HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------

LÊ VĂN TÚ
GIẢI PHÁP NÂNG CAO AN NINH MẠNG CHO
DOANH NGHIỆP VÀ ỨNG DỤNG TẠI
TỔNG CÔNG TY VIỄN THÔNG MOBIFONE

LUẬN VĂN THẠC SĨ KỸ THUẬT

HÀ NỘI - 2019


HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------

LÊ VĂN TÚ

GIẢI PHÁP NÂNG CAO AN NINH MẠNG CHO
DOANH NGHIỆP VÀ ỨNG DỤNG TẠI
TỔNG CÔNG TY VIỄN THÔNG MOBIFONE
Chuyên ngành: Kỹ thuật Viễn Thông
Mã số: 8.52.02.08

LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)

NGƯỜI HƯỚNG DẪN KHOA HỌC: TS.LÊ NGỌC THÚY

HÀ NỘI - 2019


truyền đạt kiến thức cho thế hệ mai sau.
Hà Nội, tháng 11 năm 2018
Tác giả luận văn

Lê Văn Tú


iii

MỤC LỤC
LỜI CAM ĐOAN ................................................................................................................... i
LỜI CẢM ƠN ........................................................................................................................ ii
MỤC LỤC ............................................................................................................................iii
DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT ........................................................ v
DANH SÁCH BẢNG .......................................................................................................... vii
DANH SÁCH CÁC HÌNH .................................................................................................viii
MỞ ĐẦU ............................................................................................................................... 1
CHƯƠNG 1: THỰC TRẠNG AN NINH MẠNG TẠI CÁC DOANH NGHIỆP ................ 2
1.1 Thực trạng an ninh mạng các doanh nghiệp trên thế giới ................................................ 2
1.2 Thực trạng an ninh mạng các doanh nghiệp tại Việt Nam ............................................... 3
1.3 Các mối đe dọa tới an ninh mạng doanh nghiệp viễn thông ............................................ 5
1.3.1

Tấn công từ bên ngoài mạng vào ............................................................................ 5

1.3.2

Mã hóa dữ liệu ........................................................................................................ 7

1.3.3

iv

CHƯƠNG 3: GIẢI PHÁP NÂNG CAO AN NINH MẠNG TẠI TỔNG CÔNG TY VIỄN
THÔNG MOBIFONE.......................................................................................................... 27
3.1 Nghiên cứu các giải pháp nâng cao an ninh mạng đang được áp dụng tại Tổng Công ty
Viễn thông MobiFone hiện nay. .......................................................................................... 27
3.1.1

Nhóm giải pháp phần cứng ................................................................................... 28

3.1.2

Nhóm giải pháp phần mềm ................................................................................... 41

3.1.3

Nhóm giải pháp chống mất dữ liệu ....................................................................... 42

3.1.4

Nhóm giải pháp khác ............................................................................................ 43

3.2 Nghiên cứu đề xuất các biện pháp tăng cường an ninh mạng cho Tổng công ty Viễn
thông MobiFone ................................................................................................................... 44
3.2.1

Triển khai hệ thống giám sát và bảo vệ cho cơ sở dữ liệu Impreva ...................... 45

3.2.2



CMS

Content Management System

DAI
DBA

Dynamic ARP Inspection
Database Administrator

AIX

DDOS

Distributed Denial of Service

DNS
DOS
DR
DVD
EU
FTP

Dynamic Host Configuration
Protocol
Domain Name System
Denial of Service
Disaster Recovery
Digital Versatile Disc

Instrustion Detection System
Internet Service Provider
Intrusion Prevention Systems
Internet Protocol version 4
Local Area Network
Network Attached Storage
Network Address Translation
Network File System

Ý nghĩa
Danh sách cấm truy cập
Hệ điều hành của hãng IBM
Giao thức phân giải địa chỉ
Mạng giao dịch nội dung
Trung tâm điều khiển các hoạt
động đặc biệt là những phần nội
dung hiển thị trên một website
Tính năng bảo mật của Cisco
Quản trị database
Tấn công từ chối dịch vụ phân
tán
Giao thức cấp phát địa chỉ IP
Hệ thống phân giải tên miền
Tấn công từ chối dịch vụ
Hệ thống khôi phục thảm họa
Định dạng lưu trữ đĩa quang
Liên minh châu âu
Giao thức truyền tập tin
Hệ thống phát hiện xâm nhập
host

VLAN
VNC
VPN
WAN

Network-based IDS
Network-based Intrusion
Prevention)
Open Systems
Interconnection
Post Office Protocol 3
Private Virtual Local Area
Network

Hệ thống phát hiện xâm nhập
mạng
Hệ thống ngăn ngừa xâm nhập
mạng
Mô hình tham chiếu kết nối các
hệ thống mở
Giao thức truyền nhận thư điện
tử
Mạng cục bộ riêng ảo

Mạng kết nối các máy chủ tới
hệ thống lưu trữ dữ liệu
Hệ thống giám sát bảo mật tập
Shell Control Box
trung
Giao thức upload/download dữ

DANH SÁCH BẢNG
Bảng 3. 1 Ví dụ số thứ tự dải mạng xác định port kết nối ........................................36
Bảng 3. 2 Ví dụ số thứ tự giao thức tương ứng port kết nối .....................................37


viii

DANH SÁCH CÁC HÌNH VẼ
Hình 1. 1 Mô hình tấn công từ chối dịch vụ DoS ........................................................ 12
Hình 1. 2 Mô hình tấn công từ chối dịch vụ phân tán DDoS ....................................... 13
Hình 2. 1 Mô hình hệ thống VPN cơ bản ..................................................................... 17
Hình 2. 2 Mô hình kết nối cơ bản của Firewall trong mạng ........................................ 19
Hình 2. 3 Mô hình kết nối Firewall cứng ..................................................................... 21
Hình 2. 4 Mô hình kết nối Firewall mềm ..................................................................... 21
Hình 3. 1 Thiết bị Firewall Palo Alto ........................................................................... 28
Hình 3. 2 Thiết bị Firewall Check Point 12400 ........................................................... 30
Hình 3. 3 Mô hình hoạt động của hệ thống SCB ......................................................... 33
Hình 3. 4 Mô hình kết nối tới hệ thống qua SCB theo IP và port ................................ 34
Hình 3. 5 Luồng kết nối giữa client và hệ thống qua SCB........................................... 34
Hình 3. 6 Ví dụ thông số kết nối tới máy chủ qua SCB map theo port ........................ 36
Hình 3. 7 Ví dụ thông tin kết nối tới máy chủ qua SCB map theo dải mạng ............... 37
Hình 3. 8 Mô hình giao diện các mức cảnh báo của hệ thống Polestar ....................... 39
Hình 3. 9 Mô hình VPN Client to Site tại MobiFone................................................... 40
Hình 3. 10 Mô hình VPN Site to Site tại MobiFone .................................................... 40
Hình 3. 11 Mô hình phân loại và đánh giá loại dữ liệu ................................................ 48
Hình 3. 12 Dữ liệu được Impreva giám sát và ghi lại .................................................. 48
Hình 3. 13 Dữ liệu quản lý người dùng của CSDL ...................................................... 49
Hình 3. 14 Hồ sơ của các một số bảng trong CSDL .................................................... 50
Hình 3. 15 Dự kiến mô hình triển khai của hệ thống ................................................... 51
Hình 3. 16 Mô hình VLAN chia nhỏ............................................................................ 57

tới các hệ thống bảo mật, an ninh mạng, với mục đích tìm hiểu vấn đề mới đang
cấp thiết hiện nay phục vụ thực tiễn cho công việc hiện tại của học viên, học viên
đăng ký đề tài luận văn nghiên cứu “Giải pháp nâng cao an ninh mạng cho
doanh nghiệp và ứng dụng tại Tổng công ty Viễn thông MobiFone”.


2

CHƯƠNG 1: THỰC TRẠNG AN NINH MẠNG TẠI CÁC
DOANH NGHIỆP
1.1 Thực trạng an ninh mạng các doanh nghiệp trên thế giới
Có thể thấy trong thời đại ngày nay với sự phát triển vượt bậc của khoa học,
công nghệ đã có những đóng góp vô cùng quan trọng làm thay đổi cơ bản mọi mặt
của đời sống kinh tế xã hội các quốc gia. Đặc biệt sự ra đời phát triển của máy tính
và mạng Internet đã tạo nên những đột phá trong kết nối, chia sẻ thông tin, thúc đẩy
phát triển kinh tế, giao lưu văn hóa.
Mối nguy hiểm từ tội phạm mạng: với những ưu thế vượt trội của máy tính và
Internet tác động đến mọi mặt, mọi lĩnh vực trong đời sống xã hội, nhờ có Internet
mà xã hội phát triển nhanh hơn, mạnh hơn, xã hội càng phát triển thì vai trò của
máy tính và Internet càng được thể hiện rõ hơn, con người khó có thể làm việc nếu
như thiếu máy tính và Internet.
Tuy nhiên, bên cạnh những thuận lợi và đóng góp tích cực thì thế giới cũng đã và
đang đứng trước không ít thách thức, nguy cơ ảnh hưởng tiêu cực tới đời sống cá
nhân, nhà nước, xã hội, thậm chí có thể đe dọa nghiêm trọng tới hòa bình và an ninh
thế giới từ chính Internet.
Internet đang dần trở thành phương tiện hữu hiệu của tội phạm sử dụng công nghệ
cao và là công cụ được sử dụng để can thiệp vào an ninh, chính trị và các quốc gia
và doanh nghiệp. Trong thời gian vừa qua, trên thế giới đã có không ít cuộc xâm
nhập, tấn công trái phép được cho là có tổ chức vào cơ sở hạ tầng thông tin của các
quốc gia và doanh nghiệp trên môi trường mạng. Xu thế này ngày càng gia tăng,

trang/cổng thông tin điện tử của nước ta bị tấn công. Nhiều thiết bị kết nối Internet
IoT tồn tại lỗ hổng bảo mật dẫn đến nguy cơ tin tặc khai thác, chiếm đoạt sử dụng
làm bàn đạp cho các cuộc tấn công mạng trên thế giới, hệ thống thông tin trọng yếu,
nhất là hàng không, ngân hàng, viễn thông có nguy cơ bị phá hoại nghiêm trọng bởi
các cuộc tấn công mạng, điển hình là là vụ tấn công mạng vào ngành hàng không
Việt Nam ngày 29/7/2016.
Cơ sở hạ tầng viễn thông và công nghệ thông tin (CNTT) của Việt Nam chưa đáp
ứng yêu cầu bảo mật thiết yếu làm gia tăng nguy cơ bị tấn công mạng.


4

Vấn đề bảo mật tăng cường an ninh, đảm bảo an toàn thông tin (ATTT) đang trở
thành vấn đề cấp thiết không chỉ riêng ngành viễn thông, CNTT, tài chính, ngân
hàng, điện lực…. mà các ngành khác cũng đang rất quan tâm thực hiện.
Các vụ tấn công mạng tại Việt Nam ngày càng nghiêm trọng và phức tạp hơn.
Trong 9 tháng đầu năm 2017 Trung tâm ứng cứu khẩn cấp máy tính Việt Nam đã
ghi nhận có gần 10 nghìn sự cố tấn công mạng trong nước, trong đó có gần một nửa
là các sự cố về phát tán mã độc. Các vụ tấn công mạng tăng cả về số lượng, quy mô,
hình thức ngày càng tinh vi, nhiều cuộc tấn công có chủ đích nhằm vào cơ quan
Chính phủ, các hệ thống thông tin quan trọng trong nhiều lĩnh vực như viễn thông,
CNTT, tài chính, ngân hàng, điện lực....
Chỉ số An ninh mạng toàn cầu là một chỉ số tổng hợp đánh giá và so sánh mức độ
cam kết đảm bảo an ninh mạng của các nước thành viên dựa trên 5 yếu tố: công
nghệ, tổ chức, luật pháp, hợp tác và tiềm năng phát triển. Mục đích chính để phân
loại, xếp thứ hạng và sau đó là đánh giá, dự báo, định hướng quá trình phát triển
trong tầm khu vực cũng như trên quy mô toàn cầu. Việt Nam đã gia nhập tổ chức
này từ năm 1951. Theo bản báo cáo trong nửa đầu năm 2017 của tổ chức này Việt
Nam xếp thứ 101 trên tổng số 193 nước thành viên về khả năng đảm bảo an ninh
mạng. Trên phạm vi thế giới Singapore được xếp hạng cao nhất với 0,925 điểm xếp

Hình thức tấn công từ bên trong mạng chỉ được sử dụng đối với cá nhân đã
có quyền truy cập một cách dễ dàng, đối với một hacker khi không thể đứng trong
mạng nội bộ để tấn công hệ thống họ sẽ tấn công từ bên ngoài vào mạng của bạn.
Việc tấn công từ nội bộ trong mạng của các doanh nghiệp viễn thông là rất khó
khăn và gần như không thể thực hiện được buộc các hacker phải tấn công từ bên
ngoài vào. Tấn công phổ biến của hacker hiện nay hướng tới các website, CSDL
nhằm lợi dụng các loại lỗ hổng bảo mật để cài các phần mềm gián điệp, điều khiển
từ xa, xâm nhập để phá họai và lấy cắp thông tin với các mục đích xấu về kinh tế và
chính trị gây thiệt hại và ảnh hưởng xấu tới các doanh nghiệp, các vụ tấn công từ
bên ngoài vào hệ thống của doanh nghiệp ngày càng gia tăng về số vụ và hình thức
tấn công ngày càng tinh vi và nguy hiểm.
Các cuộc tấn công phổ biến hiện nay là tấn công website, CSDL, lợi dụng các lỗ
hổng bảo mật web, lỗ hổng bảo mật của Microsoft, Adobe... để cài phần mềm gián
điệp, điều khiển từ xa để xâm nhập nhằm phá hoại và trộm cắp thông tin bất hợp
pháp.


6

Các doanh nghiệp viễn thông tuy có triển khai các giải pháp an toàn và bảo mật,
song lại thiếu sự đồng bộ giữa cơ sở hạ tầng, giải pháp phần mềm và giải pháp quản
trị. Sự thay đổi liên tục của nhiều kiểu tấn công mạng từ khắp thế giới cộng thêm
tính phức tạp và lỗ hổng trong cơ sở hạ tầng mạng đã khiến nền tảng web trở nên dễ
bị tổn thương trước những tấn công. Hacker tạo ra ngày càng nhiều Malware với
các module phức tạp, chứa các lệnh khác nhau để trao đổi, xây dựng ra các mạng
Botnet riêng với nhu cầu và mục đích khác nhau, ví dụ như Grum là mạng Botnet
để phát tán thư rác, hoạt động ở chế độ ẩn của rookit, lây nhiễm vào khóa registry
AutoRun để luôn luôn được kích hoạt và phát tán hàng chục tỷ thư mỗi ngày. Zeus
và SpyEye được thiết kế để thiết lập mạng Botnet lấy cắp thông tin tài khoản ngân
hàng qua các giao dịch trực tuyến và gửi về một Domain trung gian, sau đó được

giả mạo hoặc che dấu thông tin cá nhân và IP truy cập tránh bị cơ quan chức năng
phát hiện, nhu cầu sử dụng của Proxy ẩn danh chủ yếu xuất phát từ những hoạt
động trái pháp luật của hacker. Với chức năng ẩn danh, Proxy cũng được sử dụng
để truy cập vào các tài nguyên bị Firewall cấm. Khi muốn vào một trang web bị
chặn, để che giấu địa chỉ IP thật của trang web đó, có thể truy cập vào một proxy
server, thay máy chủ của trang web giao tiếp với máy tính của người sử dụng. Khi
đó, Firewall chỉ biết Proxy Server và không biết địa chỉ trang web thực đang truy
cập. Proxy Server không nằm trong danh sách cấm truy cập (Access Control List –
ACL) của Firewall nên Firewall không thể chặn truy cập này. Phần lớn HTTP
Proxy chỉ có tác dụng cho dịch vụ HTTP (web browsing), còn SOCKS Proxy có thể
được sử dụng cho nhiều dịch vụ khác nhau (HTTP, FTP, SMTP, POP3...)

1.3.2 Mã hóa dữ liệu
Mã hóa dữ liệu là chuyển dữ liệu từ dạng này sang dạng khác hoặc sang dạng
code mà chỉ có người có quyền truy cập vào khóa giải mã hoặc có mật khẩu mới
đọc được nó, bằng cách sử dụng các thuật toán lồng nhau, thường dựa trên 1 khóa
để mã hóa dữ liệu.
Số lượng nhân viên văn phòng của các doanh nghiệp viễn thông là rất lớn đây là
điều kiện để Ransomware – một loại mã độc mã hóa dữ liệu có tính nguy hiểm cao
bởi nó sẽ mã hóa toàn bộ các file word, excel và các tập tin khác trên máy tính làm
cho nạn nhân không thể mở được file.


8

Gần đây nhất điển hình là mã độc WannaCry là loại mã độc khi xâm nhập thiết bị
máy tính của người dùng trong hệ thống doanh nghiệp sẽ tự động mã hóa toàn bộ
các tập tin theo những định dạng như văn bản tài liệu, hình ảnh. Người dùng sẽ phải
trả một khoản tiền không hề nhỏ nếu muốn được mở khóa và lấy lại dữ liệu đó.
Ransomware sử dụng công nghệ mã hóa Public-Key vốn là một phương pháp đáng

cho các nghiên cứu bảo mật để tạo ra các công nghệ mã hóa hiệu quả.
Nói đến khía cạnh an toàn và an ninh, phần mềm mã nguồn mở thường được coi là
lựa chọn hàng đầu do mô hình phát triển của nó dựa vào cộng đồng, tức là các lỗi
của mỗi sản phẩm nguồn mở đều được rà soát và kiểm tra bởi hàng trăm tổ chức,
doanh nghiệp và hàng nghìn cá nhân trong cộng đồng đó, đông hơn đội ngũ kiểm
thử của bất kì tập đoàn mã nguồn đóng nào.

1.3.4 Tấn công bằng phần mềm độc hại
Phần mềm độc hại hay còn được gọi là mã độc (Malware, viết tắt của
Malicious Software), có thể dễ dàng mô tả là phần mềm không mong muốn được
cài đặt trên hệ thống của bạn mà không được sự cho phép của bạn, với mục đích lây
lan phát tán trên hệ thống máy tính và Internet nhằm thực hiện các hành vi bất hợp
pháp nhằm vào người dùng cá nhân, cơ quan, tổ chức để thực hiện các hành vi
chuộc lợi cá nhân, kinh tế, chính trị hoặc đơn giản là để thỏa mãn ý tưởng và sở
thích của người viết Virus và phần mềm trojan là các ví dụ về phần mềm độc hại
thường được xếp cùng nhóm với nhau và được gọi là phần mềm độc hại.
Đặc điểm của Malware
-

Không thể tự tồn tại độc lập mà phải dựa vào một ứng dụng nền nào đó.

-

Tự nhân bản khi ứng dụng được kích hoạt.

-

Có một thời kỳ nằm chờ (giống như ủ bệnh). Trong thời gian này sẽ không gây
hậu quả.


bản thân nó trong hệ thống, các phần mềm antivirus từ đó nó có thể được hỗ trợ
các module khác tấn công, khai thác hệ thống.
Nổi bật gần đây là Ransomware (phần mềm độc hại mã hóa tống tiền). Đặc điểm
chung của dòng mã độc này sau khi lây nhiễm sẽ mã hóa tất cả các dữ liệu quan
trọng của người dùng và yêu cầu tiền chuộc để lấy lại dữ liệu, điển hình là mã độc
WannaCry hồi tháng 5 năm 2017.

1.3.5 Tấn công rà quét
Các hệ thống bảo mật an toàn thông tin ở các doanh nghiệp viễn thông sẽ
không thể để các hacker tấn công một cách dễ dàng. Nếu như kẻ trộm trước khi đột
nhập nhà gia chủ thì trước hết hắn ta phải đi thăm dò, quan sát ngôi nhà, đường đi
lối lại và các điểm yếu sơ hở. Tương tự như vậy đối với các cuộc tấn công mạng
kiểu thăm dò, kẻ tấn công sẽ thu thập thông tin về hệ thống định tấn công (nạn
nhân), các dịch vụ đang chạy và các lỗ hổng. Các công cụ mà kẻ tấn công thường sử


11

dụng trong kiểu tấn công này là công cụ chặn bắt gói tin (packet sniffer), bộ quét
cổng (port scanner), truy vấn thông tin Internet, Ping sweep (kỹ thuật quét 1 dải IP
để phát hiện xem có thiết bị nào đang sở hữu địa chỉ IP nào trong dải đó).
Các cách phòng chống tấn công rà quét:
Trong thực tế cuộc sống nếu người bảo vệ phát hiện một kẻ thường xuyên qua lại
rình mò trước nhà của một người thì sẽ nghi vấn và cảnh giác. Tương tự vậy đối với
hệ thống mạng bạn cần có các hệ thống phát hiện và ngăn ngừa xâm nhập IDS và
IPS. Hệ thống này nếu thấy số lượng các gói tin ICMP echo requets nhiều bất
thường do Ping sweep thì sẽ cảnh báo đến người quản trị. Khi quản trị hệ thống
nhận được thông tin cảnh báo sẽ rà soát lại toàn bộ hệ thống:
- Xác minh và quyết định việc ngăn chặn kết nối từ các IP do thám.
- Tắt những dịch vụ không cần thiết.

hổng về bảo mật cũng như sự không hiểu biết, kẻ này có thể giành quyền điều khiển
máy tính của bạn. Sau đó chúng sử dụng máy tính của bạn để gửi số lượng lớn dữ
liệu đến một website hoặc gửi thư rác đến một địa chỉ hòm thư nào đó.

Hình 1. 1 Mô hình tấn công từ chối dịch vụ DoS
(Nguồn: [11]


13

Hình 1. 2 Mô hình tấn công từ chối dịch vụ phân tán DDoS
(Nguồn: [11]

1.3.7 Tấn công lừa đảo mật khẩu
Đứng thứ hai về số lượng là các cuộc tấn công lừa đảo mật khẩu. Khoảng 60-70%
email là spam, và phần lớn trong số đó là các cuộc tấn công tìm cách lừa người sử
dụng để lấy thông tin đăng nhập của họ. Khi đã có được thông tin tài khoản và mật
khẩu hacker sẽ truy cập vào các hòm thư và sẽ có những hành động xấu đánh cắp
dữ liệu, phá hủy dữ liệu, thay đổi dữ liệu.
Hình thức tấn công này không phải là bẻ khóa bởi hacker sẽ dụ dỗ người dùng
thông qua một số mánh khóe lừa đảo thủ đoạn này thường gặp nhất là hình thức lừa
đảo qua email.
Đầu tiên hacker sẽ gửi nhiều email tới người dùng dưới danh nghĩa một tập đoàn
hay tổ chức lớn có danh tiếng và uy tín nhưng thực tế đường dẫn liên kết tới trang
đăng nhập chỉ là giả mạo được thiết kế giống y hệt trang đăng nhập thực tế, người
nhận email không hề hay biết và điền các thông tin cá nhân vào đó và các thông tin
cá nhân này sẽ được gửi về cho hacker sẽ bị đem bán để chuộc lợi hoặc sử dụng vào


14

Các doanh nghiệp viễn thông đã và đang có các giải pháp để hạn chế và ngăn chặn
các mối đe dọa này như: giải pháp an ninh cho lớp trung gian, giải pháp phần mềm,
giải pháp bảo mật thông qua Firewall, giải pháp bảo mật IDS/IPS đồng thời với đặc
thù làm việc dựa trên các quy trình quy định vì vậy các giải pháp phi kỹ thuật cũng
cần được áp dụng.

2.1 Giải pháp an ninh cho lớp trung gian
Lớp an ninh này thực hiện kiểm soát các giao thức, ứng dụng, dịch vụ trao
đổi qua lại tại cửa ngõ mạng, ngăn chặn tình trạng tắc nghẽn mạng, đảm bảo chất
lượng và sự ổn định cho các dịch vụ, ứng dụng trên mạng, Access Control List hạn
chế truy cập của người dùng cuối qua những phân vùng, những ứng dụng không
thuộc phạm vi truy xuất của mình. Thiết lập các quyền truy cập thông qua
username, password. Hạn chế kết nối vào hệ thống (kết nối vật lý) tại những vị trí
không được phép thông qua tính năng Port security, Dynamic ARP Inspection, IP
Source Guard, DHCP Snooping, VLAN access control list, Private VLAN của thiết
bị mạng. Phân vùng VLAN hạn chế các dữ liệu vô ích (Broadcast, ARP signal…) từ
khu vực này qua khu vực khác, tận dụng tối đa băng thông cho thông tin có ích của
hệ thống. Ngăn chặn khuyếch tán Virus hay ảnh hưởng liên đới do trường hợp
không ổn định của hệ thống phần cứng từ vùng này qua vùng khác.