Tổng Quan Về Bảo Mật Mạng & Kiểm Soát Truy Cập

Phan Văn Phú

Senior Member

Senior Member

Join Date: Aug 2025

Posts: 128
- Share
- Tweet
#1

Tổng Quan Về Bảo Mật Mạng & Kiểm Soát Truy Cập

19-01-2026, 10:56 AM

🛡️ Tổng Quan Về Bảo Mật Mạng & Kiểm Soát Truy Cập

Trong môi trường doanh nghiệp hiện đại, bảo mật mạng và kiểm soát truy cập đóng vai trò cực kỳ quan trọng trong việc bảo vệ:
📁 Dữ liệu nhạy cảm

🖥️ Tài nguyên hệ thống

🏢 Hạ tầng CNTT của tổ chức

Ba thành phần quan trọng tạo nên bộ ba quyền lực trong bảo mật mạng hiện đại gồm:
🧩 Group-Based Policy (GBP)

🚪 Network Access Control (NAC)

🔑 802.1X

👉 Khi kết hợp lại, ba công nghệ này tạo thành một kiến trúc bảo mật toàn diện, tự động hóa và có khả năng mở rộng cao cho hệ thống mạng doanh nghiệp.

🧩 1. Group-Based Policy (GBP) – Chính Sách Dựa Trên Nhóm

❗ Vấn đề của mạng truyền thống

Ngày nay, doanh nghiệp phải đối mặt với:
📱 Bùng nổ thiết bị người dùng & IoT

🌍 Người dùng di động liên tục

☁️ Ứng dụng cloud ngày càng nhiều

🔥 Yêu cầu bảo mật ngày càng cao

👉 Các cách làm cũ như:
Cấu hình port switch thủ công

Viết ACL theo từng IP

Phụ thuộc vào vị trí người dùng

❌ Đã không còn khả thi, không mở rộng được và cực kỳ khó quản lý.

💡 Giải pháp: Group-Based Policy

Thay vì:Gán chính sách cho từng thiết bị

👉 Ta gán chính sách cho:
✅ Nhóm người dùng / nhóm thiết bị

🎯 Cách hoạt động:
Mỗi endpoint sẽ thuộc về:
Nhóm kế toán

Nhóm IT

Nhóm server

Nhóm IoT…

Traffic sẽ được:
🏷️ Gắn tag nhận dạng

👁️ Dễ dàng theo dõi khi đi xuyên mạng

🧠 Ví dụ cực kỳ thực tế:

Thay vì viết:
❌ Hàng ngàn dòng ACL

Ta chỉ cần nói:
✅ “Cho phép kế toán dùng laptop công ty truy cập hệ thống bán hàng,
❌ nhưng chặn kế toán dùng điện thoại cá nhân truy cập hệ thống đó.”

✔️ Không cần IP
✔️ Không cần quan tâm họ đang ở đâu
✔️ Không quan tâm có 1 hay 1000 nhân viên kế toán

🧱 Kết luận về GBP

🎯 Group-Based Policy chính là nền tảng cho Network Segmentation hiện đại:
Chia mạng thành:
Nhóm người dùng

Nhóm thiết bị

Nhóm server

Và: Cho phép / chặn truy cập giữa các nhóm một cách logic & cực kỳ linh hoạt

🚪 2. Network Access Control (NAC) – Kiểm Soát Truy Cập Mạng

❗ Bài toán thực tế:
📱 Thiết bị cá nhân ngày càng nhiều

🦠 Rủi ro:
Malware

Thiết bị nhiễm virus

Thiết bị không đạt chuẩn bảo mật

👉 Vì vậy, cần một hệ thống:
🔍 Kiểm tra – 🛂 Xác thực – 🚦 Quyết định cho vào hay không

🛡️ NAC là gì?

NAC (Network Access Control) là công nghệ:
Kiểm soát:
Ai được vào mạng

Thiết bị nào được vào

Được vào mức độ nào

⚙️ NAC hoạt động như sau:

Khi một thiết bị kết nối vào mạng:
NAC sẽ kiểm tra:
Danh tính

Loại thiết bị

Tình trạng bảo mật

👉 Kết quả:
✅ Cho vào mạng đầy đủ

⚠️ Cho vào vùng cách ly (quarantine)

❌ Hoặc chặn hoàn toàn

🧰 Các khả năng chính của NAC:

🔄 Policy lifecycle management
Áp chính sách cho:
Mọi tình huống

Không cần thêm module

👁️ Profiling & Visibility
Nhận diện:
User

Thiết bị

Trước khi malware kịp gây hại

🧑‍💼 Guest Access
Cổng đăng ký khách:
Tự đăng ký

Xác thực

Có người bảo lãnh

🩺 Security Posture Check
Kiểm tra:
OS

Patch

Antivirus

Tình trạng tuân thủ chính sách

🚨 Incident Response
Tự động:
Cô lập

Chặn

Sửa lỗi thiết bị nhiễm

🔌 Integration
Tích hợp:
Firewall

SIEM

Network controller

Qua API

🔑 3. 802.1X – Chuẩn Xác Thực Truy Cập Mạng

📜 802.1X là gì?

802.1X là chuẩn IEEE dùng để:
🔐 Xác thực thiết bị & người dùng trước khi cho phép truy cập vào LAN / WLAN

Nó sử dụng:
EAP (Extensible Authentication Protocol)

RADIUS server

🧱 3 thành phần chính trong 802.1X:

💻 Supplicant
Thiết bị muốn kết nối mạng (PC, điện thoại, máy in…)

🔀 Authenticator
Thiết bị mạng:
Switch

AP

🧠 Authentication Server
Server xác thực:
Ví dụ: RADIUS / Cisco ISE

Kiểm tra:
User/pass

Certificate

Thiết bị

🔄 Quy trình hoạt động 802.1X
🔌 Thiết bị cắm cáp / kết nối WiFi

🚫 Switch/AP:
Chặn toàn bộ traffic

📢 Supplicant gửi:
EAPOL Start

🔁 Hai bên trao đổi:
EAP Request / Response

🧠 Server xác thực:
Kiểm tra danh tính

✅ Nếu OK:
Mở port

❌ Nếu fail:
Giữ port bị khóa
Tags: None