Fan DMZ Tarmoq Arxitekturasi - Science DMZ Network Architecture

Atama Ilmiy DMZ kompyuterga ishora qiladi kichik tarmoq bu xavfsiz bo'lishi uchun tuzilgan, ammo boshqa ma'lumotlar a orqali uzatilishi natijasida hosil bo'ladigan ishlash chegaralari bo'lmasdan davlat xavfsizlik devori.[1][2] Science DMZ ilmiy va ma'lumotlarga xos bo'lgan yuqori hajmli ma'lumotlarni uzatish uchun mo'ljallangan yuqori samarali hisoblash, maxsus yaratish orqali DMZ ushbu transferlarni joylashtirish uchun.[3] Odatda u mahalliy tarmoq perimetri yoki uning yonida joylashgan bo'lib, umumiy maqsadli biznes tizimlari uchun emas, balki o'rtacha tezkor oqimlar uchun optimallashtirilgan. korporativ hisoblash.[4]

Atama Ilmiy DMZ AQSh Energetika Vazirligining hamkorlari tomonidan ishlab chiqilgan ESnet 2010 yilda.[5]Bir qator universitetlar va laboratoriyalar Science DMZ-ni joylashtirgan yoki tarqatmoqdalar. 2012 yilda Milliy Ilmiy Jamg'arma Qo'shma Shtatlarning bir qancha universitet shaharchalarida Science DMZ-larini yaratish yoki takomillashtirishni moliyalashtirdi.[6][7][8]

Ilmiy DMZ[9]qo'llab-quvvatlash uchun tarmoq arxitekturasidir Katta ma'lumotlar. Deb nomlangan axborot portlashi 1960 yillarning o'rtalaridan boshlab muhokama qilindi va yaqinda bu atama ma'lumotlar to'foni[10] ma'lumot to'plamlarining ko'p turlarining eksponent o'sishini tavsiflash uchun ishlatilgan. Ushbu ulkan ma'lumotlar to'plamlari, ko'pincha Internet yordamida bir joydan boshqasiga ko'chirilishi kerak. Ushbu kattalikdagi ma'lumotlar to'plamining oqilona vaqt ichida harakati zamonaviy tarmoqlarda mumkin bo'lishi kerak. Masalan, a-dagi 10 TeraBayt ma'lumotni uzatish uchun atigi 4 soatdan kam vaqt ketishi kerak 10 Gigabit chekilgan disk ishlashini etarli deb hisoblasak, tarmoq yo'li[11] Muammo shundaki, buning uchun paketlarni yo'qotishdan va o'rta qutilar kabi transport vositalarini shakllantirish yoki xavfsizlik devorlari bu sekin tarmoq ishlashi.

Shtatdagi xavfsizlik devorlari

Asosiy maqola: Davlat xavfsizlik devori

Aksariyat korxonalar va boshqa muassasalar o'zlarining ichki tarmoqlarini tashqaridan kelib chiqadigan zararli hujumlardan himoya qilish uchun xavfsizlik devoridan foydalanadilar. Ichki tarmoq va tashqi Internet o'rtasidagi barcha trafik xavfsizlik devoridan o'tishi kerak, bu zararli bo'lishi mumkin bo'lgan trafikni bekor qiladi.

Ajoyib xavfsizlik devori ularni kuzatib boradi davlat u orqali o'tadigan har bir mantiqiy ulanishning va ulanish holatiga mos bo'lmagan ma'lumotlar paketlarini rad etadi. Masalan, veb-sayt sahifani kompyuterga ichki tarmoqdagi kompyuterga yuborishiga yo'l qo'yilmaydi, agar kompyuter talab qilmagan bo'lsa. Buning uchun xavfsizlik devori yaqinda so'ralgan sahifalarni kuzatib borishi va so'rovlarni javoblar bilan mos kelishi kerak.

Xavfsizlik devori, shuningdek, boshqa tarmoq tarkibiy qismlari, masalan, yo'riqnoma va kalitlarga qaraganda, tarmoq trafigini ancha batafsil tahlil qilishi kerak. Routerlar faqat tarmoq qatlami, lekin xavfsizlik devorlari ham ishlov berishi kerak transport va dastur qatlamlari shuningdek. Ushbu qo'shimcha ishlov berish vaqtni talab qiladi va tarmoqning o'tkazuvchanligini cheklaydi. Routerlar va boshqa ko'plab tarmoq komponentlari soniyasiga 100 milliard bit tezlikni (Gbit / s) boshqarishi mumkin bo'lsa, xavfsizlik devorlari trafikni taxminan 1 Gbit / s gacha cheklaydi, bu katta miqdordagi ilmiy ma'lumotlarni uzatish uchun qabul qilinishi mumkin emas.

Zamonaviy xavfsizlik devorlari maxsus jihozlardan foydalanishi mumkin (ASIC ) yuqori mahsuldorlikka erishish uchun transport va tekshirishni tezlashtirish. Bu Science DMZ-lariga alternativani taqdim etishi mumkin va mavjud xavfsizlik devorlari orqali tekshirishga imkon beradi tahdidlarni yagona boshqaruvi (UTM) tekshiruvi o'chirilgan.

Shtatdagi xavfsizlik devori moliyaviy yozuvlar, kredit kartalar, ish ma'lumotlari, talabalar reytingi, tijorat sirlari va boshqalar kabi muhim biznes ma'lumotlari uchun zarur bo'lishi mumkin bo'lsa-da, fan ma'lumotlari kamroq himoyani talab qiladi, chunki nusxalar odatda bir nechta joylarda mavjud va iqtisodiy rag'bat kamroq buzmoq.[4]

DMZ

Asosiy maqola: DMZ (hisoblash)
Biznes tomonidan ishlatiladigan odatiy DMZ diagrammasi. DMZ-ga barcha trafiklar xavfsizlik devoridan o'tishi kerak, bu esa o'tkazuvchanlikni cheklaydi.

Xavfsizlik devori ichki tarmoqqa kirishni cheklashi kerak, ammo ichki tarmoqdagi veb-serverlar kabi jamoatchilikka taqdim etiladigan xizmatlarga tashqi kirishga ruxsat berishi kerak. Bu, odatda, DMZ deb nomlangan alohida ichki tarmoqni yaratish orqali amalga oshiriladi, "demilitarizatsiya qilingan zona" atamasi bilan ijro etiladi. Tashqi qurilmalarga DMZ-dagi qurilmalarga kirishga ruxsat beriladi. DMZ-dagi qurilmalar odatda zararli dasturlarga nisbatan zaifligini kamaytirish uchun ehtiyotkorlik bilan saqlanadi. Ba'zida qattiqlashtirilgan qurilmalar deyiladi bastion xostlari.

Science DMZ DMZ g'oyasini bir qadam uzoqroqqa olib boradi, yuqori rentabellikdagi kompyuterlarni o'zining DMZ-ga o'tkazadi.[12]Maxsus tuzilgan routerlar fan ma'lumotlarini to'g'ridan-to'g'ri ichki tarmoqdagi belgilangan qurilmalarga yoki undan uzatadilar va shu bilan virtual DMZ yaratadilar. Xavfsizlik sozlamalari bilan ta'minlanadi kirishni boshqarish ro'yxatlari (ACL) yo'riqchilarda faqat ma'lum manbalarga va yo'nalishlarga trafikni ta'minlash uchun. An yordamida xavfsizlik yanada yaxshilanadi kirishni aniqlash tizimi (IDS) trafikni kuzatish va hujum ko'rsatmalarini izlash uchun. Hujum aniqlanganda, IDS yo'riqnoma jadvallarini avtomatik ravishda yangilashi mumkin, natijada ba'zilar buni Remotely Triggered BlackHole (RTBH) deb atashadi.[1]

Asoslash

Science DMZ yuqori samarali ma'lumotlar harakatini qo'llab-quvvatlaydigan tarmoq, tizim va xavfsizlik infratuzilmasi uchun yaxshi sozlangan joyni taqdim etadi. Ma'lumotlarni intensiv ravishda o'rganadigan ilmiy muhitda ma'lumotlar to'plamlari ko'chma ommaviy axborot vositalariga ega bo'lib, ko'plab uskunalar va dasturiy ta'minot ishlab chiqaruvchilari tomonidan ishlatiladigan standart konfiguratsiyalar yuqori ishlashga mo'ljallangan dasturlar uchun etarli emas. Science DMZ komponentlari yuqori darajada ishlaydigan dasturlarni qo'llab-quvvatlash va ishlash muammolarini tezkor tashxislashni osonlashtirish uchun maxsus tuzilgan. Maxsus infratuzilmani joylashtirmasdan, odatda qabul qilinadigan ishlashga erishish mumkin emas, shunchaki ortib boradigan tarmoq o'tkazuvchanligi kengligi odatda etarli darajada yaxshi emas, chunki ishlash muammolari past darajadagi xavfsizlik devorlaridan tortib iflos tolali optikalarga va sozlanmagan operatsion tizimlarga qadar ko'plab omillarga bog'liq.

Science DMZ - bu ilmiy tarmoq va tizimlar jamoatchiligidan birgalikda ko'p yillar davomida ishlab chiqilgan eng yaxshi tajribalar to'plamining kodifikatsiyasi. Science DMZ modeli yuqori samarali ma'lumotlarni uzatish infratuzilmasining muhim tarkibiy qismlarini mutaxassis bo'lmaganlar uchun qulay va har qanday muassasa yoki tajriba miqyosida kengaytiriladigan tarzda tavsiflaydi.

Komponentlar

Science DMZ ning asosiy tarkibiy qismlari:

  • Ma'lumot uzatish tugunining yuqori ishlashi (DTN)[13] kabi parallel ma'lumotlarni uzatish vositalarini ishga tushirish GridFTP
  • Kabi tarmoq samaradorligini nazorat qiluvchi xost perfSONAR
  • Yuqori samarali yo'riqnoma / kalit

Ixtiyoriy fan DMZ tarkibiy qismlariga quyidagilar kiradi:

Shuningdek qarang

Adabiyotlar

  1. ^ a b Dan Gudin (2012 yil 26-iyun). "Olimlar xavfsizlik devori tashqarisidagi hayotni" Science DMZ-lar bilan boshdan kechirishadi."". Olingan 2013-05-12.
  2. ^ Eli Dart, Brayan Tirni, Erik Pouul, Djo Bren (2012 yil yanvar). "Ilmiy DMZga erishish" (PDF). Olingan 2015-12-31.CS1 maint: mualliflar parametridan foydalanadi (havola)
  3. ^ Dart, E .; Rotman, L .; Tierni, B .; Xester, M.; Zuravski, J. (2013). "Ilmiy DMZ". - SC '13 da yuqori samaradorlikni hisoblash, tarmoqqa qo'shish, saqlash va tahlil qilish bo'yicha xalqaro konferentsiya materiallari. p. 1. doi:10.1145/2503210.2503245. ISBN  9781450323789.
  4. ^ a b "Nega fan DMZ?". Olingan 2013-05-12.
  5. ^ Dart, Eli; Metzger, Djo (2011 yil 13-iyun). "Ilmiy DMZ". CERN LHCOPN / LHCONE ustaxonasi. Olingan 2013-05-26. Bu Science DMZ-ga eng qadimgi havola. Kontseptsiya ustida ishlash bundan bir necha yil oldin davom etgan.
  6. ^ "San-Diego shtat universitetida Ilmiy DMZni ilmiy qo'llanmalar uchun yuqori samarali ma'lumotlarni uzatishni osonlashtirish uchun amalga oshirish". Milliy Ilmiy Jamg'arma. 2012 yil 10 sentyabr. Olingan 2013-05-13.
  7. ^ "SDNX - DMZ ning uchidan uchiga dinamik dinamikasini yoqish". Milliy Ilmiy Jamg'arma. 2012 yil 7 sentyabr. Olingan 2013-05-13.
  8. ^ "Mavjud DMZ fanini takomillashtirish". Milliy Ilmiy Jamg'arma. 2012 yil 12 sentyabr. Olingan 2013-05-13.
  9. ^ Dart, Eli; Rotman, Lauren (2012 yil avgust). "Science DMZ: katta ma'lumotlar uchun tarmoq arxitekturasi". LBNL-hisobot.
  10. ^ Bret Rayder (2010 yil 25-fevral). "Ma'lumotlar to'foni". Iqtisodchi.
  11. ^ ."Tarmoq talablari va kutishlari". Lourens Berkli nomidagi milliy laboratoriya.
  12. ^ pmoyer (2012 yil 13-dekabr). "Research & Education Network (REN) Architecture: Science-DMZ". Olingan 2013-05-12.
  13. ^ "Science DMZ: ma'lumotlar uzatish tugunlari". Lourens Berkli laboratoriyasi. 2013-04-04. Olingan 2013-05-13.

Tashqi havolalar