《(质量认证)HC超级计算中心网络安全解决方案》由会员分享,可在线阅读,更多相关《(质量认证)HC超级计算中心网络安全解决方案(6页珍藏版)》请在金锄头文库上搜索。
1、H3C超级计算中心网络安全解决方案1 概述基于在IT领域的长期耕耘,纵观超算中心发展历程,H3C提出基于统一交换网、统一安全的超算中心网络安全解决方案。2 统一交换网络超算中心自1973年面世以来,强大生命力和业务承载能力已经使得以太网已经成为通信网络的事实标准。近年万兆以太网在性能上大幅增强,2010年IEEE将发布100G和40G以太网,成为名副其实的“高性能通信网络”。在超级计算领域,09年6月发布的世界TOP500超级计算机排名显示,282个站点采用以太网连接,占据56.4的份额。HPC集群通过全以太网连接前端网主节点计算网计算节点存储网存储和管理网,通过统一的网络通信架构、解决HPC
2、集群采用异构通信网络(计算网采用Infiniband、存储网采用FC)的各种问题。传统的超算中心网络结构异构复杂,接口不统一 前端网和管理网采用以太网; 存储网采用FC; 计算网用Infiniband;超算中心通信网络复杂异构、接口不统一,导致超算中心运行时协议转换开销大、速率不匹配、存在性能瓶颈、开发与部署周期长、无法满足业务快速灵活部署和性能的需求。超算中心一体化网络通过CEE(增强以太网)和标准IP协议融合前端、计算、存储和管理四张网络,消除网络技术割裂所来的种种弊端。 降低TCO; 简化网络层次; 增强业务灵活性; 轻松部署; 至简的维护; 万兆以太网增强技术(RAMA和ToE)解决了
3、带宽和性能的瓶颈; CEE彻底解决了高性能计算大流量并发所带来的丢包问题; 彻底解决数据计算、交换、存储协议转换的性能瓶颈。通过第二代智能弹性架构IRF2技术,使超算中心网络的性能以倍数级别灵活扩展,增强可靠性增强,简化配置,降低投入和维护成本。IRF2可实现分布式设备管理、分布式路由和跨设备链路聚合,部署IRF2除了提高超算中心网络的可用性,减少单点故障影响,还可以 分布式处理二三层协议,极大提高网络性能; 每组当成一个逻辑Fabric,配置管理更高效; 交换集群内设备软件版本同步升级,升级容易; 整个交换集群的设备支持热插拔,灵活管理; 交换集群实现倍数级的接入密度和背板交换能力,并提高组
4、网的可靠性; 对高端设备而言,可将多台设备当成一台设备进行管理,实现性能倍增,简化组网。部署IRF2后,无需再考虑MSTP、VRRP等协议,解决了传统设备和链路只能工作在主/备模式和利用率低于50的性能瓶颈。3 统一安全超算中心H3C超算中心安全解决方案秉承了H3C一贯倡导的“统一安全理念”,将安全部署渗透到整个超算中心的设计、部署、运维中,为超算中心搭建起一个立体的、无缝的、统一的安全平台,真正做到了使超算中心安全保护无处不在。H3C超算中心安全解决方案的技术特色可用安全多层保护、安全纵深防御、安全分区规划、安全分层部署来概括以超算中心数据资源为核心向外延伸有多层保护功能。 特性丰富的端点准
5、入(EAD)方案; 兼容性强、有丰富报表输出的安全管理方案; 灵活的VPN接入方式; 强大的DDoS防御方案(流量清洗); 高性能硬件防火墙; 业界领先的反病毒软件; 以ASIC、FPGA和NP技术组成的具有高性能精确检测引擎的IPS; 性能强大的应用优化设备。多层保护的同时为超算中心网络提供了从链路层到应用层的多层防御体系,如图。交换机提供的安全特性构成安全超算中心的网络基础,提供数据链路层的攻击防御。超算中心网络边界安全定位在传输层与网络层的安全上,通过状态防火墙可以把安全信任网络和非安全网络进行隔离,并提供对DDOS和多种畸形报文攻击的防御。IPS可以针对应用流量做深度分析与检测能力,同时配合以精心研究的攻击特征知识库和用户规则,即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络应用层的保护。在超算中心网络中存在不同业务种类和易受攻击程度不同的设备,按照这些业务种类和设备的情况制定不同的安全策略和信任模型,将超算网络划分为不同区域,超算中心安全分区具体如下图。安全分层部署把超算中心分成网络安全、业务安全、管理安全三个安全控制区域,针对网络、业务、管理对安全控制的不同需求进行分层次的安全部署,打破了超算中心安全部署困难的难题,便于采用不同的安全设备、安全策略防范不同区域的安全隐患。
