近日，公司行業(yè)拓展群組將一套曙光高性能計(jì)算機(jī)群順利推入中國科學(xué)院理化技術(shù)研究所，伴隨著它一同進(jìn)入的還有曙光天羅100D防火墻系統(tǒng)。安裝實(shí)施后，防火墻對高性能機(jī)群的安全保護(hù)和管理獲得了用戶的高度認(rèn)可。在高性能機(jī)群碩大的機(jī)柜面前，天羅防火墻的體型只能算是一個“小不點(diǎn)”。不過身形雖小，能耐可不小——為高性能計(jì)算機(jī)群打造全方位的安全防護(hù)，可全看它的。

擔(dān)當(dāng)高性能機(jī)群安全網(wǎng)關(guān) 盡顯“神通”
高性能計(jì)算機(jī)群在具體的應(yīng)用中主要用來進(jìn)行高速運(yùn)算以及核心數(shù)據(jù)的存儲，因此，高性能機(jī)群的安全顯得尤為重要。現(xiàn)在，隨著高性能計(jì)算需求的不斷增加，已建或新建的高性能計(jì)算機(jī)群為了方便多用戶使用、擴(kuò)大用戶的使用范圍，逐漸由原來的客戶端/服務(wù)器模式（C/S）轉(zhuǎn)向?yàn)g覽器/服務(wù)器模式（B/S），直接面向局域網(wǎng)乃至互聯(lián)網(wǎng)用戶，用戶可以直接通過網(wǎng)絡(luò)登陸高性能機(jī)群。機(jī)群管理者不但希望機(jī)群的可靠安全，更希望能對局域網(wǎng)內(nèi)部的使用者進(jìn)行有效管理控制。

中科院理化技術(shù)研究所引進(jìn)曙光高性能計(jì)算機(jī)群主要是用來進(jìn)行學(xué)科研究方面的大型計(jì)算。為了滿足具體的使用要求，要求機(jī)群接入研究所內(nèi)部局域網(wǎng)，這就意味著機(jī)群將直接面對局域網(wǎng)的用戶。IDC統(tǒng)計(jì)，70%的安全問題來自內(nèi)部，這使得與局域網(wǎng)連接的高性能計(jì)算機(jī)面臨著嚴(yán)重的安全問題！

安全問題如何解決？如何保證有效使用？曙光天羅防火墻作為安全網(wǎng)關(guān)使得所有問題迎刃而解——“小不點(diǎn)”擔(dān)起“大責(zé)任”。

中科院理化研究所防火墻應(yīng)用網(wǎng)絡(luò)拓?fù)鋱D

1．安全隔離防護(hù)
通過防火墻SNAT（源地址轉(zhuǎn)換）設(shè)置以及一系列規(guī)則的配合，在機(jī)群與局域網(wǎng)以及互聯(lián)網(wǎng)之間建立起一道可靠的屏障。這就使得所有對機(jī)群進(jìn)行訪問的信息，不是直接到達(dá)機(jī)群，而是必須與防火墻的規(guī)則進(jìn)行匹配，合乎要求的才能對機(jī)群進(jìn)行訪問。大大提高了機(jī)群的安全系數(shù)，從根本上保證了機(jī)群的安全。

2．網(wǎng)絡(luò)訪問控制
用戶可以通過天羅防火墻方便的實(shí)現(xiàn)對訪問的控制。只向合法的計(jì)算機(jī)開放訪問權(quán)限，而不合法的用戶則將被“拒之墻外”。局域網(wǎng)內(nèi)只有獲得訪問許可的用戶才能對機(jī)群進(jìn)行訪問，而其它用戶的訪問都將將被拒絕。強(qiáng)大的訪問控制功能，從根本上阻斷了攻擊的路徑，是一種更徹底的防護(hù)，進(jìn)一步降低了安全風(fēng)險，保障了機(jī)群安全。

3．節(jié)點(diǎn)映射 安全管理
端口映射是天羅防火墻又一大“法寶”：

首先，端口映射由于是采用DNAT（目的地址轉(zhuǎn)換）的方式，對內(nèi)部機(jī)群的網(wǎng)絡(luò)信息進(jìn)行了隱藏，提高了機(jī)群的安全性能；

其次，在機(jī)群的對外訪問端口發(fā)生改變的時候，只需要在防火墻上對端口映射加以修改，就能實(shí)現(xiàn)對機(jī)群的訪問。而不必在客戶段對端口設(shè)置進(jìn)行更改，方便了管理；

最后，端口映射可以對機(jī)群各節(jié)點(diǎn)進(jìn)行映射，實(shí)現(xiàn)對節(jié)點(diǎn)的直接訪問。而不必像傳統(tǒng)的訪問方式：首先訪問管理節(jié)點(diǎn)，再訪問其他節(jié)點(diǎn)。

全面防護(hù)，為高性能機(jī)群打造立體安全
防火墻為高性能機(jī)群提供了基本的安全防范，然而防火墻只能提供被動的、靜態(tài)的保護(hù)，所提供的安全級別較低，如果與網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS）、主機(jī)入侵檢測系統(tǒng)（HIDS）、互相配合，則可以提供動態(tài)的安全防護(hù)，再加上SKVM、機(jī)群監(jiān)控的管理協(xié)調(diào)，將全面提升計(jì)算機(jī)群的安全等級。

立體安全解決方案拓?fù)鋱D

防火墻的存在，通過其安全隔離防護(hù)、訪問控制管理、端口映射等功能，大大加強(qiáng)了網(wǎng)絡(luò)的安全性和可控性。此外，結(jié)合防火墻的VPN隧道功能，對通信的數(shù)據(jù)進(jìn)行加密，更是在傳播途徑中加強(qiáng)了網(wǎng)絡(luò)數(shù)據(jù)的安全。

網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS）能監(jiān)視網(wǎng)絡(luò)流量，通過偵聽特定網(wǎng)段的數(shù)據(jù)包，實(shí)現(xiàn)對該網(wǎng)段實(shí)時監(jiān)視、發(fā)現(xiàn)可疑連接和非法訪問的闖入等，防范網(wǎng)絡(luò)層至應(yīng)用層的各種惡意攻擊和誤操作，從而極大地縮小所需管理的安全范，實(shí)現(xiàn)針對網(wǎng)絡(luò)入侵的安全防護(hù)。

曙光主機(jī)入侵檢測系統(tǒng)（HIDS）能防范對主機(jī)系統(tǒng)文件的惡意纂改和誤操作，實(shí)時監(jiān)視可疑連接、定期檢查系統(tǒng)日志，掃描用戶行為，發(fā)現(xiàn)非法訪問闖入等。因此主機(jī)入侵檢測系統(tǒng)可以很好地彌補(bǔ)網(wǎng)絡(luò)入侵檢測系統(tǒng)的盲區(qū)，二者形成互補(bǔ)，對繞過防火墻的攻擊行為進(jìn)行細(xì)粒度的檢測和防御，實(shí)現(xiàn)從網(wǎng)絡(luò)到主機(jī)的全面防護(hù)。

曙光SKVM系統(tǒng)不但能夠從整體上提升機(jī)群的使用性能水準(zhǔn)，而且能夠很大程度上滿足用戶實(shí)際需求，提高用戶在信息網(wǎng)絡(luò)系統(tǒng)的可管理性、好用性、可用性。曙光基于Over IP技術(shù)的SKVM，提供了相對彈性的管理方案，網(wǎng)管人員可以在任何地方，透過TCP/IP網(wǎng)絡(luò)來遠(yuǎn)程管理分散在世界各地機(jī)房中的機(jī)器。同時，曙光機(jī)群安全管理系統(tǒng)可以實(shí)現(xiàn)網(wǎng)絡(luò)資源的集中管理，使得整個安全體系成為一個整體。

綜合以上幾點(diǎn)，曙光天羅防火墻是高性能機(jī)群的安全網(wǎng)關(guān)，為高性能機(jī)群筑起了一道堅(jiān)實(shí)的安全長城。曙光天羅防火墻這次在中國科學(xué)院理化技術(shù)研究所高性能機(jī)群上的杰出表現(xiàn)，再一次證明了自己的實(shí)力。曙光天羅防火墻作為安全網(wǎng)關(guān)的加入，更使得曙光高性能機(jī)群如虎添翼，增強(qiáng)了曙光在高性能計(jì)算領(lǐng)域的競爭力。