Cách cấu hình SafeLine WAF

Tại sao lại chọn SafeLine WAF ?

Trang web blog nhỏ bé của tôi trước đây đã bị hack và nhiều quảng cáo độc hại đã được đưa vào các bài viết. Phải mất một khoảng thời gian đáng kể để dọn dẹp và phục hồi các bài viết của tôi. Thật không may, một số nội dung đã bị phá hủy và không thể phục hồi được.

Bộ lưu trữ của tôi đã bị tấn công bởi nhiều bonet và bot độc hại, dẫn đến số lượng yêu cầu và lưu lượng truy cập HTTPS quá mức gây thiệt hại nặng nề cho trang web của tôi.

Trải nghiệm này đã khiến tôi nhận ra tầm quan trọng của WAF (Tường lửa ứng dụng web).

Trước đây, tôi đang sử dụng cách chặn truyền thống bằng nginx theo phương pháp case by case tuy nhiên gặp phải quá nhiều khó khăn. Tôi sử dụng control panel và để cấu hình custom cho các Vhost là một điều cần yêu cầu kỹ thuật cao và khác nhau đối với từng trang web bên cạnh đó cách này rất khó trong quá trình team work khi tôi phải yêu cầu nhà cung cấp máy chủ của mình xữ lý.

Tôi cũng đã từng sử dụng một số dịch vụ cung cấp giải pháp WAF cho web site tuy nhiên trong đó có một số bên cung cấp nhưng quá đắt cho một trang web cá nhân.

Vì vậy, tôi bắt đầu tìm kiếm một WAF miễn phí mà tôi có thể cài đặt trên máy chủ của riêng mình. Trong quá trình tìm kiếm, tôi tình cờ thấy SafeLine WAF, công cụ này khiến tôi chú ý do có sự so sánh hấp dẫn. Sau một tháng dùng thử, tôi thấy hiệu quả và hiệu quả của nó là thỏa đáng, mặc dù vẫn còn chỗ cần cải thiện.

Bên cạnh đó Safeline WAF cung cấp một giao diện quản lý chuyên nghiệp và thuận tiện cho việc quản lý cũng như không cần custom quá nhiều trên server của tôi.

Bên cạnh đó Safeline Waf còn cung cấp các cơ chế chống nhiều loại hình tấn công phổ biến được liệt kê trogn OSWAP. Nó có thể giúp Website của tôi an toàn tuyệt đối trước nhiều loại hình tấn công nhằm vào trang web.

 

Cách cấu hình và sử dụng WAF

Để biết cách cài đặt và nâng cấp SafeLine WAF, vui lòng tham khảo  Changting Leichi WAF Community Edition (chaitin.cn) , ở đây chúng tôi chỉ nói về cấu hình.

Trước tiên chúng ta hãy nhìn vào bảng điều khiển. Việc hiểu các số liệu thống kê và thông tin về địa lý và khu vực là khá dễ dàng.

Thêm một site vào Safeline WAF bằng cách đi đến phần Protected Sites và chọnh Add Site như hình ảnh.

Trong phần add site ta cần thêm địa chỉ domains và thông tin về backend theo thông tin như sau :

• Domain :  chọn các domains mà bạn muốn cài đặt trên WAF
• Port : Chọn các port mà WAF sẽ lắng nghe thông thường sẽ là 80 và 443 cho giao thức HTTP và HTTPS.
• Certification: Chọn Cert phú hợp với domains đã cài đặt có thể sử dụng Certification của nhà cung cấp khác hoặc get Certification từ Let’s Engcrypt trong bước tiếp theo.
• Upstream Server : Chỉ định backend hay là Server thật của bạn để WAF có thể bảo vệ.

 

Cho phép truy cập HTTPS/SSL

Chúng ta cần tải lên chứng chỉ SSL thông qua phần “Settings > Certifications”. Hoặc các bạn có thể sử dụng Certification của LetEncryt nếu các bạn đã trỏ Domains về địa chỉ của WAF

Để cho phép trang quản trị WAF sử dụng các chứng chỉ tùy chỉnh, chúng ta nên chọn các chứng chỉ chính xác trong phần “Waf Backend Cert”.

Tiếp theo chúng ta sẽ chuyển đổi cấu hình tự động chuyển sang https bằng cách đi tới “Settings > General > force HTTPS”

Các lựa chọn còn lại đều có lợi:

1. HTTP2 : Nếu máy chủ web hỗ trợ HTTP/2, việc bật nó có thể giúp cải thiện hiệu suất.
2. Join Intelligence Sharing Plan : Nên chọn tùy chọn này để  có thể đóng góp bất kỳ địa chỉ IP độc hại nào được phát hiện cho cộng đồng

Cấm các IP độc hại

Có hai cách tiếp cận để thêm IP. Cách đầu tiên là thêm IP vào “Setting => IPgroups”. Trong phần này, sẽ tìm thấy “Malicous IP Group by Community” do cộng đồng đóng góp, được liên kết với tùy chọn “Join Intelligence Sharing Plan” và được update hằng ngày. Ngoài ra có thể tự động custom các danh sách IP đặc biệt hoặc Range IP theo vùng trong phần Add IPgroups

Cách tiếp cận thứ hai là thêm IP thông qua phần “Events”.

Bất kể chọn cách tiếp cận list IP nào đi chăng nữa thì nên nhớ cấu hình nó trong “Protections > Allow/Deny List” nếu không thì sẽ không thể ngăn chặn.

Whitelist  các công cụ tìm kiếm của Google

Ở đây các bạn vẫn sẽ có 2 cách tiếp cận phương pháp này.

Đầu tiên các bạn sẽ tiép cần thông qua các User Agent của cac scông cụ tìm kiếm. Trong phần Protections > Allow/Deny List các bạn thêm một Rules Allow với thông tin như sau :

/.*(Googlebot|Google Favicon|Storebot-Google|Google-InspectionTool|GoogleOther|Google-Extended|APIs-Google|AdsBot-Google|Mediapartners-Google|FeedFetcher-Google|GoogleProducer|Google-Read-Aloud|Google-Site-Verification|bingbot|MicrosoftPreview|Yahoo|YandexBot|Baiduspider|Sogou web spider|360Spider|YisouSpider|Bytespider).*/i

Đây chính là những “Bot sạch” của Google dùng để lấy dữ liệu trang web phục vụ cho việc giúp trang web của bạn có s thể SEO tốt hơn. Bạn cũng có thể chủ động thêm nhưng Bot mà bạn cần trong list trên để có kết quả tốt nhất cho trang Web của bạn.

Tương tự Allow để chặn những bot xấu bạn cũng có thể làm tương tự tuy nhiên hãy chọn DenyList thay vì AllowList nhé.

Cách thứ 2 là chúng ta sẽ sử dụng các danh sách IP sạch của Bot sạch được cập nhật hằng ngày trong phần  “Setting > IP groups”. Các IP này được lấy từ việc share thông tin IP độc hại cho Cộng đồng Safeline WAF.

 

Ngoài ra Safe Line WAF cũng sẽ cung cấp nhiều cơ chế bảo vệ hơn như Captcha hoặc Basic Authentication …. Mình sẽ gửi đến các bạn trong một bài viết khác chi tiết hơn về việc cấu hình các Rules bảo vệh cho trang web bằng Safe Line WAF.