(立體安全方案架構(gòu)圖)
  
      層層遞進(jìn)，構(gòu)建立體安全
  
      以前，在安全領(lǐng)域主要是以禁用主機上沒用的服務(wù)端口、設(shè)置殺毒軟件、軟件版本的防火墻等以實現(xiàn)抵御外部產(chǎn)生的威脅，而目前網(wǎng)絡(luò)的安全措施主要是獨立的硬件防火墻。它可以實現(xiàn)用戶信息的訪問控制和安全防范、實現(xiàn)對網(wǎng)絡(luò)不同安全區(qū)域的隔離，達(dá)到可控訪問的目的。例如入侵者如果打開了主機上某些被禁止的端口，由于防火墻并未開放該端口，因此入侵者仍然不可以使用該端口進(jìn)行內(nèi)外網(wǎng)之間的通訊，防止了內(nèi)部資源或數(shù)據(jù)的外泄。如曙光天羅防火墻可以通過訪問控制、安全過濾、抗攻擊、流量帶寬管理、防止非法入侵等功能提高安全等級。當(dāng)其檢測到危險信息時，系統(tǒng)可以根據(jù)管理員的設(shè)置斷開連接，實現(xiàn)入侵主動防護(hù)。另外使用防火墻還可以有效地降低安全管理的工作強度，提高計算機群系統(tǒng)安全的可管理性。

      防火墻為高性能機群提供了基本的安全防范，然而防火墻只能提供被動的、靜態(tài)的保護(hù)，所提供的安全級別較低，如果與網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS）、主機入侵檢測系統(tǒng)（HIDS）、數(shù)據(jù)安全、機群安全管理4個層面互相配合，則可以提供動態(tài)的安全防護(hù)，全面提升計算機群的安全等級。

   
  （立體安全解決方案網(wǎng)絡(luò)拓?fù)鋱D）
  
      第一級防護(hù)：網(wǎng)絡(luò)安全
  
      處在互聯(lián)網(wǎng)中的計算機首先要面對的就是網(wǎng)絡(luò)安全。一般情況下，防火墻對于對被允許的主機和應(yīng)用的攻擊無能為力，因為這些攻擊會偽裝成對這些合法主機和應(yīng)用服務(wù)的訪問，從而騙過防火墻，進(jìn)入到受防火墻保護(hù)的區(qū)域之內(nèi)。因此對于安全要求較高的局域網(wǎng)、或者局域網(wǎng)中部署有關(guān)鍵應(yīng)用的，應(yīng)該在使用防火墻保護(hù)的基礎(chǔ)上，采用入侵檢測系統(tǒng)（NIDS）提高相關(guān)區(qū)域的安全防護(hù)水平。
  
      網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS）能監(jiān)視網(wǎng)絡(luò)流量，通過偵聽特定網(wǎng)段的數(shù)據(jù)包，實現(xiàn)對該網(wǎng)段實時監(jiān)視、發(fā)現(xiàn)可疑連接和非法訪問的闖入等，防范網(wǎng)絡(luò)層至應(yīng)用層的各種惡意攻擊和誤操作。網(wǎng)絡(luò)入侵檢測系統(tǒng)通過與防火墻聯(lián)動，對網(wǎng)絡(luò)數(shù)據(jù)包的過濾和訪問控制，將訪問限制在網(wǎng)絡(luò)被允許的主機（IP地址）和應(yīng)用服務(wù)（端口），從而極大地縮小所需管理的安全范，實現(xiàn)針對網(wǎng)絡(luò)入侵的安全防護(hù)。
  
      第二級防護(hù)：主機系統(tǒng)安全
  
      雖然網(wǎng)絡(luò)入侵檢測可以對各種應(yīng)用服務(wù)，如Web、SMTP、POP3等提供保護(hù)，然而這些更多是對網(wǎng)絡(luò)數(shù)據(jù)包的檢查，而且防御手段通常會滯后于攻擊手段的發(fā)展，因此也就存在由于這種滯后而造成網(wǎng)絡(luò)的威脅，而使受保護(hù)網(wǎng)絡(luò)被侵入，如網(wǎng)絡(luò)中的某臺主機受到了攻擊并成為攻擊的中轉(zhuǎn)站，入侵者通過對被攻破的主機系統(tǒng)進(jìn)行修改，掩藏自己并對網(wǎng)絡(luò)中其它主機發(fā)動攻擊。這些行為是網(wǎng)絡(luò)入侵檢測系統(tǒng)無法解決的，這時就需要完善的主機防護(hù)系統(tǒng)。

      曙光主機入侵檢測系統(tǒng)（HIDS）能防范對主機系統(tǒng)文件的惡意纂改和誤操作，實時監(jiān)視可疑連接、定期檢查系統(tǒng)日志，掃描用戶行為，發(fā)現(xiàn)非法訪問闖入等。因此主機入侵檢測系統(tǒng)可以很好地彌補網(wǎng)絡(luò)入侵檢測系統(tǒng)的盲區(qū)，二者形成互補，對繞過防火墻的攻擊行為進(jìn)行細(xì)粒度的檢測和防御，實現(xiàn)從網(wǎng)絡(luò)到主機的全面防護(hù)。
  
      除HIDS保護(hù)以外，曙光天目立體監(jiān)控系統(tǒng)為服務(wù)器主機安全提供了更完善的保障，她支持在系統(tǒng)開機時啟動并捕獲BIOS對服務(wù)器的檢測信息，并把它們轉(zhuǎn)化為漢字顯示在服務(wù)器前面板液晶屏上，使系統(tǒng)管理員能非常直觀有效地定位服務(wù)器系統(tǒng)故障；并能實現(xiàn)基于主機和操作系統(tǒng)的監(jiān)控，同時提供服務(wù)器運行檢測月報告，不但可以對服務(wù)器的軟件和硬件資源進(jìn)行監(jiān)控，同時對局域網(wǎng)內(nèi)的二級服務(wù)器運行狀況也了如指掌。
  
      第三級防護(hù)：數(shù)據(jù)安全
  
      高性能計算機群多數(shù)都是用于科學(xué)研究或重要數(shù)據(jù)處理，因此其原始資料、計算結(jié)果等都屬于安全敏感數(shù)據(jù)，可以說服務(wù)器中所存儲的數(shù)據(jù)價值遠(yuǎn)遠(yuǎn)超過了它本身的價值，因此，這些數(shù)據(jù)的安全存儲和安全備份顯得格外重要，基于Cluster機群技術(shù)的雙機備份解決方案，基于用于對雙服務(wù)器實行監(jiān)控的容錯軟件和作為數(shù)據(jù)存儲設(shè)備的系列磁盤陣列柜，通過軟硬件兩部分的緊密配合，為數(shù)據(jù)安全提供了雙重的保護(hù)。
  
      除此之外，這些敏感數(shù)據(jù)在局域網(wǎng)、互聯(lián)網(wǎng)中傳輸時極易被竊取、篡改，因此在設(shè)計高性能計算機群的安全問題時，數(shù)據(jù)傳輸中的安全問題也必須要考慮。
  
      而利用防火墻的虛擬專用網(wǎng)絡(luò)（VPN－Virtual Private Network）功能實現(xiàn)互聯(lián)網(wǎng)用戶和局域網(wǎng)用戶、HPC用戶接口之間的安全通訊成為一種極為必要的手段。VPN是指在公眾網(wǎng)絡(luò)上所建立的企業(yè)網(wǎng)絡(luò)，此網(wǎng)絡(luò)擁有與專用網(wǎng)絡(luò)相同的安全、管理及功能等特點，它替代了傳統(tǒng)的撥號訪問，利用 INTERNET 公網(wǎng)資源作為企業(yè)專網(wǎng)的延續(xù)。它能通過加密、認(rèn)證、數(shù)字簽名等保證數(shù)據(jù)的安全性、完整性。VPN在立體安全中的應(yīng)用為關(guān)鍵數(shù)據(jù)的傳輸建起了一個高安全的專用數(shù)據(jù)傳輸通道，成為立體安全極為重要的一部分。
  
      綜合管理：機群安全管理
  
      作為立體安全，一個高效便捷的管理系統(tǒng)十分重要。曙光機群安全管理系統(tǒng)可實現(xiàn)網(wǎng)絡(luò)的全域資源管理，實行集中管理，統(tǒng)一配置。防火墻、IDS、VPN與機群安全管理緊密結(jié)合，為機群服務(wù)器提供更高的安全、更強的管理，從而實現(xiàn)了曙光公司所倡導(dǎo)的“立體安全”理念，為用戶的信息系統(tǒng)提供全方位的深度的“立體安全”防護(hù)。
  

多易