超算中心网络安全解决方案Word文件下载.docx
《超算中心网络安全解决方案Word文件下载.docx》由会员分享,可在线阅读,更多相关《超算中心网络安全解决方案Word文件下载.docx(12页珍藏版)》请在冰点文库上搜索。
互联网产业的快速发展将推动IT产业发生颠覆性变革,传统以PC为核心的应用模式很可能将不复存在,未来一切应用软件和数据存储都将依赖远端的大规模计算中心,这就是所谓的“云计算”!
目前,全球各大IT厂商都将发展云计算技术作为最重要的目标,包括微软、Google、IBM等都推出了各自的云计算解决方案。
“云计算”使得IT资源由分布趋于集中,大型IT中心建设将进入快速发展时期。
资源整合有利于提高使用效率并易于管理,同时能够保证最佳的应用水平和服务支持能力。
因此,未来IT资源将以“按需服务On-Demand-Service”模式展现给用户,包括软件即服务Softwareasaservice、基础架构即服务InfrastructureasaService以及平台即服务Platformasaservice等多种模式。
超算中心作为拥有巨大计算资源、存储资源以及软件资源的机构,对科技发展的推动、对经济发展的推动、对重大工程、项目和战略目标的不可替代作用等价值日益凸现。
因此,未来政府主导的超算中心建设将进入快速发展阶段,超算中心将成为政府基础设施建设的一部分,“公共服务”是未来超算中心的基本属性。
从这一点上来说,超算中心的目标和云计算的目标一致。
此外,未来超算中心的应用模式将不断拓展,综合性超算中心的建设将成为主流。
综合性超算中心可以在以下领域发挥作用:
科研类:
面向教育和科研领域用户的科学计算应用
企业类:
提供计算、存储和软件资源,对企业用户提供服务,按需付费
政务类:
IT投资集中化,建设成政务信息计算中心
金融类:
面向金融、证券等行业的海量数据挖掘
电子商务类:
线上交易平台与商务智能
数据处理类:
海量互联网数据的处理和分析。
H3C超级计算中心网络安全解决方案
基于在IT领域的长期耕耘,纵观超算中心发展历程,H3C提出基于统一交换网、统一安全的超算中心网络安全解决方案。
统一交换网络超算中心
自1973年面世以来,强大生命力和业务承载能力已经使得以太网已经成为通信网络的事实标准。
近年万兆以太网在性能上大幅增强,2010年IEEE将发布100G和40G以太网,成为名副其实的“高性能通信网络”。
在超级计算领域,09年6月发布的世界TOP500超级计算机排名显示,282个站点采用以太网连接,占据56.4%的份额。
HPC集群通过全以太网连接前端网-主节点-计算网-计算节点-存储网-存储和管理网,通过统一的网络通信架构、解决HPC集群采用异构通信网络(计算网采用Infiniband、存储网采用FC)的各种问题。
传统的超算中心网络结构异构复杂,接口不统一:
Ø
前端网和管理网采用以太网;
存储网采用FC;
计算网用Infiniband;
超算中心通信网络复杂异构、接口不统一,导致超算中心运行时协议转换开销大、速率不匹配、存在性能瓶颈、开发与部署周期长、无法满足业务快速灵活部署和性能的需求。
超算中心一体化网络通过CEE(增强以太网)和标准IP协议融合前端、计算、存储和管理四张网络,消除网络技术割裂所来的种种弊端。
降低TCO
简化网络层次
增强业务灵活性
轻松部署
至简的维护
万兆以太网增强技术(RAMA和ToE)解决了带宽和性能的瓶颈
CEE彻底解决了高性能计算大流量并发所带来的丢包问题
彻底解决数据计算、交换、存储协议转换的性能瓶颈
通过第二代智能弹性架构IRFII技术,使超算中心网络的性能以倍数级别灵活扩展,增强可靠性增强,简化配置,降低投入和维护成本。
IRFII可实现分布式设备管理、分布式路由和跨设备链路聚合,部署IRFII除了提高超算中心网络的可用性,减少单点故障影响,还可以:
分布式处理二三层协议,极大提高网络性能。
每组当成一个逻辑Fabric,配置管理更高效。
交换集群内设备软件版本同步升级,升级容易。
整个交换集群的设备支持热插拔,灵活管理。
交换集群实现倍数级的接入密度和背板交换能力,并提高组网的可靠性。
对高端设备而言,可将多台设备当成一台设备进行管理,实现性能倍增,简化组网。
部署IRFII后,无需再考虑MSTP、VRRP等协议,解决了传统设备和链路只能工作在主/备模式和利用率低于50%的性能瓶颈。
统一安全超算中心
H3C超算中心安全解决方案秉承了H3C一贯倡导的“统一安全理念”,将安全部署渗透到整个超算中心的设计、部署、运维中,为超算中心搭建起一个立体的、无缝的、统一的安全平台,真正做到了使超算中心安全保护无处不在。
H3C超算中心安全解决方案的技术特色可用:
安全多层保护、安全纵深防御、安全分区规划、安全分层部署来概括:
超算中心安全多层保护
安全
管理
入侵
防护
防火墙
“拒绝
服务”
(DOS)
反病毒
I
n
t
e
r
VPN/campus
端点准入
超算
中心
应用
优化
以超算中心数据资源为核心向外延伸有多层保护功能。
特性丰富的端点准入(EAD)方案
兼容性强、有丰富报表输出的安全管理方案
灵活的VPN接入方式
强大的DDoS防御方案(流量清洗)
高性能硬件防火墙
业界领先的反病毒软件
以ASIC、FPGA和NP技术组成的具有高性能精确检测引擎的IPS
性能强大的应用优化设备
超算中心安全纵深防御
L2
交换机:
BPDUGuard、端口隔离、五元组绑定、802.1X等实现二层安全保护
L2.5
MPLS:
网络隔离
L3
路由器/防火墙/AFC/SSL:
访问控制和隔离、加密
L4
NTA“网络水表”流量异常分析
L5~7
IPS应用层威胁识别和抵御:
蠕虫、间谍软件、P2P、病毒、攻击等
IP存储:
数据安全(异地容灾,数据备份)
用户
(iMC)
多层保护的同时为超算中心网络提供了从链路层到应用层的多层防御体系,如图。
交换机提供的安全特性构成安全超算中心的网络基础,提供数据链路层的攻击防御。
超算中心网络边界安全定位在传输层与网络层的安全上,通过状态防火墙可以把安全信任网络和非安全网络进行隔离,并提供对DDOS和多种畸形报文攻击的防御。
IPS可以针对应用流量做深度分析与检测能力,同时配合以精心研究的攻击特征知识库和用户规则,即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络应用层的保护。
在超算中心网络中存在不同业务种类和易受攻击程度不同的设备,按照这些业务种类和设备的情况制定不同的安全策略和信任模型,将超算网络划分为不同区域,超算中心安全分区具体如下图。
安全分层部署把超算中心分成网络安全、业务安全、管理安全三个安全控制区域,针对网络、业务、管理对安全控制的不同需求进行分层次的安全部署,打破了超算中心安全部署困难的难题,便于采用不同的安全设备、安全策略防范不同区域的安全隐患。
H3C高性能计算万兆存储解决方案
H3C基于端到端万兆体系架构的IP存储产品IX3620应用于超算中心,实现了存储设备性能及存储通道带宽飞跃。
通过采用万兆技术,后端存储每个端口的I/O能力是传统存储系统的2.5~5倍。
对于通过I/O节点汇聚的高性能计算应用,I/O节点通过配置万兆TOE卡,以高于传统存储系统的2.5~5倍的带宽接入后端存储网络。
从I/O节点到万兆IP交换机,再到IX3620存储系统,采用全万兆的高速并发存储通道,彻底解决高性能计算中的数据访问瓶颈。
IX3620具备4个万兆端口,通过链路聚合接入冗余万兆IP交换机,还能够实现数据访问链路的故障切换,进一步提高系统可靠性。
H3C超算中心相关产品
H3C拥有超算中心核心、汇聚、接入交换机设备以及防火墙、IPS、LB等安全设备,提供业界最全、特性最丰富的超级计算中心网络、安全、存储产品线。
核心交换网络:
S12500系列核心交换机
汇聚交换网络:
S9500E、S7500E系列交换机
接入交换网络:
S5800、S5500系列交换机
安全优化设备:
防火墙FW、入侵检查IPS、负载均衡LB、流量清洗AFC、应用加速ASE、全管理SecCenter
存储设备:
IX3600系列存储盘阵、IV5600系列存储虚拟化设备、UDM存储管理软件
H3CHPC集群网络设计特点
H3C超算中心HPC集群网络采用创新性的设计,提供如下三大特点:
一体化设计:
统一计算、存储、管理、前端网络
高性能设计:
采用100G核心交换机、多功能(安全优化等)汇集交换机、大缓存接入交换机等
高扩展设计:
采用IRFII技术便于部署实施、也便于今后进行大规模扩容