Web Application Firewall
Tường lửa ứng dụng web (WAF) — chặn OWASP Top 10 (SQL injection, XSS…), bot độc hại, credential stuffing, virtual patching lỗ hổng. Lá chắn tầng ứng dụng cho website TMĐT và app xử lý dữ liệu nhạy cảm.
Chỉ từ 600.000đ / tháng
Firewall mạng và SSL không cứu được bạn khỏi loại tấn công nguy hiểm nhất hiện nay: kẻ gian gửi request 'trông như thật' để khai thác chính ứng dụng web của bạn — SQL injection moi sạch database, XSS chiếm phiên người dùng, dò quét lỗ hổng plugin/theme, bot quét và credential stuffing thử trộm tài khoản. Đây là tầng 7 (ứng dụng) mà firewall tầng mạng không nhìn thấy. WAF (Web Application Firewall) của STEP đứng trước website, soi từng request HTTP/HTTPS và chặn tấn công trước khi chúng chạm tới mã nguồn: áp bộ luật OWASP Core Rule Set chống Top 10 lỗ hổng phổ biến, virtual patching (vá ảo) để bịt lỗ hổng đã biết ngay cả khi bạn chưa kịp cập nhật code/plugin, quản lý bot phân biệt người thật với bot xấu, rate limiting chống dò mật khẩu và lạm dụng API. STEP cấu hình luật theo đúng ứng dụng của bạn (tránh chặn nhầm), giám sát và tinh chỉnh liên tục — bảo vệ mà vẫn giữ website nhanh.
Web Application Firewall dành cho ai?
Thương mại điện tử
Xử lý đơn hàng, tài khoản, thanh toán — mục tiêu hàng đầu của SQLi, bot quét và gian lận.
App xử lý dữ liệu nhạy cảm
Ứng dụng quản trị, y tế, tài chính — một lỗ SQLi/XSS là lộ toàn bộ dữ liệu khách hàng.
WordPress/CMS nhiều plugin
Plugin/theme là nguồn lỗ hổng bất tận — virtual patching bịt lỗ trước khi kịp cập nhật.
API & ứng dụng SaaS
Cần rate limiting và chặn lạm dụng/credential stuffing để bảo vệ endpoint và tài khoản người dùng.
Tính năng nổi bật
| Tính năng | Mô tả |
|---|---|
Chặn OWASP Top 10 | Áp bộ luật OWASP Core Rule Set ngăn SQL injection, XSS, CSRF, path traversal, command injection và các khai thác phổ biến nhất. |
Virtual patching (vá ảo) | Bịt lỗ hổng đã biết của ứng dụng/plugin ngay tại WAF — bảo vệ tức thì ngay cả khi bạn chưa kịp cập nhật mã nguồn. |
Quản lý bot & chống lạm dụng | Phân biệt người dùng thật với bot xấu; chặn bot quét lỗ hổng, scraping, và credential stuffing thử trộm tài khoản. |
Rate limiting & chống brute-force | Giới hạn tần suất request theo IP/endpoint — chặn dò mật khẩu trang đăng nhập và lạm dụng API. |
Luật tùy chỉnh theo ứng dụng | STEP cấu hình và whitelist theo đúng ứng dụng của bạn để chặn tấn công mà không chặn nhầm người dùng thật (giảm false positive). |
Giám sát & tinh chỉnh liên tục | Theo dõi request bị chặn, cảnh báo tấn công và tinh chỉnh luật theo thực tế — bảo vệ mà vẫn giữ website phản hồi nhanh. |
Vì sao chọn WAF (tầng ứng dụng) STEP?
So với Chỉ có firewall mạng — minh bạch hơn, linh hoạt hơn, có cam kết bồi hoàn.
| Chỉ có firewall mạng | WAF (tầng ứng dụng) STEP | |
|---|---|---|
| Tầng bảo vệ | Cổng/IP (tầng mạng) | Soi request HTTP/HTTPS (tầng 7) |
| SQL injection / XSS | Không chặn được | Chặn theo OWASP CRS |
| Lỗ hổng plugin chưa vá | Phơi nhiễm tới khi cập nhật | Virtual patching bịt ngay |
| Bot & credential stuffing | Không phân biệt | Quản lý bot + rate limiting |
| Tinh chỉnh | — | Kỹ sư STEP cấu hình theo app |
Thông số kỹ thuật
| Hạng mục | Chi tiết |
|---|---|
| Bảo vệ | OWASP Top 10 (SQLi, XSS, CSRF, RCE, path traversal…) |
| Bộ luật | OWASP Core Rule Set + luật tùy chỉnh theo ứng dụng |
| Virtual patching | Bịt lỗ hổng đã biết khi chưa kịp cập nhật code |
| Bot management | Phân biệt người/bot, chặn scraping & credential stuffing |
| Rate limiting | Chống brute-force đăng nhập & lạm dụng API |
| Triển khai | WAF cloud (đổi DNS) hoặc trước cụm server/cloud STEP |
| Vận hành | STEP cấu hình, giám sát, tinh chỉnh giảm false positive |
| Báo giá | Theo lưu lượng & số ứng dụng — liên hệ kỹ sư STEP |
Phù hợp với
- Website thương mại điện tử, cổng thanh toán
- Ứng dụng web xử lý dữ liệu nhạy cảm (y tế, tài chính)
- WordPress/CMS nhiều plugin dễ dính lỗ hổng
- API & SaaS cần chống lạm dụng, credential stuffing
- Website từng bị khai thác SQLi/XSS hoặc deface
- Đáp ứng yêu cầu bảo mật ứng dụng cho compliance
Bắt đầu trong 3 bước
Phân tích ứng dụng
Kỹ sư STEP rà soát ứng dụng, luồng request và rủi ro để chọn bộ luật và chế độ phù hợp.
Triển khai & học lưu lượng
Đặt WAF trước website (đổi DNS hoặc trước cụm server); chạy chế độ học để giảm chặn nhầm trước khi bật chặn.
Bật bảo vệ & tinh chỉnh
Bật chặn theo OWASP CRS + virtual patching + bot/rate limit; STEP giám sát và tinh chỉnh liên tục.
Cấu hình tham khảo & giá
Các cấu hình tham khảo — giá cuối xác nhận theo đúng nhu cầu của bạn. Liên hệ để được báo giá chi tiết.
Kéo ngang để xem hết →
| Thông số | Starter | Basic | Đề xuất Standard | Business | Pro | Multi-app | High-traffic | Enterprise | Tùy chỉnh |
|---|---|---|---|---|---|---|---|---|---|
| Giá | từ600.000đ / tháng | từ1.200.000đ / tháng | từ2.000.000đ / tháng | từ3.500.000đ / tháng | từ5.500.000đ / tháng | từ8.500.000đ / tháng | từ13.000.000đ / tháng | từ20.000.000đ / tháng | từ32.000.000đ / tháng |
| Số ứng dụng/site | 1 | 2 | 3 | 5 | 10 | 20 | 50 | Không giới hạn | Tùy chỉnh |
| Lưu lượng | ≤50k req/ngày | ≤200k | ≤500k | ≤1M | ≤3M | ≤10M | Cao | Rất cao | Tùy chỉnh |
| OWASP Core Rule Set | |||||||||
| Virtual patching | |||||||||
| Bot management | — | Cơ bản | ✓ nâng cao | ✓ nâng cao | |||||
| Rate limiting / chống brute-force | |||||||||
| Chế độ học & tinh chỉnh | |||||||||
| Báo cáo & cảnh báo tấn công | Cơ bản | Cơ bản | |||||||
| Giám sát & tinh chỉnh STEP | |||||||||
| Chọn gói | Chọn gói | Chọn gói | Chọn gói | Chọn gói | Chọn gói | Chọn gói | Chọn gói | Chọn gói |
Giá đề xuất — đang chờ STEP xác nhận; liên hệ để nhận báo giá chính thức theo quy mô.
Câu hỏi thường gặp
WAF khác firewall thường thế nào?
Firewall mạng lọc theo cổng/IP ở tầng mạng — không hiểu nội dung request web. WAF làm việc ở tầng ứng dụng (tầng 7): soi từng request HTTP/HTTPS để chặn SQL injection, XSS, khai thác lỗ hổng… Hai thứ bổ trợ nhau; website quan trọng nên có cả hai.
WAF có làm chậm website không?
Được tối ưu để soi request với độ trễ rất thấp; với WAF cloud còn kèm CDN/cache giúp web nhanh hơn. STEP cấu hình điểm đặt và luật phù hợp để bảo vệ mà không ảnh hưởng trải nghiệm.
Virtual patching là gì, sao lại quan trọng?
Khi một lỗ hổng (vd của plugin WordPress) được công bố, kẻ tấn công khai thác ngay trong khi bạn chưa kịp cập nhật. Virtual patching tạo luật chặn khai thác đó ngay tại WAF — bịt lỗ tức thì, mua thời gian để bạn vá mã nguồn an toàn.
WAF có chặn nhầm người dùng thật không (false positive)?
Có thể xảy ra nếu cấu hình cứng nhắc. STEP chạy chế độ học/giám sát trước khi bật chặn, whitelist các hành vi hợp lệ của ứng dụng và tinh chỉnh luật liên tục để giảm tối đa chặn nhầm.
WAF chống bot và credential stuffing thế nào?
WAF phân biệt người dùng thật với bot qua hành vi, fingerprint và thử thách (challenge); chặn bot quét lỗ hổng, scraping nội dung và các đợt thử mật khẩu hàng loạt (credential stuffing) nhằm chiếm tài khoản — kết hợp rate limiting trên trang đăng nhập/API.
Triển khai WAF có cần đổi hạ tầng không?
Thường không. WAF cloud chỉ cần đổi bản ghi DNS để lưu lượng đi qua WAF trước khi về máy chủ; hoặc đặt WAF trước cụm server/cloud STEP. Không phải sửa mã nguồn ứng dụng.
Có báo cáo và cảnh báo tấn công không?
Có. STEP cung cấp thống kê request bị chặn, loại tấn công và cảnh báo khi có đợt khai thác — hữu ích để bạn nắm tình hình và phục vụ rà soát/compliance.
WAF kết hợp với Anti-DDoS được không?
Nên kết hợp. Anti-DDoS chặn flood làm sập (tầng mạng/băng thông), WAF chặn khai thác ứng dụng (tầng 7). Cùng với Firewall và SSL, bạn có phòng thủ nhiều lớp đầy đủ — STEP triển khai trọn gói.
Sẵn sàng triển khai Web Application Firewall?
Cấu hình gói và nhận báo giá ngay trên portal STEP — hoặc chat trực tiếp với kỹ sư qua Zalo nếu cần tư vấn.
Web Application Firewall