Firewall 7G vs 8G: Giải pháp tăng cường bảo mật cho máy chủ web
Sơ đồ trang
Trong thời đại mà các cuộc tấn công mạng ngày càng tinh vi, việc bảo vệ website không còn là tùy chọn mà đã trở thành yêu cầu bắt buộc. Firewall 7G và 8G là hai giải pháp bảo mật mã nguồn mở được phát triển bởi Jeff Starr (Perishable Press), giúp bảo vệ máy chủ web khỏi các mối đe dọa phổ biến.
🔐 Firewall 7G và 8G là gì?
7G Firewall là thế hệ thứ 7 của bộ quy tắc bảo mật web application firewall (WAF) được thiết kế để chạy trực tiếp trên web server, bảo vệ website khỏi các mối đe dọa phổ biến. Ra mắt năm 2019 và hiện đã ổn định, không còn trong giai đoạn beta.
8G Firewall là phiên bản kế nhiệm và cải tiến của 7G, được phát hành sau hơn một năm beta testing. Đây là giải pháp tiên tiến hơn với khả năng phát hiện và chặn các mối đe dọa hiện đại.
⚖️ So sánh 7G vs 8G
| Đặc điểm | 7G Firewall | 8G Firewall |
|---|---|---|
| Dung lượng | 12 KB | 17 KB |
| Tương thích tốt nhất | Apache, NGINX | Apache, OpenLiteSpeed |
| Bảo vệ cơ bản | XSS, SQL Injection, File Injection | Tất cả các mục của 7G + nhiều hơn |
| Phát hiện bot | Cơ bản | Nâng cao |
| Bảo vệ RCE | Cơ bản | Nâng cao đáng kể |
| Tối ưu hóa | Ổn định, ít cập nhật | Cập nhật thường xuyên |
| False Positive | Rất thấp | Thấp hơn 7G |
| Giai đoạn | Stable (ổn định) | Stable (từ v1.3+) |
🛡️ Các Mối Đe Dọa Được Bảo Vệ
Bảo vệ chung (Cả 7G và 8G)
- Cross-Site Scripting (XSS): Chặn mã JavaScript độc hại
- SQL Injection: Ngăn chặn tấn công cơ sở dữ liệu
- File Inclusion: Bảo vệ chống LFI/RFI attacks
- Directory Traversal: Chặn truy cập thư mục trái phép
- Cache Poisoning: Bảo vệ hệ thống cache
- HTTP Response Splitting: Ngăn chặn dual-header exploits
- User-Agent Spoofing: Lọc bot và crawler độc hại
- WordPress exploits: Bảo vệ khỏi các lỗ hổng phổ biến
Bảo vệ nâng cao của 8G
- Remote Code Execution (RCE): Tăng cường đáng kể so với 7G
- Advanced Bot Detection: Phát hiện bot scraping, brute-force tốt hơn
- Modern Attack Vectors: SSRF, XXE, deserialization attacks
- Zero-Day Protection: Quy tắc tổng quát hơn để bắt exploit mới
📥 Cách Tải và Cài Đặt
Tải Firewall
7G Firewall:
- Trang chính: https://perishablepress.com/7g-firewall/
- Download: https://perishablepress.com/sdc_download/19890/
- Phiên bản NGINX: https://perishablepress.com/7g-firewall-nginx/
- Phiên bản Caddy Server: https://github.com/eidenschink/8g-firewall-caddyserver
8G Firewall:
- Trang chính: https://perishablepress.com/8g-firewall/
- Download trực tiếp từ trang chính
- Phiên bản fork cho NGINX và Apache: https://github.com/Tonkuenstler-on-the-Bund
Cài Đặt trên Apache
# Backup .htaccess hiện tại
cp .htaccess .htaccess.backup
# Tải về và giải nén firewall
wget https://perishablepress.com/sdc_download/19890/?key=eejtuenb6d99e8xioji1l6i2h4y5ut -O 7g-firewall.zip
unzip 7g-firewall.zip
# Thêm vào .htaccess (đặt trước các rule mod_rewrite khác)
cat 7g-firewall.txt >> .htaccess
# Hoặc chỉnh sửa thủ công và thêm nội dung vào đầu file .htaccess
Lưu ý quan trọng:
- Đặt code 7G/8G trước các rule WordPress Permalinks
- Luôn giữ hai dòng credit:
# 7G FIREWALL
# @ https://perishablepress.com/7g-firewall/
Cài Đặt trên NGINX
NGINX không hỗ trợ .htaccess. Cần download phiên bản 7G for NGINX riêng:
Bài viết liên quan
Download: https://perishablepress.com/sdc_download/19895/?key=dod7yolxupfssds1882a50c5lyc5kg
# Giải nén file ZIP, sẽ có 2 file:
# - 7g-firewall.conf (firewall rules)
# - 7g.conf (conditional logic)
# Copy 2 file vào thư mục conf.d
cp 7g-firewall.conf /etc/nginx/conf.d/
cp 7g.conf /etc/nginx/conf.d/
# Include firewall rules vào nginx.conf
# Thêm dòng này vào block http {}:
include /etc/nginx/conf.d/7g-firewall.conf;
# Include conditional logic vào site config
# Thêm dòng này vào block server {} trong /etc/nginx/sites-enabled/example.com:
include /etc/nginx/conf.d/7g.conf;
# Test và reload
nginx -t
systemctl reload nginx
Cách khác (NGINX 1.18+):
# Đặt 7g-firewall.conf vào /etc/nginx/conf.d
# Đặt 7g.conf vào /etc/nginx/snippets
# Thêm vào block server:
include /etc/nginx/snippets/7g.conf;
Cài Đặt trên OpenLiteSpeed
OpenLiteSpeed tương thích tốt với 8G qua .htaccess:
# Tải 8G
cd /usr/local/lsws/Example/html
wget [link tải 8G]
# Thêm vào .htaccess
cat 8g-firewall.txt >> .htaccess
# Restart LiteSpeed
systemctl restart lsws
⚙️ Tùy Chỉnh Phổ Biến
Cho phép phpMyAdmin
Xóa |request khỏi dòng này:
RewriteCond %{QUERY_STRING} (globals|mosconfig([a-z_]{1,22})|request)(=|\[) [NC,OR]
Và comment dòng này:
# RewriteCond %{QUERY_STRING} (_|%5f)(r|%72|%52)... [NC,OR]
Cho phép Ahrefs bot
Thay thế dòng này:
RewriteCond %{HTTP_USER_AGENT} (ahrefs|alexibot|majestic|mj12bot|rogerbot) [NC,OR]
Thành:
RewriteCond %{HTTP_USER_AGENT} (alexibot|majestic|mj12bot|rogerbot) [NC,OR]
Cho phép s2Member plugin
Xóa globals| khỏi dòng query string và comment dòng kiểm tra globals.
🎯 Khi Nào Nên Chọn?
Chọn 7G Firewall khi:
✅ Sử dụng NGINX (tối ưu nhất)
✅ Website WordPress đơn giản, blog cá nhân
✅ Lưu lượng truy cập vừa phải (< 100K visits/tháng)
✅ Cần giải pháp ổn định, ít thay đổi
✅ VPS cấu hình thấp hoặc shared hosting
✅ Team nhỏ, không muốn cấu hình phức tạp
Chọn 8G Firewall khi:
✅ Sử dụng OpenLiteSpeed hoặc LiteSpeed Enterprise (tối ưu nhất)
✅ Website thương mại điện tử (WooCommerce, Magento)
✅ Website có API, microservices, headless CMS
✅ Lưu lượng cao (> 100K visits/tháng)
✅ Bị tấn công thường xuyên
✅ Yêu cầu bảo mật cao (finance, healthcare)
✅ Cần bảo vệ chống bot scraping nâng cao
🔧 Xử Lý Sự Cố
False Positives (Chặn nhầm)
Vấn đề: Upload file bị chặn
# Whitelist thư mục upload
<Directory "/wp-content/uploads">
# Bỏ qua một số rule ở đây
</Directory>
Vấn đề: Admin panel không hoạt động
# NGINX: whitelist admin IPs
location /wp-admin {
allow 203.0.113.1; # Your IP
deny all;
}
Kiểm Tra Firewall Hoạt Động
Test bằng cách thêm pattern bị chặn vào URL:
https://example.com/?test=<script>alert('xss')</script>
Nếu trả về 403 Forbidden → Firewall đang hoạt động ✅
🌐 Tích Hợp với Công Cụ Khác
Cloudflare + 7G/8G
- Layer 1 (Cloudflare): Chặn DDoS, bot traffic ở edge
- Layer 2 (7G/8G): Chặn application-level attacks ở origin
Fail2Ban + 7G/8G
Tự động ban IP có hành vi tấn công:
# /etc/fail2ban/jail.local
[nginx-7g]
enabled = true
filter = nginx-7g
logpath = /var/log/nginx/access.log
maxretry = 5
bantime = 3600
📊 Hosting Panel Hỗ Trợ
Một số control panel hỗ trợ bật 7G/8G từ giao diện:
- xCloud: Hỗ trợ cả 7G và 8G qua dashboard
- FlyWP: Hỗ trợ 8G Firewall từ dashboard
- DirectAdmin: Cần cài thủ công qua SSH
- cPanel/WHM: Cần cài thủ công qua SSH
✅ Kết Luận
7G và 8G đều là giải pháp xuất sắc, miễn phí và mã nguồn mở. Lựa chọn phụ thuộc vào:
- Môi trường server: NGINX → 7G tối ưu | OpenLiteSpeed → 8G tối ưu
- Mức độ bảo mật: Cơ bản → 7G | Nâng cao → 8G
- Quy mô website: Nhỏ/vừa → 7G | Lớn/enterprise → 8G
Khuyến nghị:
- Bắt đầu với 7G (dễ hơn, ít rủi ro)
- Monitor trong 1-2 tuần
- Nâng cấp lên 8G nếu cần bảo vệ tốt hơn
Tài Nguyên Chính Thức
- 7G Firewall: https://perishablepress.com/7g-firewall/
- https://perishablepress.com/7g-firewall/#download
- 8G Firewall: https://perishablepress.com/8g-firewall/
- About nG Firewall: https://perishablepress.com/ng-firewall/
- Log Blocked Requests: https://perishablepress.com/7g-firewall-log-blocked-requests/
⚠️ Lưu ý: Luôn backup và test kỹ trước khi deploy lên production. Bảo mật là một hành trình, không phải điểm đến!
Nếu bạn thấy bài viết có ích bạn có thể chia sẻ bài viết
này. Yêu cầu thêm bài viết tại đây
Đã copy
Bài viết liên quan
![[Case Study] – bị thay đổi IP VPS và Nginx không hoạt động](https://vutruso.com/wp-content/uploads/2024/03/nginx-server-480x300.png "[Case Study] – bị thay đổi IP VPS và Nginx không hoạt động")