Cisco思科的工程师为了重要企业客户的测试并验证BYOD解决方案,已经建立以客户为中心的网络架构,一些500强企业和许多其他的公司已经采用了实验室架构,用来准备安全部署,以及让自身对独特的需求进行定制。在此方案中Cisco选择了Arbor Networks的Pravail可用性保护系统(Pravail APS)和Pravail网络安全情报(Pravail NSI)的解决方案,用来为BYOD架构提供DDoS攻击防护。
方案
实施BYOD基础设施的解决方案是架构的问题,而不是基于一个单一的设备或一种方法。本文中所讨论的架构是基于Cisco的统一化无线网络解决方案,它提供了一套完整的无线网络和策略管理、安全、移动设备管理以及网络和应用程序的可见性。
下图显示了解决方案架构的可视化表现形式。虽然Cisco的产品提供了很多的解决方案和基础设施,但是许多的重点关注要素都需要提供一个完整的解决方案。
架构概述
强大的Cisco基础设施提供了参考架构的主要组成部分。互联网网关或DMZ网关路由器提供与公共网络的连接。Cisco的自适应安全设备(ASA)提供状态防火墙和IPS / IDS的功能,并终止所有VPN流量(使用IPSec或SSL VPN)。
防火墙和IPS/ IDS设备有内置的弹性,用以防止跟踪和阻止远程主机的不规则连接请求带来的拒绝服务(DOS)攻击。但是,分布式拒绝服务(DDoS)攻击提出了这些状态设备从未试图打击的新载体。 DDOS攻击可以来自合法的来源,并且可能包含正常的流量,从而回避了防火墙和IPS / IPS设备的DoS防护功能。由于产生DDoS攻击的主机通过网络打开了许多合法的连接,因此,它们可以很容易淹没即使是最强大的防护状态表。为了保护其他的网络设备,需要有一个专门用来对付这些威胁的设备。 Arbor的Pravail APS设备提供了保护Cisco ASA和其他资源DDoS的攻击防护。
一台承载着网络核心的Cisco Catalyst 6500提供了与所有服务和数据中心的连接。此Catalyst也可以提供与有线设备在网络上的直接连接,或作为汇聚层交换机。Catalyst交换机将网络段划分为多个VLAN,如有必要,可提供VLAN之间的Layer 3交换,并作为收集器在局域网上的一个NetFlow源。
定制化的设备访问网络是通过公共互联网,或是统一化无线网络基础设施来完成的。第三方移动设备管理器(MDM)用于登记和控制企业网络上允许的设备。
