Ngoài việc chặn tấn công theo nội dung request, CyStack WAF còn cho phép kiểm soát ai được truy cập, với tần suất bao nhiêu và điều hướng lưu lượng. Ba nhóm công cụ này giúp giảm tải tấn công tự động, bảo vệ điểm truy cập nhạy cảm và quản lý đường đi của người dùng.
Chặn theo IP, quốc gia và ASN
Mục Chặn IP & quốc gia cho phép cho phép hoặc chặn lưu lượng theo nguồn gốc, không cần xây dựng điều kiện phức tạp.
Mỗi mục gồm:
| Thành phần | Giá trị |
|---|
| Loại | Địa chỉ IP/dải (CIDR), Quốc gia (mã ISO), hoặc Mạng (ASN). |
| Giá trị | Danh sách IP/CIDR, danh sách mã quốc gia, hoặc số hiệu AS. |
| Hành động | Chặn (danh sách đen) hoặc Cho phép (danh sách trắng). |
| Mô tả | Nhãn tùy chọn để dễ quản lý. |
Dùng luật Cho phép cho mạng văn phòng hoặc dải IP nội bộ tin cậy, và Chặn cho các quốc gia/ASN có rủi ro cao mà tổ chức không phục vụ. Mỗi mục hiển thị số lần khớp trong 24 giờ để đánh giá tác động.
Giới hạn tần suất
Mục Giới hạn tần suất hạn chế số request mà một client có thể gửi trong một khoảng thời gian, giúp chống brute-force đăng nhập, lạm dụng API và dò quét tự động.
Mỗi luật cấu hình:
| Thành phần | Mô tả |
|---|
| Tên | Mô tả mục đích của luật. |
| Áp dụng cho đường dẫn | Tùy chọn — chỉ giới hạn request khớp tiền tố đường dẫn này (ví dụ /login). |
| Đếm theo | Địa chỉ IP (mọi đường dẫn của cùng IP) hoặc IP + đường dẫn URL (mỗi cặp IP–đường dẫn đếm riêng). |
| Ngưỡng | Số request tối đa trong một khoảng thời gian, ví dụ 10 request / 60 giây. |
| Hành động | Khi vượt ngưỡng, trả về HTTP 429 (Too Many Requests). |
10 request / 60s theo IP cho đường dẫn /login; luật giới hạn API cho phép 600 request / 60s theo cặp IP + đường dẫn.
Chuyển hướng
Mục Chuyển hướng trả về phản hồi chuyển hướng cho các request khớp điều kiện — hữu ích khi di chuyển đường dẫn cũ, hợp nhất tên miền hoặc ép truy cập theo đường dẫn chuẩn.
Mỗi luật gồm:
| Thành phần | Mô tả |
|---|
| Tên | Mô tả mục đích chuyển hướng. |
| Điều kiện khớp | Bộ điều kiện đầy đủ như luật tùy chỉnh (theo path, query, header…). |
| Chuyển hướng tới | URL đích, tuyệt đối hoặc tương đối. Có tùy chọn giữ nguyên query string. |
| Mã trạng thái | 301 (vĩnh viễn), 302 (tạm thời), 307 hoặc 308 theo chuẩn HTTP. |
Chuyển hướng được xử lý ngay tại lớp biên trước khi request tới origin, nên có hiệu lực kể cả khi ứng dụng gốc chưa được cập nhật.
Phối hợp với luật bảo vệ
Các công cụ trên hoạt động cùng bộ luật OWASP và luật tùy chỉnh. Trong trang giám sát, mỗi sự kiện bị chặn đều cho biết nó bị chặn bởi nhóm nào — bộ luật quản lý, luật tùy chỉnh, giới hạn tần suất hay kiểm soát truy cập — giúp đối chiếu và tinh chỉnh chính xác. 
