Cisco思科的工程师为了重要企业客户的测试并验证BYOD解决方案,已经建立以客户为中心的网络架构,一些500强企业和许多其他的公司已经采用了实验室架构,用来准备安全部署,以及让自身对独特的需求进行定制。在此方案中Cisco选择了Arbor Networks的Pravail可用性保护系统(Pravail APS)和Pravail网络安全情报(Pravail NSI)的解决方案,用来为BYOD架构提供DDoS攻击防护。
方案
实施BYOD基础设施的解决方案是架构的问题,而不是基于一个单一的设备或一种方法。本文中所讨论的架构是基于Cisco的统一化无线网络解决方案,它提供了一套完整的无线网络和策略管理、安全、移动设备管理以及网络和应用程序的可见性。
下图显示了解决方案架构的可视化表现形式。虽然Cisco的产品提供了很多的解决方案和基础设施,但是许多的重点关注要素都需要提供一个完整的解决方案。
架构概述
强大的Cisco基础设施提供了参考架构的主要组成部分。互联网网关或DMZ网关路由器提供与公共网络的连接。Cisco的自适应安全设备(ASA)提供状态防火墙和IPS / IDS的功能,并终止所有VPN流量(使用IPSec或SSL VPN)。
防火墙和IPS/ IDS设备有内置的弹性,用以防止跟踪和阻止远程主机的不规则连接请求带来的拒绝服务(DOS)攻击。但是,分布式拒绝服务(DDoS)攻击提出了这些状态设备从未试图打击的新载体。 DDOS攻击可以来自合法的来源,并且可能包含正常的流量,从而回避了防火墙和IPS / IPS设备的DoS防护功能。由于产生DDoS攻击的主机通过网络打开了许多合法的连接,因此,它们可以很容易淹没即使是最强大的防护状态表。为了保护其他的网络设备,需要有一个专门用来对付这些威胁的设备。 Arbor的Pravail APS设备提供了保护Cisco ASA和其他资源DDoS的攻击防护。
一台承载着网络核心的Cisco Catalyst 6500提供了与所有服务和数据中心的连接。此Catalyst也可以提供与有线设备在网络上的直接连接,或作为汇聚层交换机。Catalyst交换机将网络段划分为多个VLAN,如有必要,可提供VLAN之间的Layer 3交换,并作为收集器在局域网上的一个NetFlow源。
定制化的设备访问网络是通过公共互联网,或是统一化无线网络基础设施来完成的。第三方移动设备管理器(MDM)用于登记和控制企业网络上允许的设备。
关于Arbor Networks
Arbor Networks是企业和服务供应商网络安全和管理解决方案领先供应商。Arbor的成熟的解决方案有助于发展和保护客户网络、业务和品牌。通过其与世界各地的服务供应商和全球的网络运营商建立的无比的特许关系,经由ATLAS®主动威胁级分析系统,Arbor可对互联网安全和交易趋势提供无与伦比的洞察力和观点。通过与全球120多家网络运营商的独特合作协议,ATLAS能够共享实时安全信息、交易信息和路由信息,发出众多的业务决策通报。
关于最新的安全威胁和互联网交易趋势的技术观点,请访问我们的网站:http://arbornetworks.com和博客http://ddos.arbornetworks.com/
商标通知:
Arbor Networks、Peakflow、ArbOS、How Networks Grow、ATLAS、Pravail、Arbor Optima、Cloud Signaling、Arbor Networks标识和Arbor Networks:Smart. Available. Secure.全部是Arbor Networks公司的商标。所有其它商标可能是其相应所有者的商标。