近日,公司行业拓展群组将一套曙光高性能计算机群顺利推入中国科学院理化技术研究所,伴随着它一同进入的还有曙光天罗100D防火墙系统。安装实施后,防火墙对高性能机群的安全保护和管理获得了用户的高度认可。在高性能机群硕大的机柜面前,天罗防火墙的体型只能算是一个“小不点”。不过身形虽小,能耐可不小??为高性能计算机群打造全方位的安全防护,可全看它的。
担当高性能机群安全网关 尽显“神通”
高性能计算机群在具体的应用中主要用来进行高速运算以及核心数据的存储,因此,高性能机群的安全显得尤为重要。现在,随着高性能计算需求的不断增加,已建或新建的高性能计算机群为了方便多用户使用、扩大用户的使用范围,逐渐由原来的客户端/服务器模式(C/S)转向浏览器/服务器模式(B/S),直接面向局域网乃至互联网用户,用户可以直接通过网络登陆高性能机群。机群管理者不但希望机群的可靠安全,更希望能对局域网内部的使用者进行有效管理控制。
中科院理化技术研究所引进曙光高性能计算机群主要是用来进行学科研究方面的大型计算。为了满足具体的使用要求,要求机群接入研究所内部局域网,这就意味着机群将直接面对局域网的用户。IDC统计,70%的安全问题来自内部,这使得与局域网连接的高性能计算机面临着严重的安全问题!
安全问题如何解决?如何保证有效使用?曙光天罗防火墙作为安全网关使得所有问题迎刃而解??“小不点”担起“大责任”。
中科院理化研究所防火墙应用网络拓扑图
1.安全隔离防护
通过防火墙SNAT(源地址转换)设置以及一系列规则的配合,在机群与局域网以及互联网之间建立起一道可靠的屏障。这就使得所有对机群进行访问的信息,不是直接到达机群,而是必须与防火墙的规则进行匹配,合乎要求的才能对机群进行访问。大大提高了机群的安全系数,从根本上保证了机群的安全。
2.网络访问控制
用户可以通过天罗防火墙方便的实现对访问的控制。只向合法的计算机开放访问权限,而不合法的用户则将被“拒之墙外”。局域网内只有获得访问许可的用户才能对机群进行访问,而其它用户的访问都将将被拒绝。强大的访问控制功能,从根本上阻断了攻击的路径,是一种更彻底的防护,进一步降低了安全风险,保障了机群安全。
3.节点映射 安全管理
端口映射是天罗防火墙又一大“法宝”:
首先,端口映射由于是采用DNAT(目的地址转换)的方式,对内部机群的网络信息进行了隐藏,提高了机群的安全性能;
其次,在机群的对外访问端口发生改变的时候,只需要在防火墙上对端口映射加以修改,就能实现对机群的访问。而不必在客户段对端口设置进行更改,方便了管理;
最后,端口映射可以对机群各节点进行映射,实现对节点的直接访问。而不必像传统的访问方式:首先访问管理节点,再访问其他节点。
全面防护,为高性能机群打造立体安全
防火墙为高性能机群提供了基本的安全防范,然而防火墙只能提供被动的、静态的保护,所提供的安全级别较低,如果与网络入侵检测系统(NIDS)、主机入侵检测系统(HIDS)、互相配合,则可以提供动态的安全防护,再加上SKVM、机群监控的管理协调,将全面提升计算机群的安全等级。
立体安全解决方案拓扑图
火墙的存在,通过其安全隔离防护、访问控制管理、端口映射等功能,大大加强了网络的安全性和可控性。此外,结合防火墙的VPN隧道功能,对通信的数据进行加密,更是在传播途径中加强了网络数据的安全。
网络入侵检测系统(NIDS)能监视网络流量,通过侦听特定网段的数据包,实现对该网段实时监视、发现可疑连接和非法访问的闯入等,防范网络层至应用层的各种恶意攻击和误操作,从而极大地缩小所需管理的安全范,实现针对网络入侵的安全防护。
曙光主机入侵检测系统(HIDS)能防范对主机系统文件的恶意纂改和误操作,实时监视可疑连接、定期检查系统日志,扫描用户行为,发现非法访问闯入等。因此主机入侵检测系统可以很好地弥补网络入侵检测系统的盲区,二者形成互补,对绕过防火墙的攻击行为进行细粒度的检测和防御,实现从网络到主机的全面防护。
曙光SKVM系统不但能够从整体上提升机群的使用性能水准,而且能够很大程度上满足用户实际需求,提高用户在信息网络系统的可管理性、好用性、可用性。曙光基于Over IP技术的SKVM,提供了相对弹性的管理方案,网管人员可以在任何地方,透过TCP/IP网络来远程管理分散在世界各地机房中的机器。同时,曙光机群安全管理系统可以实现网络资源的集中管理,使得整个安全体系成为一个整体。
综合以上几点,曙光天罗防火墙是高性能机群的安全网关,为高性能机群筑起了一道坚实的安全长城。曙光天罗防火墙这次在中国科学院理化技术研究所高性能机群上的杰出表现,再一次证明了自己的实力。曙光天罗防火墙作为安全网关的加入,更使得曙光高性能机群如虎添翼,增强了曙光在高性能计算领域的竞争力。