擔當高性能機群安全網(wǎng)關 盡顯“神通”
高性能計算機群在具體的應用中主要用來進行高速運算以及核心數(shù)據(jù)的存儲,因此���,高性能機群的安全顯得尤為重要?��,F(xiàn)在,隨著高性能計算需求的不斷增加�,已建或新建的高性能計算機群為了方便多用戶使用、擴大用戶的使用范圍�����,逐漸由原來的客戶端/服務器模式(C/S)轉向瀏覽器/服務器模式(B/S)��,直接面向局域網(wǎng)乃至互聯(lián)網(wǎng)用戶,用戶可以直接通過網(wǎng)絡登陸高性能機群�。機群管理者不但希望機群的可靠安全,更希望能對局域網(wǎng)內部的使用者進行有效管理控制���。
中科院理化技術研究所引進曙光高性能計算機群主要是用來進行學科研究方面的大型計算����。為了滿足具體的使用要求�����,要求機群接入研究所內部局域網(wǎng)�,這就意味著機群將直接面對局域網(wǎng)的用戶����。IDC統(tǒng)計,70%的安全問題來自內部����,這使得與局域網(wǎng)連接的高性能計算機面臨著嚴重的安全問題!
安全問題如何解決��?如何保證有效使用���?曙光天羅防火墻作為安全網(wǎng)關使得所有問題迎刃而解??“小不點”擔起“大責任”����。
中科院理化研究所防火墻應用網(wǎng)絡拓撲圖
1.安全隔離防護
通過防火墻SNAT(源地址轉換)設置以及一系列規(guī)則的配合,在機群與局域網(wǎng)以及互聯(lián)網(wǎng)之間建立起一道可靠的屏障�。這就使得所有對機群進行訪問的信息,不是直接到達機群��,而是必須與防火墻的規(guī)則進行匹配�,合乎要求的才能對機群進行訪問。大大提高了機群的安全系數(shù)�����,從根本上保證了機群的安全�。
2.網(wǎng)絡訪問控制
用戶可以通過天羅防火墻方便的實現(xiàn)對訪問的控制。只向合法的計算機開放訪問權限�����,而不合法的用戶則將被“拒之墻外”��。局域網(wǎng)內只有獲得訪問許可的用戶才能對機群進行訪問���,而其它用戶的訪問都將將被拒絕����。強大的訪問控制功能,從根本上阻斷了攻擊的路徑�����,是一種更徹底的防護���,進一步降低了安全風險��,保障了機群安全。
3.節(jié)點映射 安全管理
端口映射是天羅防火墻又一大“法寶”:
首先���,端口映射由于是采用DNAT(目的地址轉換)的方式��,對內部機群的網(wǎng)絡信息進行了隱藏��,提高了機群的安全性能����;
其次�,在機群的對外訪問端口發(fā)生改變的時候,只需要在防火墻上對端口映射加以修改�,就能實現(xiàn)對機群的訪問。而不必在客戶段對端口設置進行更改,方便了管理����;
最后,端口映射可以對機群各節(jié)點進行映射���,實現(xiàn)對節(jié)點的直接訪問�。而不必像傳統(tǒng)的訪問方式:首先訪問管理節(jié)點����,再訪問其他節(jié)點。
全面防護�,為高性能機群打造立體安全
防火墻為高性能機群提供了基本的安全防范,然而防火墻只能提供被動的�、靜態(tài)的保護,所提供的安全級別較低���,如果與網(wǎng)絡入侵檢測系統(tǒng)(NIDS)����、主機入侵檢測系統(tǒng)(HIDS)���、互相配合���,則可以提供動態(tài)的安全防護�����,再加上SKVM��、機群監(jiān)控的管理協(xié)調���,將全面提升計算機群的安全等級。
防火墻的存在�,通過其安全隔離防護、訪問控制管理����、端口映射等功能�����,大大加強了網(wǎng)絡的安全性和可控性����。此外,結合防火墻的VPN隧道功能����,對通信的數(shù)據(jù)進行加密��,更是在傳播途徑中加強了網(wǎng)絡數(shù)據(jù)的安全��。
網(wǎng)絡入侵檢測系統(tǒng)(NIDS)能監(jiān)視網(wǎng)絡流量��,通過偵聽特定網(wǎng)段的數(shù)據(jù)包����,實現(xiàn)對該網(wǎng)段實時監(jiān)視����、發(fā)現(xiàn)可疑連接和非法訪問的闖入等,防范網(wǎng)絡層至應用層的各種惡意攻擊和誤操作����,從而極大地縮小所需管理的安全范,實現(xiàn)針對網(wǎng)絡入侵的安全防護��。
曙光主機入侵檢測系統(tǒng)(HIDS)能防范對主機系統(tǒng)文件的惡意纂改和誤操作���,實時監(jiān)視可疑連接�、定期檢查系統(tǒng)日志�,掃描用戶行為��,發(fā)現(xiàn)非法訪問闖入等����。因此主機入侵檢測系統(tǒng)可以很好地彌補網(wǎng)絡入侵檢測系統(tǒng)的盲區(qū)����,二者形成互補,對繞過防火墻的攻擊行為進行細粒度的檢測和防御����,實現(xiàn)從網(wǎng)絡到主機的全面防護。
曙光SKVM系統(tǒng)不但能夠從整體上提升機群的使用性能水準���,而且能夠很大程度上滿足用戶實際需求�,提高用戶在信息網(wǎng)絡系統(tǒng)的可管理性�、好用性、可用性��。曙光基于Over IP技術的SKVM��,提供了相對彈性的管理方案����,網(wǎng)管人員可以在任何地方,透過TCP/IP網(wǎng)絡來遠程管理分散在世界各地機房中的機器�。同時,曙光機群安全管理系統(tǒng)可以實現(xiàn)網(wǎng)絡資源的集中管理��,使得整個安全體系成為一個整體���。
綜合以上幾點�����,曙光天羅防火墻是高性能機群的安全網(wǎng)關���,為高性能機群筑起了一道堅實的安全長城。曙光天羅防火墻這次在中國科學院理化技術研究所高性能機群上的杰出表現(xiàn)�����,再一次證明了自己的實力��。曙光天羅防火墻作為安全網(wǎng)關的加入�����,更使得曙光高性能機群如虎添翼���,增強了曙光在高性能計算領域的競爭力�。
