第一页
门口、电梯、楼道、走廊、停车场……室外,成千个红外线夜间摄像头不停地窥伺着不轨行径的发生。围墙、门锁、摄像头、监控屏、监控室、保安、电缆、安全制度一系列防护措施维系着现实生活的安全。然而黑客帝国三部曲是否让你在过足戏瘾的同时,也意识到了危机四伏早已不仅属于现实世界?拿什么来保护企业关键网络?抵御黑客的最后一道防线又将是什么?
据权威机构调查,80%的服务器攻击都来之于内网。企业内部网络一般由多个子网络组成,其中高性能计算网络存在大量敏感数据和应用,在企业中占据越来越重要的地位。现在绝大部分企业只注重企业内网和Internet之间的安全防护,在内网和外网之间建立防火墙,而忽略了企业内网中高性能计算网络等关键网络的防护。其最突出的表现就是局域网内的所有计算机工作站包括终端、存储、服务器群都直接汇接到主干交换机上。虽然企业内网对于外网来说,已经具备一定的安全保障,但是这点保障对企业核心的高性能计算服务器及应用远远不够。
曙光公司作为国内高性能计算的领军厂商,在长久以来高性能计算机群部署中得出的经验表明,面对计算机网络中的种种威胁,必须采取有力的措施来保证安全。只有全方位地杜绝各种不同的威胁和脆弱性,才能确保网络信息的保密性、完整性和可用性。高性能计算网络应该看成是安全性要求极高的内部网络,企业内网则是可以满足用户上外网执行工作的网络,这个网络的安全性者会降低很多。因此必须设计一个高安全性、高可靠性及高性能的防火墙安全保护系统,确保数据和应用万无一失,高性能计算专网等关键网络的防护刻不容缓。
高性能计算作为第三大科学方法和第一生产力的地位与作用被广泛认识,并开始走出原来的科研计算向更为广阔的商业计算和信息化服务领域扩展。更多的典型应用在电子政务、石油物探、分子材料研究、金融服务、教育信息化和企业信息化中得以展现等等;与此同时高性能计算也给用户提供有可视化应用,要求系统能够作为可视化用的图形服务器。另外,用户还有海量存储和后备磁带库等灾难容错需求。
高性能计算专网传输量大,对数据传输的要求较高,因此曙光TLFW-1000A的ASIC防火墙是高性能计算专网防护的首选。曙光建议,在高性能计算完成后,客户端机从内部管理节点上获取数据,并将数据传输到对外服务节点上。这样,外部人员要使用计算出来的数据和软件,则直接从对外服务节点上下载。而计算专网内部的整体系统受到曙光防火墙的隔离保护,外部人员是看不到的,计算专网的高安全性要求得到实现。
第二页
曙光天罗TLFW-1000A系列防火墙配备可编程的ASIC芯片,保证防火墙系统从小包64字节到1518字节的数据处理,从简单功能到复杂网络应用组合,都可达到100%的线速转发。具备系统管理、安全策略、安全检测、日志管理、网络计费、虚拟专网等多项安全功能。同时可升级的FPGA芯片保证了通过升级防火墙核心功能框架,实现防火墙同一硬件平台上的再升级,并最终实现防火墙整体处理能力或安全性的全面提升。
曙光天罗防火墙TLFW-1000A可以从以下几个方面来保护高性能机群系统的安全:
1、访问控制
曙光天罗防火墙具有的访问控制功能,可以通过加密认证来限制外网用户对防火墙内部的机群系统的访问,没有得到密钥的用户无法进入机群系统,能保持很高的安全性。
2、安全过滤
曙光天罗防火墙自身带有的安全过滤模块能在防火墙内外网数据交互的时候对其进行深度包过滤检测。若是有不安全因素包括在数据中,防火墙可以通过检测定义对其过滤,使其无法通过防火墙,保障机群系统不遭到恶意代码的破坏。
3、抗攻击
曙光天罗防火墙自身具有很强的抗攻击能力,能适应各种险恶的网络环境,保证内部机群系统不因为防火墙的抵抗能力差而无法保持正常工作。
4、流量带宽管理
曙光天罗防火墙的带宽管理可以让用户随意调整网络的带宽流量;特有的流量计费功能更可以帮助用户实现网络流量计费,流量监控等功能。
5、防止非法入侵
曙光天罗防火墙内置的入侵检测模块,可以让系统对受到的攻击设有完备的记录功能,检测到危险信息时,系统可以根据管理员的设置断开连接,实现入侵防护一体化。
第三页
同时曙光还建议在高性能计算专网关键交换机上安装千兆HIDS(网络入侵检测系统),及时发现网络内的非正常访问行为,并加以阻断,以防止危害整个网络的正常运行。
IDS除了能对网络上各种非法行为产生报警外还能对一些特定的事件进行实时的响应,因为只有采取及时的响应才能有效阻止重要的资源被破坏或被盗用。目前最常用的响应方式是对网络中的非法连接进行阻断,如利用防火墙阻断、列入黑名单阻断或HTTP阻断等。
IDS的最重要价值之一是它能提供事后统计分析,所有安全事件或审计事件的信息都将被记录在数据库中,可以从各个角度来对这些事件进行分析归类,以总结出被保护网络的安全状态的现状和趋势,及时发现网络或主机中存在的问题或漏洞,并可归纳出相应的解决方案。
曙光IDS网络入侵检测系统能监视网络流量,通过侦听特定网段的数据包,实现对该网段实时监视、发现可疑连接和非法访问的闯入等,防范网络层至应用层的各种恶意攻击和误操作,从而极大地缩小所需管理的安全范围,实现针对网络入侵的安全防护。
IDS以监控模式安装在网络中,根据定义的攻击特征对网络数据进行匹配,实时地把匹配结果传输给管理员。管理员根据攻击信息,采取及时的响应措施。另外IDS可通过监控模式运行,可与曙光防火墙及时联动,也可以提供TCP会话阻断功能。
网友评论