高性能计算系统需要"立体安全"(2)
|
层层递进,构建立体安全 以前,在安全领域主要是以禁用主机上没用的服务端口、设置杀毒软件、软件版本的防火墙等以实现抵御外部产生的威胁,而目前网络的安全措施主要是独立的硬件防火墙。它可以实现用户信息的访问控制和安全防范、实现对网络不同安全区域的隔离,达到可控访问的目的。例如入侵者如果打开了主机上某些被禁止的端口,由于防火墙并未开放该端口,因此入侵者仍然不可以使用该端口进行内外网之间的通讯,防止了内部资源或数据的外泄。如曙光天罗防火墙可以通过访问控制、安全过滤、抗攻击、流量带宽管理、防止非法入侵等功能提高安全等级。当其检测到危险信息时,系统可以根据管理员的设置断开连接,实现入侵主动防护。另外使用防火墙还可以有效地降低安全管理的工作强度,提高计算机群系统安全的可管理性。 防火墙为高性能机群提供了基本的安全防范,然而防火墙只能提供被动的、静态的保护,所提供的安全级别较低,如果与网络入侵检测系统(NIDS)、主机入侵检测系统(HIDS)、数据安全、机群安全管理4个层面互相配合,则可以提供动态的安全防护,全面提升计算机群的安全等级。
(立体安全解决方案网络拓扑图) 第一级防护:网络安全 处在互联网中的计算机首先要面对的就是网络安全。一般情况下,防火墙对于对被允许的主机和应用的攻击无能为力,因为这些攻击会伪装成对这些合法主机和应用服务的访问,从而骗过防火墙,进入到受防火墙保护的区域之内。因此对于安全要求较高的局域网、或者局域网中部署有关键应用的,应该在使用防火墙保护的基础上,采用入侵检测系统(NIDS)提高相关区域的安全防护水平。 网络入侵检测系统(NIDS)能监视网络流量,通过侦听特定网段的数据包,实现对该网段实时监视、发现可疑连接和非法访问的闯入等,防范网络层至应用层的各种恶意攻击和误操作。网络入侵检测系统通过与防火墙联动,对网络数据包的过滤和访问控制,将访问限制在网络被允许的主机(IP地址)和应用服务(端口),从而极大地缩小所需管理的安全范,实现针对网络入侵的安全防护。 上一页123下一页查看全文 内容导航
(编辑:ASP站长网) |
居龙:中国大陆首次成