H3C超级计算中心网络安全解决方案3728.docx

《H3C超级计算中心网络安全解决方案3728.docx》由会员分享，可在线阅读，更多相关《H3C超级计算中心网络安全解决方案3728.docx（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、H3C超超级计算算中心网网络安全全解决方方案1 概述基于在IIT领域域的长期期耕耘，纵纵观超算算中心发发展历程程，H33C提出出基于统统一交换换网、统统一安全全的超算算中心网网络安全全解决方方案。2 统一交换换网络超超算中心心自19773年面面世以来来，强大大生命力力和业务务承载能能力已经经使得以以太网已已经成为为通信网网络的事事实标准准。近年年万兆以以太网在在性能上上大幅增增强，220100年IEEEE将发发布1000G和和40GG以太网网，成为为名副其其实的“高性能能通信网网络”。在超超级计算算领域，09年6月发布的世界TOP500超级计算机排名显示，282个站点采用以太网连接，占据56.

2、4的份额。HPC集集群通过过全以太太网连接接前端网网主节节点计计算网计算节节点存存储网存储和和管理网网，通过过统一的的网络通通信架构构、解决决HPCC集群采采用异构构通信网网络（计计算网采采用Innfinnibaand、存存储网采采用FCC）的各各种问题题。传统的超超算中心心网络结结构异构构复杂，接接口不统统一 前端端网和管管理网采采用以太太网； 存储储网采用用FC； 计算算网用IInfiinibbandd；超算中心心通信网网络复杂杂异构、接接口不统统一，导导致超算算中心运运行时协协议转换换开销大大、速率率不匹配配、存在在性能瓶瓶颈、开开发与部部署周期期长、无无法满足足业务快快速灵活活部署和和

3、性能的的需求。超算中心心一体化化网络通通过CEEE（增增强以太太网）和和标准IIP协议议融合前前端、计计算、存存储和管管理四张张网络，消消除网络络技术割割裂所来来的种种种弊端。 降低低TCOO； 简化化网络层层次； 增强强业务灵灵活性； 轻松松部署； 至简简的维护护； 万兆兆以太网网增强技技术（RRAMAA和ToEE）解决决了带宽宽和性能能的瓶颈颈； CEEE彻底底解决了了高性能能计算大大流量并并发所带带来的丢丢包问题题； 彻底底解决数数据计算算、交换换、存储储协议转转换的性性能瓶颈颈。通过第二二代智能能弹性架架构IRRF2技技术，使使超算中中心网络络的性能能以倍数数级别灵灵活扩展展，增强强可

4、靠性性增强，简简化配置置，降低低投入和和维护成成本。IRF22可实现现分布式式设备管管理、分分布式路路由和跨跨设备链链路聚合合，部署署IRFF2除了了提高超超算中心心网络的的可用性性，减少少单点故故障影响响，还可可以 分布布式处理理二三层层协议，极极大提高高网络性性能； 每组组当成一一个逻辑辑Fabbricc，配置置管理更更高效； 交换换集群内内设备软软件版本本同步升升级，升升级容易易； 整个个交换集集群的设设备支持持热插拔拔，灵活活管理； 交换换集群实实现倍数数级的接接入密度度和背板板交换能能力，并并提高组组网的可可靠性； 对高高端设备备而言，可可将多台台设备当当成一台台设备进进行管理理，实

5、现现性能倍倍增，简简化组网网。部署IRRF2后后，无需需再考虑虑MSTTP、VRRRP等协协议，解解决了传传统设备备和链路路只能工工作在主主/备模式式和利用用率低于于50的的性能瓶瓶颈。3 统一安全全超算中中心H3C超超算中心心安全解解决方案案秉承了了H3CC一贯倡倡导的“统一安安全理念念”，将安安全部署署渗透到到整个超超算中心心的设计计、部署署、运维维中，为为超算中中心搭建建起一个个立体的的、无缝缝的、统统一的安安全平台台，真正正做到了了使超算算中心安安全保护护无处不不在。H3C超超算中心心安全解解决方案案的技术术特色可可用安全全多层保保护、安安全纵深深防御、安安全分区区规划、安安全分层层部

6、署来来概括以以超算中中心数据据资源为为核心向向外延伸伸有多层层保护功功能。 特性性丰富的的端点准准入（EEAD）方方案； 兼容容性强、有有丰富报报表输出出的安全全管理方方案； 灵活活的VPPN接入入方式； 强大大的DDDoS防防御方案案（流量量清洗）； 高性性能硬件件防火墙墙； 业界界领先的的反病毒毒软件； 以AASICC、FPGGA和NP技术术组成的的具有高高性能精精确检测测引擎的的IPSS； 性能能强大的的应用优优化设备备。多层保护护的同时时为超算算中心网网络提供供了从链链路层到到应用层层的多层层防御体体系，如如图。交交换机提提供的安安全特性性构成安安全超算算中心的的网络基基础，提提供数据

7、据链路层层的攻击击防御。超超算中心心网络边边界安全全定位在在传输层层与网络络层的安安全上，通通过状态态防火墙墙可以把把安全信信任网络络和非安安全网络络进行隔隔离，并并提供对对DDOOS和多多种畸形形报文攻攻击的防防御。IIPS可可以针对对应用流流量做深深度分析析与检测测能力，同同时配合合以精心心研究的的攻击特特征知识识库和用用户规则则，即可可以有效效检测并并实时阻阻断隐藏藏在海量量网络流流量中的的病毒、攻攻击与滥滥用行为为，也可可以对分分布在网网络中的的各种流流量进行行有效管管理，从从而达到到对网络络应用层层的保护护。在超算中中心网络络中存在在不同业业务种类类和易受受攻击程程度不同同的设备备，按照照这些业业务种类类和设备备的情况况制定不不同的安安全策略略和信任任模型，将将超算网网络划分分为不同同区域，超超算中心心安全分分区具体体如下图图。安全分层层部署把把超算中中心分成成网络安安全、业业务安全全、管理理安全三三个安全全控制区区域，针针对网络络、业务务、管理理对安全全控制的的不同需需求进行行分层次次的安全全部署，打打破了超超算中心心安全部部署困难难的难题题，便于于采用不不同的安安全设备备、安全全策略防防范不同同区域的的安全隐隐患。