Hướng dẫn cấu hình Reverse Proxy với Nhân Hòa WAF – Directadmin
Nhân Hòa WAF là giải pháp bảo vệ ứng dụng web giúp phát hiện và ngăn chặn các cuộc tấn công như DDoS Layer 7, SQL Injection (SQLi), Cross-Site Scripting (XSS), bot độc hại và nhiều hình thức khai thác ứng dụng web khác.
Trong mô hình triển khai này, Nhân Hòa WAF được cài đặt trên một VPS độc lập đóng vai trò lớp bảo vệ (Edge & Security Layer), tiếp nhận toàn bộ lưu lượng truy cập từ Internet trước khi chuyển tiếp đến máy chủ DirectAdmin. Điều này giúp các yêu cầu độc hại bị chặn ngay từ lớp biên mạng và không bao giờ tiếp cận máy chủ hosting.
1. Mô hình triển khai
Hệ thống yêu cầu tối thiểu 02 VPS.
VPS #1 – Nhân Hòa WAF + Nginx Reverse Proxy
Chức năng:
- Tiếp nhận toàn bộ lưu lượng từ Internet
- Reverse Proxy và TLS Termination
- Phân tích và lọc lưu lượng bằng Nhân Hòa WAF
- Chặn DDoS Layer 7, SQLi, XSS, Bot độc hại
- Chuyển tiếp các request hợp lệ đến máy chủ DirectAdmin
Hệ điều hành hỗ trợ:
- Ubuntu 20.04
- CentOS 7
- AlmaLinux 9
VPS #2 – DirectAdmin Hosting Server
Chức năng:
- DirectAdmin
- Apache hoặc Nginx
- PHP, SSL, Database
- Chỉ nhận kết nối từ VPS #1
Khuyến nghị không công khai trực tiếp cổng 80/443 ra Internet để đảm bảo mọi truy cập đều đi qua lớp bảo vệ Nhân Hòa WAF.
2. Cài đặt
VPS1 (WAF + Nginx)
Cấu hình cài đặt WAF vào theo hướng dẫn sau:
Hướng dẫn cài đặt WAF cho Ubuntu 20.04
Hướng dẫn cài đặt WAF cho Centos 7, Amalinux 9
VPS2 (Directadmin):
Cấu hình port 80 và 443 chỉ allow IP VPS1
Vào đường dẫn /etc/csf/csf.conf bỏ port 80 và 443 ra khỏi cấu hình:
TCP_IN = "22,2222"
Chỉnh sửa /etc/csf/csf.allow thêm 2 dòng allow port 80, 443 cho VPS1
tcp|in|d=80|s=IP VPS1 tcp|in|d=443|s=IP VPS1
Sau đó restart lại CSF
csf -r
3. Cấu hình Reverse Proxy trên VPS1
Tạo file conf nginx dùng proxy_pass
server {
listen 80;
listen [::]:80;
server_name wafapache.cloud365.vn;
# WAF (nếu module có)
botguard_check on;
location / {
#Thay IP VPS2 Directadmin ví dụ: proxy_pass http://1.2.3.4
proxy_pass http://IP_VPS2;
# ================= IMPORTANT HEADERS =================
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
# ================= OPTIONAL TUNING =================
proxy_connect_timeout 60s;
proxy_send_timeout 60s;
proxy_read_timeout 60s;
proxy_buffering on;
}
error_log /var/log/nginx/wafapachecloud365vn_error.log;
access_log /var/log/nginx/wafapachecloud365vn_access.log;
}
Lưu ý
wafapache.cloud365.vnlà tên miền đã được tạo trên DirectAdmin (VPS #2).- DNS của tên miền phải trỏ về IP Public của VPS #1.
IP_VPS2là địa chỉ IP của máy chủ DirectAdmin.
Khởi động lại Nginx
systemctl restart nginx
4. Add domain cần bảo vệ
Truy cập: https://bwaf.nhanhoa.com và đăng nhập bằng tài khoản được cấp.

Add domain cần bảo vệ:

Bật trạng thái Online để domain được bảo vệ.

Khi trạng thái hiển thị Online nghĩa là website đã kết nối thành công tới WAF.

5. Test kiểm tra đã kết nối tới WAF
Truy cập vào trang https://bwaf.nhanhoa.com > Setting

Tại mục Core Rule chọn Deny access để test.

Khi này truy cập vào website sẽ báo lỗi 403.

Sau khi test kết nối thành công bạn có thể tiến hành tạo các rule cần thiết theo nhu cầu thực tế trong mục Setting.
Kết luận
Mô hình Nhân Hòa WAF kết hợp với DirectAdmin giúp xây dựng một lớp bảo vệ chuyên biệt phía trước máy chủ hosting, mang lại nhiều lợi ích:
- Bảo vệ website trước các cuộc tấn công DDoS Layer 7.
- Ngăn chặn SQL Injection, XSS và các hình thức khai thác ứng dụng web phổ biến.
- Giảm thiểu bot độc hại và lưu lượng truy cập bất thường.
- Ẩn hoàn toàn máy chủ DirectAdmin khỏi truy cập trực tiếp từ Internet.
- Tăng cường an toàn cho hạ tầng hosting và ứng dụng web.
Đây là mô hình được khuyến nghị cho các website doanh nghiệp, hệ thống thương mại điện tử, cổng thông tin điện tử và các dịch vụ trực tuyến yêu cầu mức độ bảo mật cao và khả năng hoạt động ổn định.


