Top 6 # Giải Pháp Bảo Mật Thông Tin Trong Mạng Lan Xem Nhiều Nhất, Mới Nhất 1/2023 # Top Trend | Theindochinaproject.com

Bảo Mật Trong Hệ Thống Mạng Lan

Với nhu cầu trao đổi thông tin ngày càng cao hiện nay, các cơ quan, tổ chức cần thiết phải kết nối với mạng Internet. Ngoài tốc độ thì an toàn và bảo mật thông tin là một trong những vấn đề quan trọng hàng đầu với hệ thống mạng của các cơ quan, doanh nghiệp, tổ chức. Tính năng bảo mật mạng LAN cần được doanh nghiệp chú trọng.

Một số quy tắc bảo mật máy tính và hệ thống mạng LAN

– Sao lưu dữ liệu quan trọng. – Đặt mật khẩu – Cài và cập nhật đều đặn phần mềm diệt virus. – Gỡ bỏ file, chương trình và dịch vụ không cần thiết. – Cập nhật hệ điều hành. – Cài tường lửa và cấu hình chuẩn. – Đóng các cổng truy cập không cần thiết.

– Thiết lập các quy định cho GPO. – Dùng phần mềm lọc nội dung cho HTTP, FTP và SMTP.BIOS. – Dùng phần mềm chống thư rác.

Mô hình mạng bảo mật cho hệ thống mạng Lan

Một mô hình mạng được bảo mật cao là điều cần thiết cho mỗi tổ chức để phân biệt rõ ràng giữa các vùng mạng theo chức năng và thiết lập các chính sách an toàn thông tin riêng cho từng vùng mạng theo yêu cầu thực tế. Mô hình mạng bảo mật gồm các thành phần, các vùng khác nhau, các thành phần trong mô hình mạng.

– Vùng mạng nội bộ (Local area network – LAN)

Các thiết bị mạng, máy trạm và máy chủ thuộc mạng nội bộ của đơn vị được đặt trong vùng mạng này.

Vùng DMZ là một vùng mạng trung lập giữa mạng nội bộ và mạng Internet. Đây là nơi chứa các dữ liệu cho phép người dùng từ Internet truy xuất vào. Người dùng cần chấp nhận các rủi ro tấn công từ Internet khi truy cập vào DMZ. Các dịch vụ thường được triển khai trong vùng DMZ là: máy chủ Web, Mail, DNS, FTP,…

Các máy chủ không trực tiếp (bao gồm Database Server, LDAP Server,…) cung cấp dịch vụ cho mạng Internet sẽ được đặt tại Server Farm.

Đây là vùng kết nối với mạng Internet toàn cầu.

Các tiêu chí khi thiết kế mô hình mạng bảo mật

– Các máy chủ web, mail… cung cấp dịch vụ ra mạng Internet nên được đặt trong vùng DMZ. Vùng DMZ giúp bảo vệ các máy chủ khỏi các tấn công – Các máy chủ ứng dụng, database server, máy chủ xác thực… dành cho mạng nội bộ nên được đặt trong vùng mạng server network. Các máy chủ cần được bảo vệ khỏi các tấn công từ Internet và mạng nội bộ hoặc mất quyền kiểm soát. Lưu ý: Trong DMZ không đặt web server, mail server hoặc các máy chủ chỉ cung cấp dịch vụ cho nội bộ.mạng nội bộ. Ngoài ra, bạn có thể chia nhỏ vùng server network để nâng cao tính bảo mật với các hệ thống bao gồm nhiều cụm máy chủ khác nhau hoặc thông tin yêu cầu mức bảo mật cao. – Triển khai hệ thống phòng thủ tường lửa (firewall) và thiết bị phát hiện/phòng chống xâm nhập (IDS/IPS) để bảo vệ hệ thống, chống tấn công và xâm nhập trái phép. – Trước khi kết nối đến ISP, bạn nên đặt một Router ngoài cùng nhằm lọc các lưu lượng và các gói tin không mong muốn.

Vùng mạng Internet, Local và DMZ được thiết kế tách biệt nhau. Người dùng có thể để firewall đặt giữa các vùng mạng. Tường lửa này có nhiệm vụ kiểm soát luồng dữ liệu giữa các vùng mạng với nhau và bảo vệ các vùng mạng khỏi các tấn công.

Các Giải Pháp Bảo Mật Mạng Wlan (Wireless Lan)

02.02.2012 – Le Sanh

1.Các giải pháp bảo mật WLAN

1.1.1. WEP

Wep (Wired Equivalen Privacy) có nghĩa là bảo mật không dây tương đương với có dây. Thực ra, WEP đã đưa cả xác thực người dùng và đảm bảo an toàn dữ liệu vào cùng một phương thức không an toàn. WEP sử dụng một khó mã hóa không thay đổi có đọ dài 64 bit hoặc 128 bit, (nhưng trừ đi 24 bit sử dụng cho vector khởi tạo khóa mã hóa, nên độ dài khóa chỉ còn 40 bit hoặc 104 bit) được sử dụng để xác thực các thiết bị được phép truy cập vào trong mạng và cũng được sử dụng để mã hóa truyền dữ liệu.

Rất đơn giản, các khóa mã hóa này dể dàng được “bẻ gãy” bởi thuật toán brute-force và kiểu tấn công thử lỗi (tria-and-error). Các phần mềm miễn phí như Aircrack-ng, Airsnort, hoặc WEP crack sẽ cho phép hacker có thể phá vỡ khóa mã hóa nếu họ thu thập từ 5 đén 10 triệu gói tin trên một mạng không dây. Với những khóa mã hóa 128 bit cũng không khá hơn: 24 bit cho khởi tạo mã hóa nên chỉ có 104 bit được sử dụng,để mã hoá và cách thức cũng giống như mã hóa có độ dài 64 bit nên mã hoaí 128 bit cũng dẽ dàng bi bẻ khóa. Ngoài ra, những điểm yếu trong những vector khởi tạo khóa mã hoá giúp cho hacker có thể tìm ra mật khẩu nhanh hơn với ít gói thông tin hơn rất nhiều.

Không dự đoán được những lỗi trong khóa mã hóa. WEP có thể được tao ra cách bảo mật mạnh mẽ hơn nếu sử dụng một giao thức xác thực mà cung cấp mỗi khóa mã hóa mới cho mỗi phiên làm việc. Khóa mã hóa sẽ thay đổi trên mỗi phiên làm việc. Điều này sẽ gây khó khăn hơn cho hacker thu thập đủ các gói dự liệu cần thiết để có thể bẽ gãy khóa bảo mật.

1.1.2. WLAN VPN

Mạng riêng VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh che chắng dữ liệu khỏi các truy cập trái phép. VPN tạo ra một tin cậy cao thông qua việt sử dụng một cơ chế bảo mật như Ipsec ( internet Protocol Security). IPSec để mã hóa dữ liệu và dùng các thuật toán khác để các thực gói dữ liệu Ipsec cũng sử dụng thẻ xác nhận số để xác nhận khóa mã (public key). Khi được sử dụng trên mạng WLAN, công kết của VPN đảm nhận việt xác thực, đóng gói và mã hóa

Hình 2‑5 Mô hình WLAN VPN

1.1.3. TKIP (Temporal Key Integrity Protocol)

Là giải pháp của IEEE được phát triển năm 2004. Là một nâng cấp cho WEP nhằm vào những vấn đề bảo mật trong cài đặt mã dòng RC4 trong WEP. TKIP dùng hàm băm (hashing) IV để chống lại việc MIC (message integity check) để đảm bảo tính chính xác của gói tin TKIP và sử dụng khóa động bằng cách đặt cho mỗi frame một chuỗi chống lại dạng tấn công giả mạo.

1.1.4. AES

Trong mật mã học AES (viết tắt của từ tiếng Anh: Advanced Encryption Stadar, hay Tiêu chuẩn mã hóa tiên tiến) là một thuật toán mã hóa khối được chính phủ Hoa kỳ áp dụng làm tiêu chuẩn mã hóa. Giống như tiêu chuẩn tiền nhiệm DES, AES được kì vọng áp dụng trên phạm vi thế giới và đã được nghiên cứu rất kỹ lưỡng. AES được chấp nhận làm tiêu chuẩn liên bang bởi viện tiêu chuẩn và công nghệ quốc gia Hoa kỳ (NIST) sau một quá trình tiêu chuẩn hóa kéo dài 5 năm.

Thuật toán được thiết kế bởi 2 nhà mật mã học người Bỉ: Joan Daemen và Vincent Rijmen (lấy tên chung là Rijndael khi tham gia cuộc thi thiết kế AES).

Rijdael được phát âm là “Rhine dahl” (theo phiên âm quốc tế ).

1.1.5. 802.1X và EAP

802.1x là chuẩn đặc tả cho việc truy cập dựa trên cổng (port-based) được định nghĩa bởi IEEE. Hoạt động trên cả môi trường có dây truyền thống và không dây. Việc điều khiển truy cập được thực hiện bằng cách: Khi một người dùng cố gắng kết nối vào hệ thống mạng, kết nối của người dùng sẽ được đặt ở trạng thái bị chặn (bloking) và chờ cho việc kiểm tra định danh người dùng hoàn tất.

Hình 2‑6 Mô hình hoạt động xác thực 802.1x

EAP là phương thức xác thực bao gồm yêu cầu định danh người dùng (password, certificate,…), giao thức được sử dụng (MD5, TLI_Transport Layer Security, OTP_One Time Password,…) hỗ trợ tự động sinh khóa và xác thực lẫn nhau.

Quá tình chứng thực 802.1x-EAP như sau:

Wireless client muốn liên kết với một AP trong mạng.

1. AP sẽ chặn lại tất cả các thông tin của client cho tới khi client log on vào mạng. Khi đó client yêu cầu liên kết tới AP.

2. AP đáp lại yêu cầu liên kết với một yêu cầu nhận dạng EAP.

3. Client gửi đáp lại yêu cầu nhận dạng EAP cho AP.

4. Thông tin đáp lại yêu cầu nhận dạng EAP của client được chuyển tới Server chứng thực.

5. Server chứng thực gửi một yêu cầu cho phép AP.

6. AP chuyển yêu cầu cho phép tới client.

7. Client gửi trả lời sự cấp phép EAP tới AP.

8. AP chuyển sự trả lời đó tới Server chứng thực.

9. Server chứng thực gửi một thông báo thành công EAP tới AP.

10. AP chuyển thông báo thành công tới client và đặt cổng của client trong chế độ forward.

1.1.6. WPA (WI-FI Protected access)

WEP được xây dựng để bảo vệ một mạng không dây tránh bị nghe trộm. Nhưng nhanh chóng sau đó người ta phát hiện ra nhiều lỗ hổng công nghệ này. Do đó công nghệ mới có tên gọi WPA (Wi-Fi Protected access) ra đời, khắc phục được nhiều nhược điểm của WEP.

Trong những cải tiến quan trọng nhất của WPA là sử dụng hàm thay đổi khóa TKIP. WPA cũng sử dụng thuật toán RC4 như WEP, nhưng mã hóa đầy đủ 128 bit. Và một đặc điểm khác là WPA thay đổi khóa cho mỗi gói tin. Các công cụ thu thập các gói tin để khóa phá mã hóa đều không thể thực hiện được với WPA. Bởi WPA thay đổi khóa liên tục nên hacker không bao giờ thu thập đủ dữ liệu mẫu để tìm ra mật khẩu.

Không những thế WPA còn bao gồm cả tính toàn vẹn của thông tin (Message Integrity check). Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở trên đường truyền. WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise. Cả 2 lựa chọn đều sử dụng giao thức TKIP, và sự khác biệt chỉ là khóa khởi tạo mã hóa lúc đầu. WPA Personal thích hợp cho gia đình và mạng văn phòng nhỏ, khóa khởi tạo sẽ được sử dụng tại các điểm truy cập và thiết bị máy trạm. Trong khi đó, WPA cho doanh nghiệp cần một máy chủ xác thực và 802.1x để cung cấp các khóa khởi tạo cho mỗi phiên làm việc.

Lưu ý:

i. Có một lỗ hổng trong WPA và lỗi này chỉ xảy ra với WPA Personal. Khi mà sử dụng hàm thay đổi khóa TKIP được sử dụng để tạo ra các khóa mã hóa chưa phát hiện, nếu hacker có thể đoán được khóa khởi tạo hoặc một phần của mật khẩu, họ có thể xác định được toàn bộ mật khẩu, do đó có thể giải mã được dữ liệu. tuy nhiên, lố hỏng này cũng sẽ được loại bỏ bằng cách sử dụng những khóa khởi tạo không dể đoán (đừng sử dụng những từ như “P@SSWORD” để làm mật khẩu).

ii. Điều này cũng có nghĩa rằng thủ thuật TKIP của WPA chỉ là giải pháp tam thời, chưa cung cấp một phương thức bảo mật cao nhất. WPA chỉ thích hợp với những công ty mà không truyền dữ liệu “mật” về những thương mại hay các thông tin nhạy cảm…WPA cũng thích hợp với những hoạt động hằng ngày và mang tính thử nghiệm công nghệ.

1.1.7. WPA2

Một giải pháp về lâu dài là sử dụng 802.11i tương đương với WPA2, được chứng nhận bởi Wi-Fi Alliance. Chuẩn này sử dụng thuật toán mã hóa mạnh mẽ và được gọi là Chuẩn mã hóa nâng cao AES. AES sử dụng thuật toán mã hóa đối xứng theo khối Rijndael, sử dụng khối mã hóa 128 bit, và 192 bit hoặc 256 bit. Để đánh giá chuẩn mã hóa này, Việc nghiên cứu quốc gia về Chuẩn và Công nghệ của Mỹ, NIST (National Institute of Standards and Technology), đã thông qua thuật toán mã đối xứng này.

Lưu ý: Chuẩn mã hóa này được sử dụng cho các cơ quan chính phủ Mỹ để bảo vệ các thông tin nhạy cảm.

Trong khi AES được xem như là bảo mật tốt hơn rất nhiều so với WEP 128 bit hoặc 168 bit DES (Digital Encryption standanrd). Để đảm bảo về mặt hiệu năng, quá trình mã hóa cần thực hiện trong các thiết bị phần cứng như tích hợp vào chip. Tuy nhiên, rất ít người sử dụng mạng không dây quan tâm tới vấn đề này. Hơn nữa, hầu hết các thiết bị cầm tay WI-FI và máy quét mã vạch đều không tương thích với chuẩn 802.11i.

1.1.8. LỌC (Filltering)

Lọc là cơ chế bảo mật cơ bản có thể sử dụng cùng với WEP. Lọc hoạt động giống access list trên router, cấm những cái không mong muốn và cho phép những cái mong muốn. Có 3 kiểu lọc cơ bản có thể sử dụng trong wireless lan:

Ø Lọc SSID

Ø Lọc địa chỉ MAC

Ø Lọc giao thức

Lọc SSID

Lọc SSID là phương thức cơ bản của lọc và chỉ nên được sử dụng trong việc điều khiển truy cập cơ bản.

SSID của client phải khớp với SSID của AP để có thể xác thực và kết nối với tập dịc vụ. SSID được quảng bá mà không được mã hóa trong các Beocon nên rất dễ bị phát hiện bằng cách sử dụng các phần mềm. Một số sai lầm mà người sử dụng WLAN mắc phải trong quản lí SSSID gồm:

Ø Sử dụng giá trị SSID mặc định tạo điều kiện cho hacker dò tìm địa chỉ MAC của AP.

Ø Sử dụng SSID như là phương thức bảo mật của công ty.

Ø Quảng bá SSID một cách không cần thiết.

Lọc địa chỉ MAC

Hầu hết các AP đều có chức năng lọc địa chỉ MAC. Người quản trị xây dựng danh sách các địa chỉ MAC được cho phép.

Nếu client có địa chỉ MAC không nằm trong danh sách lọc địa chỉ MAC của AP thì AP sẽ ngăn chặn không cho phép client đó kết nối vào mạng.

Nếu công ty có nhiều client thì có thể xây dựng máy chủ RADIUS có chức năng lọc địa chỉ MAC thay vì AP. Cấu hình lọc địa chỉ MAC là giải pháp bảo mật có tính mở rộng cao.

Lọc giao thức

Mạng Lan không dây có thể lọc các gói đi qua mạng dựa trên các giao thức từ lớp 2 đến lớp 7. Trong nhiều trường hợp người quản trị nên cài đặt lọc giao thức trong môi trường dùng chung,

Hình 2‑7 Tiến trình xác thực MAC

Ø Có một nhóm cầu nối không dây được đặt trên một Remote building trong một mạng WLAN của một trường đại học mà kết nối lại tới AP của tòa nhà kỹ thuật trung tâm.

Ø Vì tất cả những người sử dụng trong Remote builing chia sẻ băng thông 5Mbs giữa những tòa nhà này, nên một số lượng đáng kể các điểu khiển trên các sử dụng này phải được thực hiện.

Ø Nếu các kết nối này được cài đặt với mục đích đặc biệt của sự truy nhập internet của người sử dụng, thì bộ lọc giao thức sẽ loại trừ tất cả các giao thức, ngoại trừ HTTP, SMTP, HTTPS, FTP…

Hình 2‑8 Lọc giao thức

1.2. Kết luận

Ø Cho các điểm truy cập tự động (hotspots), việc mã hóa không cần thiết, chỉ cần người dùng xác thực mà thôi.

Ø Với người dùng sử dụng mạng WLAN cho gia đình, một phương thức bảo mật với WPA passphare hay preshared key được khuyến cáo sử dụng.

Ø Với giải pháp doanh nghiệp, để tối ưu quá trình bảo mật với 802.1x EAP làm phương thức xác thực và TKIP hay AES làm phương thức mã hóa. Được dựa theo chuẩn WPA hay WPA2 vf 802.11i security. Với các doanh nghiệp đòi hỏi bảo mật, quản lý người dùng chặt chẽ và tập trung, một giải pháp tối ưu được đặt ra đó là sử dụng dịch vụ chứng thực RADIUS kết hợp với WPA2 . Với dịch vụ chứng thực này, người dùng không dùng chung một “share key” mà có tên đăng nhập và mật khẩu riêng, được quản lý bởi server AAA. Cụ thể về dịch vụ xác thực sẽ được trình bày trong chương sau.

Hình 2‑9 Escalating Security

Nguồn: viet-cntt.com

Bảo Mật Thông Tin Là Gì? Khái Niệm Về An Toàn Thông Tin Mạng

Bảo mật thông tin là bảo vệ thông tin dữ liệu cá nhân, tổ chức nhằm tránh khỏi sự ” đánh cắp, ăn cắp” bởi những kẻ xấu hoặc tin tặc. An ninh thông tin cũng như sự bảo mật an toàn thông tin nói chung. Việc bảo mật tốt những dữ liệu và thông tin sẽ tránh những rủi ro không đáng có cho chính cá nhân và doanh nghiệp của bạn.

Khái niệm bảo mật thông tin

Bảo mật thông tin là duy trì tính bảo mật, tính toàn vẹn toàn diện và tính sẵn sàng cho toàn bộ thông tin. Ba yếu tố không thể tách rời trong việc bảo mật từ A đến Z thông tin là:

Tính bảo mật: Đảm bảo thông tin đó là duy nhất, những người muốn tiếp cận phải được phân quyền truy cập

Tính toàn vẹn. Bảo vệ sự hoàn chỉnh toàn diện cho hệ thống thông tin

Tính chính xác. Thông tin đưa ra phải chính xác, đầy đủ, không được sai lệch hay không được vi phạm bản quyền nội dung

Tính sẵn sàng. Việc bảo mật thông tin luôn phải sẵn sàng, có thể thực hiện bất cứ đâu, bất cứ khi nào.

Tại sao cần phải bảo mật an toàn thông tin ?

Thông tin, dữ liệu được ví như tài sản trong nhà của bạn vậy. Nếu bạn để quên hoặc làm mất ở đâu đó thì rất có thể thông tin của bạn sẽ bị mất, hoặc bị chiếm đoạt. Còn đối với chuyên ngành CNTT thì bảo mật thông tin được ví như hệ thống máy tính, dữ liệu… Đó là những tài sản vô cùng quan trọng , giá trị.

Bảo mật mạng là gì?

Vậy thì bảo mật mạng là gì? Định nghĩa đơn giản nhất bằng cách so sánh với bảo mật thông tin: trong khi bảo mật thông tin là bảo vệ dữ liệu của bạn từ bất kỳ hình thức truy cập trái phép nào còn bảo mật mạng là bảo vê dữ liệu an toàn trên môi trường trực tuyến.

Đó là chỉ là khái niệm đơn giản về bảo mật mạng. Để định nghĩa chính xác hơn bạn cần phải tuân thủ các tiêu chuẩn của Liên minh Viện thông Quốc tế (ITU) như sau: “Bảo mật mạng là tập hợp các công cụ, chính sách, khái niệm về bảo mật, hướng dẫn , phương pháp quản lý rủi ro, phản ứng, đào tạo, diễn tập, thiết bị và công nghệ có thể được dùng để bảo vệ hệ thống mạng và tài sản. “

Bảo mật mạng là một quá trình

Đừng nhầm lẫn bảo mật mạng là một giải pháp, một công nghệ ngoài ra chẳng có gì khác. Nó không chỉ bao gồm những công cụ và công nghệ mà ta đang dùng hằng ngày để duy trì sự ổn định và toàn vẹn dữ liệu mà còn nhiều hơn thế. An ninh mạng là một phần tất yếu trong quá trình kinh doanh.

Điều này đòi hỏi sự lưu tâm ở cấp quản lý, phải xem vấn đề này cũng tương tự như những quy trình kinh doanh khác của doanh nghiệp để nó có thể phát triển và đáp ứng kịp thời khi có sự cố. Nó không chỉ cần thiết vì lý do đề phòng rủi ro mà còn phải phù hợp với định hướng chiến lược phát triển của doanh nghiệp.

Điểm mấu chốt

Cuối cùng nó không chỉ là quy trình kinh doanh mà là chiến lược ưu tiên của doanh nghiệp. Nếu không thì mức độ quan tâm đến vấn đề bảo mật chỉ ở mức độ C và được xem là công việc của riêng bộ phận CNTT. Không sớm thì muộn rủi ro cũng sẽ xảy ra và nó là hệ quả tất yếu cho sự thiếu hiểu biết của bạn.

Giải Pháp Bảo Mật An Ninh Mạng

Lợi ích của bảo mật an ninh mạng:

Bảo vệ toàn diện hệ thống máy tính, hệ thống mạng khỏi những mối đe dọa từ bên ngoài và bên trong hệ thống.

Tận dụng và tiết kiệm tối đa những chi phí đầu tư cho an ninh mạng trong thời điểm hiện tại và tương lai.

Tăng cường bảo mật toàn diện cho dữ liệu của doanh nghiệp nói chung và của các thành viên trong công ty nói riêng.

Dễ dàng kiểm soát toàn diện những hoạt động mạng đang diễn ra trong hệ thống mạng của doanh nghiệp.

Hiện nay, hầu hết các tổ chức, đơn vị, trường học đều đã kết nối mạng nội bộ mạng đến các chi nhánh, đối tác và đã thừa hưởng nhiều lợi ích từ đó. Nhưng chính sự thuận lợi này lại chứa nhiều mối nguy hiểm tiềm ẩn như: virus, hacker, v.v công nghệ cao. Để phát hiện và ngăn chặn mối đe dọa nhờ vào các giải pháp phầm mềm bảo mật an ninh mạng của công ty Bakco giới thiệu:

1.Giải pháp cho phần cứng:

– Về phần này, doanh nghiệp cần có sự đầu tư đúng đắn trước khi mua bất kỳ phần mềm hoặc công cụ nào đó phục vụ cho việc bảo mật.

– Nếu cần nâng cấp hệ thống, bạn hãy chọn những nhà cung cấp dịch vụ chuyên nghiệp và đã có kinh nghiệm lâu năm.

– Tăng cường sự bảo mật cho các thiết bị đầu vào và đầu ra. Ví dụ như USB, ổ cứng, ổ đĩa,…

– Tăng thêm lớp bảo mật cho hệ thống tường lửa.

2. Giải pháp bảo mật hệ thống mạng thông qua Firewall:

Firewall là lớp bảo mật tuyệt vời đối với mọi hệ thống mạng doanh nghiệp. Firewall hay còn gọi là tường lửa sẽ giúp ngăn chặn những nguy cơ tấn công mạng xâm nhập từ bên ngoài hệ thống, ngăn chặn virus.

3.Giải pháp an ninh cho lớp trung gian:

Để bảo mật cho lớp trung gian, chúng ta cần quan tâm đặc biệt tới các thiết bị mạng, hệ điều hành, trang truy cập, vùng VLAN. Ví dụ chúng ta có thể thực hiện các tính năng cho lớp trung gian như:

+ Hạn chế sự truy cập trái phép qua Access Control và nâng cao sự bảo mật thông qua strong password, username.

+ Ngăn chặn những kết nối trái phép thông qua kết nối vật lý như: port security, VLAN access control list trong thiết bị mạng.

+ Hạn chế sự tràn ngập dữ liệu từ khu này đến khu khác, đảm bảo sự lưu thông mạng luôn được duy trì giúp khách hàng dễ dàng truy cập vào hệ thống website.