Hướng dẫn cấu hình Reverse Proxy với Nhân Hòa WAF – Cpanel (LiteSpeed Web Server)

Tài liệu này hướng dẫn triển khai Nhân Hòa WAF theo mô hình Reverse Proxy, trong đó toàn bộ lưu lượng truy cập sẽ đi qua lớp bảo vệ WAF trước khi được chuyển tiếp đến máy chủ web hosting. Mô hình này giúp ngăn chặn các cuộc tấn công như DDoS Layer 7, SQL Injection, XSS, Bot độc hại và các hình thức khai thác ứng dụng web khác trước khi chúng tiếp cận máy chủ gốc.
1. Mô hình triển khai
Hệ thống yêu cầu tối thiểu 02 VPS:
VPS #1 – Edge & Security Layer
Chức năng:
- Cài đặt Nhân Hòa WAF
- Nginx Reverse Proxy
- Tiếp nhận toàn bộ lưu lượng từ Internet
- Kiểm tra và lọc lưu lượng độc hại
- Chuyển tiếp các yêu cầu hợp lệ đến máy chủ hosting
Hệ điều hành hỗ trợ:
- Ubuntu 20.04
- CentOS 7
- AlmaLinux 9
VPS #2 – Hosting Server
Chức năng:
- cPanel/WHM
- LiteSpeed Web Server hoặc Apache
- Chỉ nhận kết nối từ VPS #1
Yêu cầu:
- Đã cài đặt sẵn cPanel/WHM
- Không công khai trực tiếp dịch vụ web ra Internet
2. Cài đặt
VPS1 (WAF + Nginx)
Cấu hình cài đặt WAF vào theo hướng dẫn sau:
Hướng dẫn cài đặt WAF cho Ubuntu 20.04
Hướng dẫn cài đặt WAF cho Centos 7, Amalinux 9
VPS2 (Cpanel + LiteSpeed Web Server):
Để đảm bảo toàn bộ lưu lượng đều phải đi qua Nhân Hòa WAF, cần cấu hình firewall trên VPS #2 chỉ cho phép VPS #1 truy cập vào các cổng dịch vụ web.
Cấu hình port 80 và 443 chỉ allow IP VPS1.
Vào đường dẫn /etc/csf/csf.conf bỏ port 80 và 443 ra khỏi cấu hình:
TCP_IN = "22,2222"
Chỉnh sửa /etc/csf/csf.allow thêm 2 dòng allow port 80, 443 cho VPS1
tcp|in|d=80|s=IP VPS1 tcp|in|d=443|s=IP VPS1
Sau đó restart lại CSF
csf -r
3. Cấu hình Reverse Proxy trên VPS1
Tạo file conf nginx cho website dùng proxy_pass
server {
listen 80;
listen [::]:80;
server_name bwaf.cloud365.vn;
# config này để bật bảo vệ
botguard_check on;
# FIX COOKIE / HEADER LARGE
client_header_buffer_size 64k;
large_client_header_buffers 16 64k;
location / {
proxy_pass http://IP_VPS2;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_connect_timeout 60s;
proxy_send_timeout 60s;
proxy_read_timeout 60s;
proxy_buffering off;
}
error_log /var/log/nginx/bwafcloud365vn_error.log;
access_log /var/log/nginx/bwafcloud365vn_access.log;
}
Trong đó:
Lưu ý
bwaf.cloud365.vnlà domain đã được tạo trên cPanel của VPS #2.- Bản ghi DNS của domain phải trỏ về IP Public của VPS #1.
IP_VPS2là địa chỉ IP của máy chủ cPanel.
Khởi động lại Nginx
systemctl restart nginx
4. Add domain cần bảo vệ
Truy cập: https://bwaf.nhanhoa.com và đăng nhập bằng tài khoản được cấp.

Add domain cần bảo vệ:

Bật trạng thái Online để domain được bảo vệ.

Khi trạng thái hiển thị Online nghĩa là website đã kết nối thành công tới WAF.

5. Test kiểm tra đã kết nối tới WAF
Truy cập vào trang https://bwaf.nhanhoa.com > Setting

Tại mục Core Rule chọn Deny access để test.

Nếu nhận được phản hồi 403, chứng tỏ website đã kết nối thành công với Nhân Hòa WAF.

Sau khi kiểm tra hoàn tất, chuyển lại chế độ hoạt động phù hợp và tiến hành xây dựng các chính sách bảo mật theo nhu cầu thực tế.
Kết luận
Mô hình triển khai Nhân Hòa WAF với Nginx Reverse Proxy và cPanel giúp:
- Bảo vệ website trước các cuộc tấn công DDoS Layer 7
- Ngăn chặn SQL Injection, XSS và các hình thức khai thác ứng dụng web
- Giảm thiểu bot độc hại và lưu lượng truy cập bất thường
- Ẩn máy chủ hosting khỏi Internet công cộng
- Tăng cường an toàn cho hệ thống cPanel và ứng dụng web
Đây là mô hình được khuyến nghị cho các website doanh nghiệp, hệ thống thương mại điện tử, cổng thông tin điện tử và các dịch vụ trực tuyến yêu cầu mức độ bảo mật cao.
Chúc các bạn cài đặt thành công.

