

Frequently Asked Questions

WAF là gì và hoạt động thế nào?

WAF (Web Application Firewall) là tường lửa chuyên bảo vệ website — đứng giữa internet và website, kiểm tra mọi HTTP request, chặn request độc hại trước khi đến server. WAF phát hiện và chặn: SQL injection, XSS (cross-site scripting), CSRF, file upload exploit, bot traffic, DDoS layer 7. Giống bảo vệ cửa quán — kiểm tra ai vào, chặn kẻ xấu.

WAF khác firewall thường thế nào?

Firewall truyền thống (network firewall) kiểm tra traffic ở tầng network: IP, port, protocol. WAF kiểm tra traffic ở tầng application: HTTP method, URL, headers, body, cookies. Firewall chặn IP xấu, WAF chặn request xấu. Website cần CẢ HAI: firewall bảo vệ server, WAF bảo vệ ứng dụng web.

Website nhỏ có cần WAF không?

Nếu website có form (liên hệ, login, tìm kiếm) hoặc database → CẦN WAF. Bot và script tự động tấn công mọi website, không chỉ website lớn. Cloudflare Free có basic WAF (managed rulesets). Cloudflare Pro ($20/tháng) có WAF đầy đủ với custom rules — đáng đầu tư cho website có e-commerce hoặc user login.

Need this service?

Call 0817771184 or chat on Zalo for a free consultation about website design.

Contact Now Chat on Zalo