Hướng dẫn cấu hình Reverse Proxy với Nhân Hòa WAF – Cpanel (LiteSpeed Web Server)

Tác giả: 14/07/2026

Tài liệu này hướng dẫn triển khai Nhân Hòa WAF theo mô hình Reverse Proxy, trong đó toàn bộ lưu lượng truy cập sẽ đi qua lớp bảo vệ WAF trước khi được chuyển tiếp đến máy chủ web hosting. Mô hình này giúp ngăn chặn các cuộc tấn công như DDoS Layer 7, SQL Injection, XSS, Bot độc hại và các hình thức khai thác ứng dụng web khác trước khi chúng tiếp cận máy chủ gốc.

1. Mô hình triển khai

Hệ thống yêu cầu tối thiểu 02 VPS:

VPS #1 – Edge & Security Layer

Chức năng:

  • Cài đặt Nhân Hòa WAF
  • Nginx Reverse Proxy
  • Tiếp nhận toàn bộ lưu lượng từ Internet
  • Kiểm tra và lọc lưu lượng độc hại
  • Chuyển tiếp các yêu cầu hợp lệ đến máy chủ hosting

Hệ điều hành hỗ trợ:

  • Ubuntu 20.04
  • CentOS 7
  • AlmaLinux 9

VPS #2 – Hosting Server

Chức năng:

  • cPanel/WHM
  • LiteSpeed Web Server hoặc Apache
  • Chỉ nhận kết nối từ VPS #1

Yêu cầu:

  • Đã cài đặt sẵn cPanel/WHM
  • Không công khai trực tiếp dịch vụ web ra Internet

2. Cài đặt

VPS1 (WAF + Nginx)

Cấu hình cài đặt WAF vào theo hướng dẫn sau:

Hướng dẫn cài đặt WAF cho Ubuntu 20.04

Hướng dẫn cài đặt WAF cho Centos 7, Amalinux 9

VPS2 (Cpanel + LiteSpeed Web Server):

Để đảm bảo toàn bộ lưu lượng đều phải đi qua Nhân Hòa WAF, cần cấu hình firewall trên VPS #2 chỉ cho phép VPS #1 truy cập vào các cổng dịch vụ web.

Cấu hình port 80 và 443 chỉ allow IP VPS1.

Vào đường dẫn /etc/csf/csf.conf bỏ port 80 và 443 ra khỏi cấu hình:

TCP_IN = "22,2222"

Chỉnh sửa /etc/csf/csf.allow thêm 2 dòng allow port 80, 443 cho VPS1

tcp|in|d=80|s=IP VPS1
tcp|in|d=443|s=IP VPS1

Sau đó restart lại CSF

csf -r

3. Cấu hình Reverse Proxy trên VPS1

Tạo file conf nginx cho website dùng proxy_pass

server {

listen 80;

listen [::]:80;

server_name bwaf.cloud365.vn;

# config này để bật bảo vệ

  botguard_check on;

# FIX COOKIE / HEADER LARGE

client_header_buffer_size 64k;

large_client_header_buffers 16 64k;

location / {

proxy_pass http://IP_VPS2;

proxy_http_version 1.1;

proxy_set_header Connection "";

proxy_set_header Host $host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_set_header X-Forwarded-Proto $scheme;

proxy_connect_timeout 60s;

proxy_send_timeout 60s;

proxy_read_timeout 60s;

proxy_buffering off;

}

error_log /var/log/nginx/bwafcloud365vn_error.log;

access_log /var/log/nginx/bwafcloud365vn_access.log;

}

Trong đó:

Lưu ý

  • bwaf.cloud365.vn là domain đã được tạo trên cPanel của VPS #2.
  • Bản ghi DNS của domain phải trỏ về IP Public của VPS #1.
  • IP_VPS2 là địa chỉ IP của máy chủ cPanel.

Khởi động lại Nginx

systemctl restart nginx

4. Add domain cần bảo vệ

Truy cập: https://bwaf.nhanhoa.com và đăng nhập bằng tài khoản được cấp.

Add domain cần bảo vệ:

Bật trạng thái Online để domain được bảo vệ.

Khi trạng thái hiển thị Online nghĩa là website đã kết nối thành công tới WAF.

5. Test kiểm tra đã kết nối tới WAF

Truy cập vào trang https://bwaf.nhanhoa.com > Setting

Tại mục Core Rule chọn Deny access để test.

Nếu nhận được phản hồi 403, chứng tỏ website đã kết nối thành công với Nhân Hòa WAF.

Sau khi kiểm tra hoàn tất, chuyển lại chế độ hoạt động phù hợp và tiến hành xây dựng các chính sách bảo mật theo nhu cầu thực tế.


Kết luận

Mô hình triển khai Nhân Hòa WAF với Nginx Reverse Proxy và cPanel giúp:

  • Bảo vệ website trước các cuộc tấn công DDoS Layer 7
  • Ngăn chặn SQL Injection, XSS và các hình thức khai thác ứng dụng web
  • Giảm thiểu bot độc hại và lưu lượng truy cập bất thường
  • Ẩn máy chủ hosting khỏi Internet công cộng
  • Tăng cường an toàn cho hệ thống cPanel và ứng dụng web

Đây là mô hình được khuyến nghị cho các website doanh nghiệp, hệ thống thương mại điện tử, cổng thông tin điện tử và các dịch vụ trực tuyến yêu cầu mức độ bảo mật cao.

Chúc các bạn cài đặt thành công.