Cisco思科的工程師為了重要企業(yè)客戶的測試并驗證BYOD解決方案，已經(jīng)建立以客戶為中心的網(wǎng)絡(luò)架構(gòu)，一些500強企業(yè)和許多其他的公司已經(jīng)采用了實驗室架構(gòu)，用來準備安全部署，以及讓自身對獨特的需求進行定制。在此方案中Cisco選擇了Arbor Networks的Pravail可用性保護系統(tǒng)(Pravail APS)和Pravail網(wǎng)絡(luò)安全情報(Pravail NSI)的解決方案，用來為BYOD架構(gòu)提供DDoS攻擊防護。

方案

實施BYOD基礎(chǔ)設(shè)施的解決方案是架構(gòu)的問題，而不是基于一個單一的設(shè)備或一種方法。本文中所討論的架構(gòu)是基于Cisco的統(tǒng)一化無線網(wǎng)絡(luò)解決方案，它提供了一套完整的無線網(wǎng)絡(luò)和策略管理、安全、移動設(shè)備管理以及網(wǎng)絡(luò)和應(yīng)用程序的可見性。

下圖顯示了解決方案架構(gòu)的可視化表現(xiàn)形式。雖然Cisco的產(chǎn)品提供了很多的解決方案和基礎(chǔ)設(shè)施，但是許多的重點關(guān)注要素都需要提供一個完整的解決方案。

架構(gòu)概述

強大的Cisco基礎(chǔ)設(shè)施提供了參考架構(gòu)的主要組成部分?；ヂ?lián)網(wǎng)網(wǎng)關(guān)或DMZ網(wǎng)關(guān)路由器提供與公共網(wǎng)絡(luò)的連接。Cisco的自適應(yīng)安全設(shè)備(ASA)提供狀態(tài)防火墻和IPS / IDS的功能，并終止所有VPN流量(使用IPSec或SSL VPN)。

防火墻和IPS/ IDS設(shè)備有內(nèi)置的彈性，用以防止跟蹤和阻止遠程主機的不規(guī)則連接請求帶來的拒絕服務(wù)(DOS)攻擊。但是，分布式拒絕服務(wù)(DDoS)攻擊提出了這些狀態(tài)設(shè)備從未試圖打擊的新載體。 DDOS攻擊可以來自合法的來源，并且可能包含正常的流量，從而回避了防火墻和IPS / IPS設(shè)備的DoS防護功能。由于產(chǎn)生DDoS攻擊的主機通過網(wǎng)絡(luò)打開了許多合法的連接，因此，它們可以很容易淹沒即使是最強大的防護狀態(tài)表。為了保護其他的網(wǎng)絡(luò)設(shè)備，需要有一個專門用來對付這些威脅的設(shè)備。 Arbor的Pravail APS設(shè)備提供了保護Cisco ASA和其他資源DDoS的攻擊防護。

一臺承載著網(wǎng)絡(luò)核心的Cisco Catalyst 6500提供了與所有服務(wù)和數(shù)據(jù)中心的連接。此Catalyst也可以提供與有線設(shè)備在網(wǎng)絡(luò)上的直接連接，或作為匯聚層交換機。Catalyst交換機將網(wǎng)絡(luò)段劃分為多個VLAN，如有必要，可提供VLAN之間的Layer 3交換，并作為收集器在局域網(wǎng)上的一個NetFlow源。

定制化的設(shè)備訪問網(wǎng)絡(luò)是通過公共互聯(lián)網(wǎng)，或是統(tǒng)一化無線網(wǎng)絡(luò)基礎(chǔ)設(shè)施來完成的。第三方移動設(shè)備管理器(MDM)用于登記和控制企業(yè)網(wǎng)絡(luò)上允許的設(shè)備。