然而黑客帝國三部曲是否讓你在過足戲癮的同時,也意識到了危機四伏早已不僅屬于現實世界?拿什么來保護企業關鍵網絡?抵御黑客的最后一道防線又將是什么?
據權威機構調查,80%的服務器攻擊都來之于內網。企業內部網絡一般由多個子網絡組成,其中高性能計算網絡存在大量敏感數據和應用,在企業中占據越來越重要的地位。
現在絕大部分企業只注重企業內網和Internet之間的安全防護,在內網和外網之間建立防火墻,而忽略了企業內網中高性能計算網絡等關鍵網絡的防護。
其最突出的表現就是局域網內的所有計算機工作站包括終端、存儲、服務器群都直接匯接到主干交換機上。雖然企業內網對于外網來說,已經具備一定的安全保障,但是這點保障對企業核心的高性能計算服務器及應用遠遠不夠。
曙光公司作為國內高性能計算的領軍廠商,在長久以來高性能計算機群部署中得出的經驗表明,面對計算機網絡中的種種威脅,必須采取有力的措施來保證安全。只有全方位地杜絕各種不同的威脅和脆弱性,才能確保網絡信息的保密性、完整性和可用性。
高性能計算網絡應該看成是安全性要求極高的內部網絡,企業內網則是可以滿足用戶上外網執行工作的網絡,這個網絡的安全性者會降低很多。因此必須設計一個高安全性、高可靠性及高性能的防火墻安全保護系統,確保數據和應用萬無一失,高性能計算專網等關鍵網絡的防護刻不容緩。
高性能計算作為第三大科學方法和第一生產力的地位與作用被廣泛認識,并開始走出原來的科研計算向更為廣闊的商業計算和信息化服務領域擴展。
更多的典型應用在電子政務、石油物探、分子材料研究、金融服務、教育信息化和企業信息化中得以展現等等;與此同時高性能計算也給用戶提供有可視化應用,要求系統能夠作為可視化用的圖形服務器。另外,用戶還有海量存儲和后備磁帶庫等災難容錯需求。
高性能計算專網傳輸量大,對數據傳輸的要求較高,因此曙光TLFW-1000A的ASIC防火墻是高性能計算專網防護的首選。曙光建議,在高性能計算完成后,客戶端機從內部管理節點上獲取數據,并將數據傳輸到對外服務節點上。
這樣,外部人員要使用計算出來的數據和軟件,則直接從對外服務節點上下載。而計算專網內部的整體系統受到曙光防火墻的隔離保護,外部人員是看不到的,計算專網的高安全性要求得到實現。
曙光天羅TLFW-1000A系列防火墻配備可編程的ASIC芯片,保證防火墻系統從小包64字節到1518字節的數據處理,從簡單功能到復雜網絡應用組合,都可達到100%的線速轉發。
具備系統管理、安全策略、安全檢測、日志管理、網絡計費、虛擬專網等多項安全功能。同時可升級的FPGA芯片保證了通過升級防火墻核心功能框架,實現防火墻同一硬件平臺上的再升級,并最終實現防火墻整體處理能力或安全性的全面提升。
曙光天羅防火墻TLFW-1000A可以從以下幾個方面來保護高性能機群系統的安全:
1、 訪問控制
曙光天羅防火墻具有的訪問控制功能,可以通過加密認證來限制外網用戶對防火墻內部的機群系統的訪問,沒有得到密鑰的用戶無法進入機群系統,能保持很高的安全性。
2、 安全過濾
曙光天羅防火墻自身帶有的安全過濾模塊能在防火墻內外網數據交互的時候對其進行深度包過濾檢測。若是有不安全因素包括在數據中,防火墻可以通過檢測定義對其過濾,使其無法通過防火墻,保障機群系統不遭到惡意代碼的破壞。
3、 抗攻擊
曙光天羅防火墻自身具有很強的抗攻擊能力,能適應各種險惡的網絡環境,保證內部機群系統不因為防火墻的抵抗能力差而無法保持正常工作。
4、 流量帶寬管理
曙光天羅防火墻的帶寬管理可以讓用戶隨意調整網絡的帶寬流量;特有的流量計費功能更可以幫助用戶實現網絡流量計費,流量監控等功能。
5、 防止非法入侵
曙光天羅防火墻內置的入侵檢測模塊,可以讓系統對受到的攻擊設有完備的記錄功能,檢測到危險信息時,系統可以根據管理員的設置斷開連接,實現入侵防護一體化。
同時曙光還建議在高性能計算專網關鍵交換機上安裝千兆HIDS(網絡入侵檢測系統),及時發現網絡內的非正常訪問行為,并加以阻斷,以防止危害整個網絡的正常運行。
IDS除了能對網絡上各種非法行為產生報警外還能對一些特定的事件進行實時的響應,因為只有采取及時的響應才能有效阻止重要的資源被破壞或被盜用。目前最常用的響應方式是對網絡中的非法連接進行阻斷,如利用防火墻阻斷、列入黑名單阻斷或HTTP阻斷等。
IDS的最重要價值之一是它能提供事后統計分析,所有安全事件或審計事件的信息都將被記錄在數據庫中,可以從各個角度來對這些事件進行分析歸類,以總結出被保護網絡的安全狀態的現狀和趨勢,及時發現網絡或主機中存在的問題或漏洞,并可歸納出相應的解決方案。
曙光IDS網絡入侵檢測系統能監視網絡流量,通過偵聽特定網段的數據包,實現對該網段實時監視、發現可疑連接和非法訪問的闖入等,防范網絡層至應用層的各種惡意攻擊和誤操作,從而極大地縮小所需管理的安全范圍,實現針對網絡入侵的安全防護。
IDS以監控模式安裝在網絡中,根據定義的攻擊特征對網絡數據進行匹配,實時地把匹配結果傳輸給管理員。管理員根據攻擊信息,采取及時的響應措施。另外IDS可通過監控模式運行,可與曙光防火墻及時聯動,也可以提供TCP會話阻斷功能。
