近日，公司行業拓展群組將一套曙光高性能計算機群順利推入中國科學院理化技術研究所，伴隨著它一同進入的還有曙光天羅100D防火墻系統。安裝實施后，防火墻對高性能機群的安全保護和管理獲得了用戶的高度認可。在高性能機群碩大的機柜面前，天羅防火墻的體型只能算是一個“小不點”。不過身形雖小，能耐可不小——為高性能計算機群打造全方位的安全防護，可全看它的。

擔當高性能機群安全網關 盡顯“神通”
高性能計算機群在具體的應用中主要用來進行高速運算以及核心數據的存儲，因此，高性能機群的安全顯得尤為重要。現在，隨著高性能計算需求的不斷增加，已建或新建的高性能計算機群為了方便多用戶使用、擴大用戶的使用范圍，逐漸由原來的客戶端/服務器模式（C/S）轉向瀏覽器/服務器模式（B/S），直接面向局域網乃至互聯網用戶，用戶可以直接通過網絡登陸高性能機群。機群管理者不但希望機群的可靠安全，更希望能對局域網內部的使用者進行有效管理控制。

中科院理化技術研究所引進曙光高性能計算機群主要是用來進行學科研究方面的大型計算。為了滿足具體的使用要求，要求機群接入研究所內部局域網，這就意味著機群將直接面對局域網的用戶。IDC統計，70%的安全問題來自內部，這使得與局域網連接的高性能計算機面臨著嚴重的安全問題！

安全問題如何解決？如何保證有效使用？曙光天羅防火墻作為安全網關使得所有問題迎刃而解——“小不點”擔起“大責任”。

中科院理化研究所防火墻應用網絡拓撲圖

1．安全隔離防護
通過防火墻SNAT（源地址轉換）設置以及一系列規則的配合，在機群與局域網以及互聯網之間建立起一道可靠的屏障。這就使得所有對機群進行訪問的信息，不是直接到達機群，而是必須與防火墻的規則進行匹配，合乎要求的才能對機群進行訪問。大大提高了機群的安全系數，從根本上保證了機群的安全。

2．網絡訪問控制
用戶可以通過天羅防火墻方便的實現對訪問的控制。只向合法的計算機開放訪問權限，而不合法的用戶則將被“拒之墻外”。局域網內只有獲得訪問許可的用戶才能對機群進行訪問，而其它用戶的訪問都將將被拒絕。強大的訪問控制功能，從根本上阻斷了攻擊的路徑，是一種更徹底的防護，進一步降低了安全風險，保障了機群安全。

3．節點映射 安全管理
端口映射是天羅防火墻又一大“法寶”：

首先，端口映射由于是采用DNAT（目的地址轉換）的方式，對內部機群的網絡信息進行了隱藏，提高了機群的安全性能；

其次，在機群的對外訪問端口發生改變的時候，只需要在防火墻上對端口映射加以修改，就能實現對機群的訪問。而不必在客戶段對端口設置進行更改，方便了管理；

最后，端口映射可以對機群各節點進行映射，實現對節點的直接訪問。而不必像傳統的訪問方式：首先訪問管理節點，再訪問其他節點。

全面防護，為高性能機群打造立體安全
防火墻為高性能機群提供了基本的安全防范，然而防火墻只能提供被動的、靜態的保護，所提供的安全級別較低，如果與網絡入侵檢測系統（NIDS）、主機入侵檢測系統（HIDS）、互相配合，則可以提供動態的安全防護，再加上SKVM、機群監控的管理協調，將全面提升計算機群的安全等級。

立體安全解決方案拓撲圖

防火墻的存在，通過其安全隔離防護、訪問控制管理、端口映射等功能，大大加強了網絡的安全性和可控性。此外，結合防火墻的VPN隧道功能，對通信的數據進行加密，更是在傳播途徑中加強了網絡數據的安全。

網絡入侵檢測系統（NIDS）能監視網絡流量，通過偵聽特定網段的數據包，實現對該網段實時監視、發現可疑連接和非法訪問的闖入等，防范網絡層至應用層的各種惡意攻擊和誤操作，從而極大地縮小所需管理的安全范，實現針對網絡入侵的安全防護。

曙光主機入侵檢測系統（HIDS）能防范對主機系統文件的惡意纂改和誤操作，實時監視可疑連接、定期檢查系統日志，掃描用戶行為，發現非法訪問闖入等。因此主機入侵檢測系統可以很好地彌補網絡入侵檢測系統的盲區，二者形成互補，對繞過防火墻的攻擊行為進行細粒度的檢測和防御，實現從網絡到主機的全面防護。

曙光SKVM系統不但能夠從整體上提升機群的使用性能水準，而且能夠很大程度上滿足用戶實際需求，提高用戶在信息網絡系統的可管理性、好用性、可用性。曙光基于Over IP技術的SKVM，提供了相對彈性的管理方案，網管人員可以在任何地方，透過TCP/IP網絡來遠程管理分散在世界各地機房中的機器。同時，曙光機群安全管理系統可以實現網絡資源的集中管理，使得整個安全體系成為一個整體。

綜合以上幾點，曙光天羅防火墻是高性能機群的安全網關，為高性能機群筑起了一道堅實的安全長城。曙光天羅防火墻這次在中國科學院理化技術研究所高性能機群上的杰出表現，再一次證明了自己的實力。曙光天羅防火墻作為安全網關的加入，更使得曙光高性能機群如虎添翼，增強了曙光在高性能計算領域的競爭力。