Lớp an ninh này thực hiện kiểm soát các giao thức, ứng dụng, dịch vụ trao đổi qua lại tại cửa ngõ mạng, ngăn chặn tình trạng tắc nghẽn mạng, đảm bảo chất lượng và sự ổn định cho các dịch vụ, ứng dụng trên mạng, Access Control List hạn chế truy cập của người dùng cuối qua những phân vùng, những ứng dụng không thuộc phạm vi truy xuất của mình. Thiết lập các quyền truy cập thông qua username, password. Hạn chế kết nối vào hệ thống (kết nối vật lý) tại những vị trí không được phép thông qua tính năng Port security, Dynamic ARP Inspection, IP Source Guard, DHCP Snooping, VLAN access control list, Private VLAN của thiết bị mạng. Phân vùng VLAN hạn chế các dữ liệu vô ích (Broadcast, ARP signal…) từ khu vực này qua khu vực khác, tận dụng tối đa băng thông cho thông tin có ích của hệ thống. Ngăn chặn khuyếch tán Virus hay ảnh hưởng liên đới do trường hợp không ổn định của hệ thống phần cứng từ vùng này qua vùng khác.
Để bảo mật cho lớp trung gian, chúng ta cần quan tâm đặc biệt tới các thiết bị mạng, hệ điều hành, trang web truy cập, vùng LAN. Ví dụ chúng ta có thể thực hiện các tính năng cho lớp trung gian như:
- Hạn chế sự truy cập trái phép qua Access Control hạn chế truy cập của người dùng cuối qua những phân vùng, những ứng dụng không thuộc phạm vi truy xuất của mình và nâng cao bảo mật thông qua mật khẩu mạnh (strong password). - Hạn chế sự tràn ngập dữ liệu từ khu này tới khu khác đảm bảo sự lưu thông mạng
luôn được duy trì giúp khách hàng dễ dàng truy cập vào các hệ thống website. - Ngăn ngừa những kết nối trái phép thông qua kết nối vật lý như: Port security,
Dynamic ARP Inspection, IP Source Guard, DHCP Snooping, VLAN access control list, Private VLAN… đây là các tính năng được Cisco trang bị trên các thiết bị network của hãng.
- Ngăn ngừa các kết nối trái phép tới các máy chủ nhờ các tính năng bảo mật của các hệ điều hành như Windows, Sun Solaris, Linux, Red Hat, Centos.
- Ngăn ngừa các kết nối trái phép tới CSDL nhờ các tính năng bảo mật phần mềm của các CSDL như Oracle database, My SQL, DB2, Monggo DB.