Bảo mật cùng Cloudflare và Incapsula

Bảo mật cùng Cloudflare và Incapsula

Tại sao mình đã chọn sử dụng Cloudflare (phần cài đặt xem tại đây)

Nhân tiện cho những bạn nào chưa biết về dịch vụ này thì mình cũng xin liệt kê vài lý do mà mình sử dụng Cloudflare để cho bạn biết bản chất dịch vụ này là thế nào. Một số lý do quan trọng để mình dùng Cloudflare là:
  • Hỗ trợ ẩn IP thật của máy chủ gốc vì nhiều lý do bảo mật.
  • Hỗ trợ tăng tốc website tuyệt đối với tính năng lưu cache các file tĩnh.
  • Tăng tốc thêm bội phần nhờ tính năng CDN được tích hợp vào nó.
  • Theo dõi và phân loại những lượt truy cập đi vào để biết có bao nhiêu con bot đã vào blog mình.
  • [Update] Hỗ trợ SSL hoàn toàn miễn phí.
Chỉ vậy thôi, ngoài ra Cloudflare còn hỗ trợ chống DDOS khá tốt nhưng do blog mình chưa bị DDOS nên chưa có dịp trải nghiệm.
Thật sự khách quan mà nói, Cloudflare hỗ trợ tăng tốc website khá là tốt và hệ thống DNS của nó cũng cập nhật rất nhanh nên nếu lỗi đáng tiếc kia không xảy ra thì mình sẽ còn phụ thuộc vào nó dài dài.

Cloudflare lỗi, chọn ai để thay thế?

Như tiêu đề mình đã nói rõ, đó chính là dịch vụ tương tự có tên Incapsula mà mình đã có dịp biết cách đây gần tròn 1 năm nhưng mãi đến tận bây giờ mới thật sự sử dụng chính thức.

Giới thiệu Incapsula

Incapsula là một dịch vụ hỗ trợ bạn bảo mật website toàn diện bằng việc thiết lập tường lửa thông minh tự nhận diện các hình thức tấn công để phòng chống như DDoS, SQL Injection, XSS, Spam Bot và khai thác lỗi trên website. Ngoài ra, Incapsula còn hỗ trợ một tính năng mới khá hay để bảo mật nữa đó là yêu cầu chứng thực tài khoản qua email, tin nhắn vào một thư mục nào đó khi có người lạ truy cập vào, tương tự như tính năng bảo mật 2 lớp của Gmail.
Dĩ nhiên, các dịch vụ này luôn không bao giờ thiếu các tính năng hỗ trợ việc tăng tốc và tối ưu hóa websitenhờ việc nén cache để lưu trực tiếp trên máy chủ Incapsula và cho phép sử dụng CDN để dù khách truy cập ở bất cứ nơi nào trên thế giới cũng đều đạt được tốc độ tốt nhất.
Hiện tại, Incapsula có hỗ trợ gói miễn phí mà với gói này bạn có thể sử dụng tính năng Login Protected và được sử dụng CDN, bảo mật cơ bản. Còn nếu bạn muốn sử dụng tính năng lưu cache của nó thì bạn cần phải trả ít nhất là $19/tháng, còn nếu muốn dùng tường lửa để chặn SQL Injection, XSS,…thì phải trả phí là $59/tháng và $299/tháng nếu bạn cần tính năng chống DDoS.

Nhược điểm của Incapsula

  • Không hỗ trợ cache cho tài khoản miễn phí.
  • Ít addon hơn Cloudflare.
  • Không hỗ trợ tính năng quản lý DNS động như Cloudflare.
  • Không hỗ trợ tính năng Development Mode, mỗi lần chỉnh giao diện bạn phải Purge Cache một cái.
  • Thời gian thêm website hơi lâu vì phải đợi nó quét DNS của tên miền, tầm 3 giờ.

Hướng dẫn sử dụng Incapsula

Khác với Cloudflare là bạn cần đổi DNS của domain, với Incapsula nó sẽ cần bạn sửa record A và CNAME của domain cần sử dụng. Thường là mỗi nhà cung cấp domain hoặc host đều hỗ trợ bạn sửa các record này, hoặc nếu bạn chưa biết thì có thể sử dụng dịch vụ DNS trung gian như cpanel.com.vn hay vdns.vn để có thể sửa các record trong domain.
Do nhiều người mua tên miền ở Godaddy nên trong bài này mình sẽ hướng dẫn sử với tên miền Godaddy nhé.
Đầu tiên bạn vào trang quản lý domain ở Godaddy và chuyển DNS của domain về dạng standard, tức là dùng Nameserver của Godaddy.
Bây giờ hãy đăng ký tài khoản Incapsula miễn phí và kích hoạt tài khoản, sau đó vào https://my.incapsula.com/admin/login đăng nhập vào nhé.
Ngay tại Dashboard có chỗ để bạn thêm website vào, hãy nhập tên miền website của bạn (không có http:// và www) vào đó rồi ấn nút Add Website nhé. Sau khi add nó sẽ kiểm tra và lấy các thông tin của domain bạn về để đối chứng.
huong-dan-incapsula-3
Cứ thế mà ấn Continue nhé. Lúc này nó sẽ đưa bạn tới bước quan trọng nhất, đó là đổi IP trỏ về của host và tạo thêm CNAME cho nó.
huong-dan-incapsula-4
Cập nhật DNS cho tên miền để sủ dụng Incapsula
Như ảnh trên, bạn thấy là nó kêu bạn:
  • Tạo một record A với tên là domain-cua-ban.com và giá trị là IP 199.83.129.108.
  • Tạo một thẻ A với tên là domain-cua.ban.com và giá trị là 199.83.131.220
  • Tạo một thẻ CNAME với tên là www và giá trị là i4tj6.x.incapdns.net
Hãy lưu ý rằng đối với 2 IP nó cung cấp, có thể không ai giống ai nên bạn nhớ đọc kỹ khi làm nhé.
Bây giờ chui vào lại Godaddy, vào trang quản lý domain của bạn và chọn DNS Zone File.
huong-dan-incapsula-5
Sửa DNS của tên miền tại Godaddy.
Tiếp tục ấn vào Edit trong đó.
huong-dan-incapsula-6
Sau đó các bạn sửa lại DNS giống như thế này.
huong-dan-incapsula-7
Sửa DNS Zone cho Incapsula
Sau khi sửa và lưu lại xong hết. Hãy quay lại trang của Incapsula và ấn vào nút I completed the DNS changesđể hoàn tất. Bây giờ bạn hãy cho nó thời gian để cập nhật domain là xong.
huong-dan-incapsula-9
Incapsula sẽ đợi để cập nhật sự thay đổi DNS ở domain
Khi nó cập nhật xong sẽ có mail gửi qua email của bạn để thông báo nên cứ yên tâm nhé. Sau khi nó cập nhật xong thì bạn mới có thể sử dụng các tính năng bên trong nó.
Cuối cùng, bạn nhấp vào website của bạn ở Dashboard, chuyển qua mục Setting -> General và điền đúng IP của host bạn đang dùng vào. Vì nếu mặc định, nó sẽ lấy IP của nhà cung cấp DNS trung gian (nếu bạn có dùng) nên sẽ không truy cập vào website được.
huong-dan-incapsula-10

Hướng dẫn sử dụng Login Protected

Tính năng này chính là tính năng bảo vệ thư mục/tập tin mà mình đã nhắc ở trên. Để cài đặt, hãy click vào website của bạn ngay tại Dashboard, sau đó vào phần Settings và chọn Login Protected.
huong-dan-incapsula-11
Sau đó bạn ấn vào nút Enable phía trên để kích hoạt. Tiếp đến là kéo xuống dưới ngay phần Authorized Users và ấn nút Add User.
huong-dan-incapsula-12
Thêm user vào Login Protected
Sở dĩ bạn cần Add User là do tính năng này sẽ không lấy tài khoản Incapsula của bạn mà chỉ hoạt động với tài khoản tự thêm riêng cho tính năng này để bảo mật.
Sau khi ấn vào Add User, nó sẽ xuất hiện ra một cửa sổ popup để gửi mail, bạn nhập email cần tạo user vào dòng To và sau đó ấn Send.
huong-dan-incapsula-13
Thêm user vào Login Protected
Rồi vào hộp thư của bạn để kích hoạt user.
huong-dan-incapsula-14
Kích hoạt tạo User
Rồi nhập tên và nhấn I’m Done. Nếu bạn muốn sử dụng tính năng Google Authenticator thì hãy dùng app đọc QRCode quét cái mã QRCode bên dưới để lấy mã số kích hoạt, không thì bỏ trống cũng được.
huong-dan-incapsula-15
Kích hoạt User sử dụng Login Protected
Bây giờ quay lại phần Login Protected trong Settings, tìm tới phần Authorized Users và chọn Select authorized user from list và đánh dấu vào user mà bạn vừa mới tạo.
huong-dan-incapsula-16
Chọn User sử dụng Login Protected
Tiếp đó bạn kéo lên trên, tìm phần Protected Pages và ấn Add Page để thêm tập tin/thư mục cần bảo vệ. Ví dụ mình muốn bảo vệ thư mục wp-admin thì mình điền như sau:
huong-dan-incapsula-17
Sau đó bạn ấn nút Save bên trên và đợi khoảng 5 phút sẽ bắt đầu có hiệu lực.
Lúc này khi bạn truy cập lần đầu tiên vào thư mục đã được bảo vệ thì nó sẽ đòi bạn nhập email và mã số bí mật, bạn cứ điền email vào nhưng sau đó hãy click vào nút E-Mail Me để nó gửi mã bí mật qua email.
sua-ip-incapsula
Nhận mã kích hoạt qua email
Sau đó bạn vào mail và lấy mã kích hoạt rồi điền vào đó, ấn Submit là xong.

Lời kết

Như vậy bạn có thể thấy tuy rằng Incapsula có vẻ không được nhiều tính năng như Cloudflare do mới ra đời nhưng về sự ổn định thì mình thấy nó có vẻ rất tốt, ít nhất là mình không còn thấy xuất hiện lỗi DNS, không bị mất traffic sau hơn một tuần sử dụng nữa. Ngoài ra nó cũng hỗ trợ thêm tính năng bảo mật thư mục/tập tin rất an toàn và bước này có thể làm chùn lòng bất cứ bạn hacker nào nếu có ý định oanh tặc website của bạn.