Hướng dẫn cấu hình website settings trên Nhân Hòa WAF

Tác giả: 14/07/2026

Để truy cập vào các phần cấu hình này, trước tiên bạn cần:

Đăng nhập vào tài khoản Nhân Hòa WAF của bạn.

Tại danh sách website, tìm tên miền cần cấu hình và nhấn vào nút Setting.

Ở menu phụ (hoặc menu Rules), bạn sẽ thấy các mục: Core Rules, Rulesets, và Custom Rules.

1. CORE RULES (Quy tắc cốt lõi)

Core Rules là các quy tắc mặc định được Nhân Hòa WAF thiết lập sẵn nhằm phân loại và xử lý các loại lưu lượng truy cập (traffic) phổ biến, giúp giảm thiểu đáng kể lượng bot độc hại tự động thu thập dữ liệu hoặc tấn công website.

Cách cấu hình:

  1. Từ menu cài đặt quy tắc, chọn Core Rules.

  2. Hệ thống hiển thị danh sách 8 quy tắc cốt lõi. Hãy tìm quy tắc bạn muốn chỉnh sửa.

  3. Chọn một trong các hành động (Action) bằng nút chọn (Radio button):

    • Grant access (Cho phép truy cập): Cho phép lưu lượng truy cập đi qua. Khi chọn hành động này, bạn có thể tích chọn thêm ô Encrypt Content (Mã hóa nội dung). Tính năng này giúp định tuyến lưu lượng qua một kênh mã hóa riêng biệt, bảo vệ tính riêng tư của dữ liệu đang truyền tải và tối ưu hóa độ trễ (latency).

    • Deny access (Từ chối truy cập): Chặn hoàn toàn không cho truy cập vào website.

    • Use CAPTCHA (Sử dụng CAPTCHA): Yêu cầu người dùng hoặc bot vượt qua thử thách CAPTCHA mới được truy cập (chỉ khả dụng đối với một số quy tắc nhất định).

  4. Nhấn Save Changes (hoặc OK / Apply tùy thuộc vào bảng điều khiển bạn tích hợp) để lưu lại.

Danh sách các nhóm Core Rules:

Nhân Hòa WAF chia thành 2 nhóm chính (Khuyến nghị giữ cài đặt mặc định trừ khi có nhu cầu đặc biệt):

  • Nhóm 4 quy tắc đầu tiên (Khuyến nghị đặt là Grant Access – Cho phép):

    1. Search Engines: Các bot thu thập dữ liệu của công cụ tìm kiếm lớn (Google, Bing, Yahoo…) phục vụ cho việc SEO và index bài viết.

    2. Social Networks: Bot từ các nền tảng mạng xã hội (Facebook, X/Twitter, LinkedIn…) truy cập để tạo bản xem trước liên kết (link preview) và phân tích siêu dữ liệu (metadata).

    3. Cloud Services: Lưu lượng tự động từ các dịch vụ đám mây uy tín hoặc nền tảng giám sát (như công cụ kiểm tra uptime, phân tích hiệu suất…).

    4. Humans: Khách truy cập là con người bình thường sử dụng trình duyệt máy tính, điện thoại.

  • Nhóm quy tắc tiếp theo (Khuyến nghị đặt là Deny Access hoặc CAPTCHA):

             5. Security Violators: Các thực thể được xác định là độc hại (tin tặc, công cụ quét lỗ hổng bảo mật, framework khai thác lỗi, bot dò mật khẩu – credential stuffing).

             6. Content Scrapers: Công cụ tự động thu thập, sao chép hoặc trích xuất nội dung website ở quy mô lớn (ví dụ: bot thu thập dữ liệu để train AI, bot lấy cắp bài viết).

             7. Bots Emulating Humans: Các loại bot nâng cao giả lập hành vi của con người (giả lập di chuyển chuột, xử lý phiên, thực thi trình duyệt) nhằm vượt qua các cơ chế phát hiện bot thông thường.

             8. SuspiciousBehaviour: Phát hiện hành vi bất thường hoặc lạm dụng trang web.

2. RULESETS (Bộ quy tắc quản lý)

Rulesets là các tập hợp quy tắc bảo mật được quản lý và cập nhật liên tục bởi Nhân Hòa WAF nhằm chống lại các lỗ hổng bảo mật lớn hơn hoặc các vector tấn công diện rộng (ví dụ như bộ quy tắc chống mã độc, OWASP core ruleset, bảo vệ trước AI bot…).

Cách cấu hình:

  1. Từ menu cài đặt, chọn mục Rulesets.

  2. Hệ thống sẽ hiển thị danh sách các bộ quy tắc có sẵn (ví dụ: tối đa 10 bộ quy tắc tùy thuộc gói dịch vụ).

  3. Tìm bộ quy tắc bạn muốn bật hoặc tắt.

  4. Gạt công tắc chuyển đổi sang ON để kích hoạt bộ quy tắc bảo vệ, hoặc OFF để hủy kích hoạt.

  5. Nhấn APPLY (hoặc OK) để áp dụng các thay đổi vào hệ thống phòng thủ thời gian thực.

3. CUSTOM RULES (Quy tắc tùy chỉnh)

Custom Rules cho phép bạn tự xây dựng các bộ lọc bảo mật thủ công dựa trên nhu cầu riêng của doanh nghiệp nhằm ngăn chặn những hành vi đáng ngờ mà quy tắc mặc định bỏ sót.

⚠️ Lưu ý quan trọng: Quy tắc tùy chỉnh (Custom Rules) luôn có mức độ ưu tiên cao nhất. Nó sẽ ghi đè (override) lên các thiết lập trong Core RulesRulesets. Bạn có thể tận dụng điều này để tạo các quy tắc ngoại lệ (Bypass) cho một dải IP hoặc User-Agent cụ thể.

Các bước tạo một Quy tắc tùy chỉnh mới:

  1. Truy cập vào trình chỉnh sửa Custom Rules.

  2. Nhập một tên duy nhất cho quy tắc vào trường RULE NAME.

  3. Thiết lập Điều kiện kích hoạt (Trigger Conditions) bằng cách chọn các toán tử so sánh thích hợp:

    • Is / Is not: Khớp chính xác hoàn toàn chuỗi ký tự.

    • Contains / Not contains: Khớp một phần chuỗi ký tự.

    • Greater than / Less than: Áp dụng cho các giá trị dạng số (Lớn hơn / Nhỏ hơn).

    • Is any of: Khớp với bất kỳ giá trị nào được liệt kê trong danh sách cho sẵn.

    • Matches to expression / Matches the expression: Khớp dựa trên biểu thức chính quy (Regular Expression / Regex).

  4. Chọn một Hành động (Action) sẽ được thực thi khi điều kiện trên được thỏa mãn:

    • Deny access: Chặn hoàn toàn quyền truy cập.

    • Grant access: Cho phép truy cập thẳng vào website (thường dùng để bỏ qua bộ lọc của hệ thống đối với đối tác tin cậy).

    • Use CAPTCHA: Buộc người dùng phải giải mã CAPTCHA thành công mới được tiếp tục.

    • Redirect to: Chặn truy cập thông thường và chuyển hướng (Redirect) toàn bộ lưu lượng thỏa mãn điều kiện sang một trang cụ thể trên website của bạn hoặc một liên kết bên ngoài (bạn phải nhập URL đích vào ô trống đi kèm).

    • Limit request rate by: Bật tính năng giới hạn tần suất (Rate limiting). Bạn sẽ cấu hình số lượng yêu cầu (requests) tối đa được phép gửi từ một nguồn trong một khoảng thời gian nhất định (ví dụ: tối đa 100 request/phút) nhằm chống tấn công DDoS Layer 7 hoặc Spam API.

  5. Nhấn nút ADD RULE để thêm quy tắc vào danh sách.

  6. Kích hoạt quy tắc: Tìm quy tắc vừa tạo trong danh sách Custom Rules, đảm bảo nút gạt trạng thái kích hoạt được chuyển sang ON. (Trong tương lai, bạn có thể gạt sang OFF để tạm dừng quy tắc hoặc nhấn biểu tượng Thùng rác/Delete để xóa hẳn).