Luật là trung tâm của CyStack WAF: chúng quyết định request nào bị chặn, được ghi nhận, cho phép hay chuyển hướng. CyStack WAF cung cấp hai lớp luật bổ trợ nhau:
- Bộ luật OWASP được quản lý — bật một công tắc để có ngay khả năng chống các tấn công web phổ biến.
- Luật tùy chỉnh — quy tắc riêng theo nhu cầu của tổ chức, bao gồm cả vá ảo do AI sinh ra từ kết quả quét.
Mọi thay đổi về luật được đồng bộ tới tất cả máy chủ biên gần như tức thì.
Bộ luật OWASP được quản lý
Mở một website rồi vào mục Chống tấn công mạng. Bật công tắc để áp dụng OWASP Core Rule Set (CRS) — bộ luật mã nguồn mở, tiêu chuẩn ngành, được duy trì để phát hiện và chặn các tấn công ứng dụng web như SQL injection, XSS, thực thi mã từ xa (RCE), path traversal, upload tệp độc hại và các công cụ dò quét.
Hai tham số điều chỉnh độ chặt của bộ luật:
Độ nhạy bảo vệ
Độ nhạy quyết định ngưỡng điểm bất thường để một request bị chặn:
| Mức | Hành vi | Khuyến nghị |
|---|
| Thấp | Chỉ chặn khi dấu hiệu tấn công rất rõ ràng. Ít cảnh báo nhầm nhất. | Ứng dụng nhạy cảm với cảnh báo nhầm. |
| Vừa (cân bằng) | Chặn tấn công rõ ràng nhưng vẫn cho lưu lượng bình thường đi qua. | Mặc định, phù hợp hầu hết website. |
| Cao | Chặn cả dấu hiệu tinh vi. Bắt được nhiều tấn công hơn nhưng dễ cảnh báo nhầm hơn. | Ứng dụng có yêu cầu bảo mật cao. |
Mức paranoia
Mức paranoia (PL1–PL4) chọn nhóm luật nào được đánh giá:
- PL1 (mặc định) — thận trọng, tối thiểu cảnh báo nhầm.
- PL2 — chặt hơn, có thể phát sinh một số cảnh báo nhầm.
- PL3–PL4 — rất chặt, bắt nhiều dấu hiệu nhất nhưng cảnh báo nhầm cao hơn.
Nên bắt đầu ở Độ nhạy: Vừa và PL1, theo dõi trang sự kiện bảo mật trong vài ngày, rồi nâng dần độ chặt nếu không thấy lưu lượng hợp lệ bị chặn nhầm. Luật tùy chỉnh
Mục Rule tùy chỉnh cho phép tạo quy tắc riêng để khớp bất kỳ đặc điểm nào của request và chọn hành động tương ứng.
Mỗi luật gồm một hoặc nhiều điều kiện (nối với nhau bằng VÀ — tất cả phải khớp) và một hành động.
Điều kiện
| Thành phần | Giá trị |
|---|
| Trường | path, uri, query, method, header, cookie, body, ip, country, asn, user_agent. |
| Toán tử | eq (bằng), ne (khác), contains (chứa), starts_with (bắt đầu bằng), ends_with (kết thúc bằng), matches (khớp biểu thức), in (thuộc danh sách). |
| Giá trị | Chuỗi hoặc danh sách giá trị. Với header/cookie có thể chỉ định tên trường cụ thể. |
path contains "/wp-login.php" hoặc path starts_with "/search" and query contains "union select".
Hành động
| Hành động | Mô tả |
|---|
| Chặn | Trả về mã trạng thái (403, 429 hoặc 503) và dừng request. |
| Ghi nhận | Cho request đi qua nhưng ghi lại sự kiện — hữu ích khi thử nghiệm luật mới. |
| Cho phép | Bỏ qua kiểm tra cho request khớp (danh sách trắng). |
| Chuyển hướng | Trả về chuyển hướng tới URL khác. Xem Kiểm soát truy cập. |
Vá ảo do AI sinh ra
Khi một lượt quét của VulnScan phát hiện lỗ hổng web có thể giảm thiểu ở tầng HTTP, lớp AI sẽ đề xuất luật vá ảo tương ứng. Luật này xuất hiện trong danh sách luật tùy chỉnh với nhãn Vá ảo và tham chiếu tới lỗ hổng gốc.
Vá ảo được thiết kế để khớp đúng dấu hiệu tấn công (ví dụ một tham số độc hại trên một đường dẫn cụ thể) chứ không chặn toàn bộ điểm truy cập, nhằm hạn chế ảnh hưởng tới lưu lượng hợp lệ. Quy trình:
- AI sinh luật từ lỗ hổng và điền sẵn điều kiện cùng hành động chặn.
- Quản trị viên rà soát điều kiện để bảo đảm luật khớp đúng dấu hiệu khai thác.
- Bật luật để máy chủ biên bắt đầu chặn.
- Theo dõi số lần khớp và sự kiện để xác nhận hiệu quả.
Vá ảo là biện pháp giảm thiểu tạm thời tại lớp biên, giúp thu hẹp khoảng thời gian rủi ro trong khi đội phát triển vá triệt để ở mã nguồn. Không nên xem vá ảo là phương án thay thế cho việc sửa lỗ hổng gốc.
Thứ tự áp dụng luật
Các luật được áp dụng theo thứ tự ưu tiên. Luật cho phép (danh sách trắng) nên đặt cho các nguồn tin cậy như mạng văn phòng để tránh bị các luật chặn bên dưới ảnh hưởng. Bộ luật OWASP được quản lý và luật tùy chỉnh hoạt động song song; một request có thể bị chặn bởi bất kỳ lớp nào khớp trước. 
