Cách thiết lập firewall cho VPS an toàn hơn
Cách thiết lập firewall cho VPS an toàn hơn dựa trên một nguyên tắc: mặc định chặn hết, chỉ mở đúng cổng cần thiết. Bắt đầu bằng chính sách deny-by-default, chỉ cho phép SSH/RDP, HTTP/HTTPS và các dịch vụ bạn thật sự dùng. Đổi cổng SSH mặc định, giới hạn truy cập quản trị theo IP tin cậy, và thêm fail2ban chống dò mật khẩu. Trên Linux dùng UFW hoặc iptables; trên Windows dùng Windows Firewall với quy tắc inbound chặt chẽ. Kết hợp firewall của hệ điều hành với firewall mạng của nhà cung cấp để có nhiều lớp. Firewall không thay thế cập nhật bảo mật và mật khẩu mạnh.
- Deny-by-default: chặn hết, chỉ mở cổng thật sự cần.
- Giới hạn SSH/RDP: chỉ cho IP tin cậy truy cập quản trị.
- Đổi cổng mặc định: giảm quét tự động và tấn công dò.
- fail2ban: tự chặn IP dò mật khẩu nhiều lần.
- Nhiều lớp: firewall OS + firewall mạng nhà cung cấp.
- Không đủ một mình: cần thêm cập nhật và mật khẩu mạnh.
Một VPS mới thuê thường mở khá nhiều cổng và chấp nhận kết nối từ khắp nơi. Chỉ vài phút sau khi lên mạng, nó đã bị các bot tự động quét và thử đăng nhập. Đây là thực tế của mọi máy chủ công khai.
Firewall là tuyến phòng thủ đầu tiên, quyết định ai được kết nối đến máy của bạn và qua cổng nào. Cấu hình đúng, nó chặn phần lớn tấn công tự động ngay từ cửa. Cấu hình sai hoặc bỏ qua, VPS của bạn thành mục tiêu dễ.

Firewall là gì và bảo vệ VPS thế nào?
Firewall là bộ lọc kiểm soát lưu lượng mạng ra vào máy chủ dựa trên các quy tắc bạn đặt. Nó quyết định cho phép hay chặn kết nối theo cổng, giao thức, và địa chỉ IP nguồn. Đây là hàng rào giữa VPS và internet.
Mỗi dịch vụ trên VPS lắng nghe ở một cổng: SSH ở 22, HTTP ở 80, HTTPS ở 443, RDP ở 3389. Firewall kiểm soát cổng nào mở ra ngoài. Cổng không cần thiết mà vẫn mở là cửa cho kẻ tấn công dò tìm.
Mục tiêu của cách thiết lập firewall cho VPS an toàn hơn là thu hẹp bề mặt tấn công: càng ít cổng mở và càng ít nguồn được phép kết nối, càng ít điểm để kẻ xấu khai thác. Đơn giản nhưng cực kỳ hiệu quả.

Nguyên tắc deny-by-default
Nguyên tắc nền tảng của mọi firewall tốt là chặn tất cả trước, rồi chỉ mở những gì thật sự cần. Cách tiếp cận này gọi là deny-by-default hay whitelist – ngược với việc mở hết rồi chặn từng thứ nguy hiểm.
Vì sao quan trọng: nếu bạn mở mặc định rồi chặn, luôn có nguy cơ quên một cổng nguy hiểm. Với deny-by-default, mọi thứ an toàn từ đầu, và bạn chủ động cân nhắc mỗi khi mở thêm. Sai sót nghiêng về phía an toàn.
Áp dụng thực tế: đặt policy mặc định cho luồng vào (inbound) là DROP hoặc DENY, luồng ra (outbound) thường cho phép. Sau đó thêm quy tắc cho phép đúng các cổng dịch vụ bạn chạy. Đây là xương sống của cấu hình firewall an toàn.

Những cổng nào nên mở và nên đóng?
Chỉ mở cổng cho dịch vụ đang thực sự chạy và cần truy cập từ ngoài. Mọi cổng khác nên đóng. Đây là quyết định quan trọng nhất khi cấu hình, vì cổng thừa là rủi ro thừa.
| Cổng | Dịch vụ | Khuyến nghị |
|---|---|---|
| 22 (SSH) | Quản trị Linux | Mở nhưng giới hạn IP, nên đổi cổng |
| 3389 (RDP) | Quản trị Windows | Giới hạn IP, không mở công khai |
| 80 / 443 | Web HTTP/HTTPS | Mở nếu chạy web |
| 3306 (MySQL) | Database | Không mở ra ngoài, chỉ localhost |
| 21 (FTP) | Truyền file | Tránh dùng, ưu tiên SFTP |
| Cổng khác | Không dùng | Đóng hết |
Database như MySQL hay Redis đặc biệt nguy hiểm nếu mở ra internet. Chúng nên chỉ nghe ở localhost hoặc mạng nội bộ, không bao giờ phơi ra công khai. Nhiều vụ rò rỉ dữ liệu đến từ database mở cổng ra ngoài không mật khẩu.
Bảo vệ cổng quản trị SSH và RDP
SSH (Linux) và RDP (Windows) là cổng quản trị – nếu bị chiếm, kẻ tấn công kiểm soát toàn bộ máy. Đây là mục tiêu số một của các bot dò mật khẩu, nên cần bảo vệ đặc biệt kỹ.
Biện pháp mạnh nhất là giới hạn truy cập theo IP: chỉ cho phép IP nhà bạn hoặc VPN công ty kết nối đến cổng quản trị. Bot từ IP lạ bị chặn ngay ở firewall, không kịp thử mật khẩu. Đây là lớp bảo vệ đơn giản mà cực hiệu quả.
Nếu IP của bạn thay đổi thường xuyên, cân nhắc đổi cổng mặc định (SSH từ 22 sang cổng cao) để giảm quét tự động, và dùng xác thực bằng SSH key thay mật khẩu. Với RDP, không bao giờ mở 3389 công khai không giới hạn.
Thiết lập firewall trên Linux với UFW
Trên Linux, UFW (Uncomplicated Firewall) là công cụ đơn giản để quản lý iptables. Nó phù hợp cho hầu hết VPS mà không cần cú pháp iptables phức tạp. Vài lệnh cơ bản đã dựng được firewall chặt chẽ.
Quy trình cơ bản: đặt mặc định chặn inbound, cho phép outbound; cho phép SSH trước khi bật để không tự khóa mình; cho phép các cổng dịch vụ cần thiết; rồi bật firewall. Luôn cho phép SSH trước khi enable là quy tắc sống còn.
Ví dụ tuần tự: ufw default deny incoming, ufw default allow outgoing, ufw allow 22/tcp, ufw allow 80,443/tcp, cuối cùng ufw enable. Với iptables trực tiếp, nguyên tắc giống nhau nhưng cú pháp chi tiết hơn và cần lưu quy tắc để tồn tại sau reboot.
Thiết lập firewall trên Windows VPS
Windows có sẵn Windows Defender Firewall với cấu hình quy tắc inbound và outbound mạnh mẽ. Nguyên tắc giống Linux: chặn inbound mặc định, chỉ mở quy tắc cho dịch vụ cần thiết, và giới hạn RDP theo IP nguồn.
Trong Windows Firewall with Advanced Security, tạo Inbound Rules cho phép đúng cổng ứng dụng, và chỉnh quy tắc RDP để giới hạn Scope theo dải IP tin cậy. Xóa hoặc tắt các quy tắc mở sẵn không cần thiết để thu hẹp bề mặt.
Với VPS Windows chạy anti-detect hay automation, thường chỉ cần RDP giới hạn IP và các cổng ứng dụng cụ thể. Không mở thêm cổng nếu không có lý do rõ ràng. Kiểm tra định kỳ danh sách quy tắc để tránh tích tụ cổng mở qua thời gian.
Chống brute-force với fail2ban
Ngay cả khi giới hạn IP, đôi khi bạn cần mở SSH rộng hơn. Lúc đó fail2ban là lớp bảo vệ thiết yếu: nó theo dõi log đăng nhập và tự chặn IP thử sai mật khẩu quá nhiều lần trong thời gian ngắn.
Cơ chế đơn giản mà hiệu quả: cấu hình số lần thử tối đa (ví dụ 5 lần), thời gian ban (ví dụ 1 giờ hoặc lâu hơn), và fail2ban tự thêm IP vi phạm vào firewall. Bot dò mật khẩu bị chặn trước khi kịp thử hàng nghìn lần.
Trong cách thiết lập firewall cho VPS an toàn hơn, fail2ban bổ sung cho firewall tĩnh bằng khả năng phản ứng động với hành vi tấn công. Kết hợp giới hạn IP, đổi cổng và fail2ban, cổng SSH của bạn trở nên rất khó công phá.
Firewall nhiều lớp: OS và nhà cung cấp
Firewall của hệ điều hành không phải lớp duy nhất. Nhiều nhà cung cấp cung cấp firewall mạng ở tầng hạ tầng, lọc lưu lượng trước khi nó đến VPS. Dùng cả hai tạo phòng thủ nhiều tầng vững chắc hơn.
Firewall mạng nhà cung cấp có lợi thế: nó chặn lưu lượng độc hại trước khi tiêu tốn tài nguyên VPS, và tiếp tục bảo vệ ngay cả khi firewall trong máy bị vô hiệu do lỗi cấu hình. Đây là lớp an toàn dự phòng quan trọng.
Phòng thủ nhiều lớp là thực hành cơ bản – không dựa vào một cơ chế duy nhất mà kết hợp nhiều rào chắn để giảm rủi ro tổng thể.
Firewall không thay thế được điều gì?
Firewall quan trọng nhưng không phải giải pháp toàn năng. Hiểu giới hạn của nó giúp bạn không chủ quan và bổ sung các lớp bảo mật khác cần thiết cho một VPS thực sự an toàn.
- Cập nhật bảo mật: firewall không vá lỗ hổng phần mềm – cần update thường xuyên.
- Mật khẩu mạnh: cổng mở hợp lệ vẫn bị chiếm nếu mật khẩu yếu.
- SSH key: xác thực bằng key an toàn hơn mật khẩu nhiều.
- Sao lưu: firewall không cứu dữ liệu khi máy đã bị xâm nhập.
- Giám sát: cần theo dõi log để phát hiện bất thường sớm.
Firewall là một lớp trong chiến lược phòng thủ nhiều tầng. Kết hợp với cập nhật kịp thời, xác thực mạnh, nguyên tắc quyền tối thiểu và giám sát, nó phát huy tối đa. Đơn độc, nó chỉ chặn được một phần các mối đe dọa.
Cấu hình cho các loại VPS khác nhau
Quy tắc firewall nên phản ánh vai trò của VPS. Máy web, máy database, máy automation và máy quản trị có nhu cầu cổng khác nhau. Cấu hình đúng theo vai trò giúp vừa an toàn vừa không cản trở công việc.
| Loại VPS | Cổng mở chính | Lưu ý |
|---|---|---|
| Web server | 80, 443, SSH giới hạn | DB chỉ localhost |
| Database | SSH giới hạn | DB chỉ mạng nội bộ |
| Automation/bot | SSH/RDP giới hạn | Outbound theo nhu cầu |
| MMO Windows | RDP giới hạn IP | Không mở cổng thừa |
VPS automation và MMO thường không cần mở cổng inbound nào ngoài quản trị, vì chúng chủ động kết nối ra ngoài chứ không nhận kết nối vào. Đây là trường hợp lý tưởng để khóa chặt inbound gần như hoàn toàn.
Framework 6 bước thiết lập firewall an toàn
- Liệt kê dịch vụ: xác định chính xác dịch vụ nào cần truy cập từ ngoài.
- Đặt deny-by-default: chặn toàn bộ inbound, cho phép outbound.
- Mở đúng cổng: chỉ cho phép cổng dịch vụ thật sự cần.
- Bảo vệ quản trị: giới hạn SSH/RDP theo IP, đổi cổng, dùng key.
- Thêm fail2ban: tự chặn IP dò mật khẩu.
- Bật lớp nhà cung cấp: kết hợp firewall mạng và giám sát log.
Luôn kiểm tra kết nối quản trị vẫn hoạt động trước khi đóng phiên – nhiều người tự khóa mình khỏi VPS vì bật firewall mà quên cho phép SSH.
Dyvi Cloud và firewall cho VPS
Dyvi Cloud cung cấp VPS tại Việt Nam và Singapore phù hợp cho web, automation và MMO, với khả năng cấu hình firewall theo nhu cầu. Kết hợp firewall của hệ điều hành với các lớp bảo vệ mạng giúp máy an toàn hơn trước tấn công tự động.
Khi dựng VPS mới trên bất kỳ nhà cung cấp nào, việc đầu tiên nên làm là cấu hình firewall theo deny-by-default trước khi cài dịch vụ. Đừng để máy chạy công khai với cấu hình mặc định lỏng lẻo dù chỉ vài giờ.
Với hệ thống nhiều VPS, chuẩn hóa bộ quy tắc firewall thành script để áp dụng nhất quán cho mọi máy. Điều này vừa tiết kiệm thời gian vừa tránh sai sót cấu hình – yếu tố quan trọng khi bạn quản lý nhiều máy cùng lúc.
Sai lầm phổ biến khi cấu hình firewall VPS
- Để cấu hình mặc định lỏng lẻo – mở nhiều cổng không cần thiết.
- Mở database ra internet – nguồn rò rỉ dữ liệu nghiêm trọng.
- Không giới hạn IP cho SSH/RDP – mời gọi bot dò mật khẩu.
- Bật firewall mà quên cho phép SSH – tự khóa mình khỏi máy.
- Dựa hoàn toàn vào firewall – bỏ qua cập nhật và mật khẩu mạnh.
- Không giám sát log – không biết đang bị tấn công.
Câu hỏi thường gặp
VPS mới có cần cấu hình firewall ngay không?
Có, ngay lập tức. VPS công khai bị bot quét chỉ vài phút sau khi lên mạng. Cấu hình firewall deny-by-default trước khi cài dịch vụ là việc đầu tiên nên làm để giảm rủi ro.
Nên dùng UFW hay iptables?
UFW đơn giản, phù hợp hầu hết nhu cầu và dễ tránh sai sót. iptables mạnh và linh hoạt hơn nhưng cú pháp phức tạp. Người mới nên bắt đầu với UFW, chuyển iptables khi cần quy tắc nâng cao.
Đổi cổng SSH có thực sự tăng bảo mật không?
Nó giảm đáng kể lượng quét tự động nhắm vào cổng 22, nhưng không phải bảo mật thật sự một mình. Kết hợp với giới hạn IP, SSH key và fail2ban mới tạo bảo vệ mạnh.
fail2ban có cần thiết nếu đã giới hạn IP?
Nếu đã giới hạn SSH theo IP tin cậy thì rủi ro thấp hơn nhiều. Nhưng khi cần mở rộng truy cập hoặc IP thay đổi, fail2ban là lớp bổ sung quan trọng chống dò mật khẩu.
Firewall có làm chậm VPS không?
Với quy tắc thông thường, tác động hiệu năng không đáng kể. Firewall lọc gói rất nhanh. Chỉ khi có hàng nghìn quy tắc phức tạp mới cần cân nhắc, điều hiếm gặp với VPS cá nhân.
Dyvi Cloud có hỗ trợ firewall không?
Nhiều nhà cung cấp gồm Dyvi Cloud cho phép cấu hình firewall theo nhu cầu. Kiểm tra tài liệu về firewall mạng và kết hợp với firewall hệ điều hành để có phòng thủ nhiều lớp cho VPS.
Kết luận
Cách thiết lập firewall cho VPS an toàn hơn xoay quanh nguyên tắc deny-by-default: chặn hết, chỉ mở đúng cổng cần thiết. Bảo vệ cổng quản trị SSH và RDP bằng giới hạn IP, đổi cổng mặc định và SSH key; thêm fail2ban để tự chặn dò mật khẩu; và giữ database không bao giờ phơi ra internet. Trên Linux dùng UFW cho đơn giản, Windows dùng Windows Firewall với quy tắc inbound chặt.
Sức mạnh thật đến từ phòng thủ nhiều lớp: kết hợp firewall của hệ điều hành với firewall mạng của nhà cung cấp, để một lớp lỗi vẫn còn lớp khác. Nhưng đừng quên firewall không thay thế cập nhật bảo mật, mật khẩu mạnh và giám sát – nó là một mắt xích, không phải toàn bộ.
Cấu hình firewall ngay khi dựng VPS, trước khi cài dịch vụ, và chuẩn hóa quy tắc thành script nếu quản lý nhiều máy. Dyvi Cloud và các nhà cung cấp uy tín cung cấp nền tảng có firewall, nhưng chính cách bạn cấu hình và duy trì các lớp bảo vệ mới quyết định VPS thực sự an toàn đến đâu.

