CN107346259-CN201710326354-一种动态部署安全能力的实现方法.pdfVIP

(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 CN 107346259 A (43)申请公布日 2017.11.14 (21)申请号 201710326354.9 (22)申请日 2017.05.10 (71)申请人 国家计算机网络与信息安全管理中 心 地址 100029 北京市朝阳区裕民路甲3号 (72)发明人 马秀娟　吴震　张露晨　李传海　 胡国华　王秀文　苏沐冉　何清林　 张家琦　王子厚　 (74)专利代理机构 北京君尚知识产权代理事务 所(普通合伙) 11200 代理人 司立彬 (51)Int.Cl. G06F 9/455(2006.01) G06F 9/50(2006.01) H04L 29/06(2006.01) 权利要求书1页 说明书4页 附图1页 (54)发明名称 一种动态部署安全能力的实现方法 (57)摘要 本发明公开了一种动态部署安全能力的实 现方法。本方法为：1)云网络的云安全中心创建 一安全虚机，并加载安全能力的镜像到该安全虚 机；安全虚机为运行安全业务的虚拟机；2)云安 全中心将路由策略发送给云租户网络的虚拟路 由器，将相应的业务流量牵引到该安全虚机上； 3)当云网络中存在多个安全虚机时，云安全中心 选取一安全虚机作为主安全虚机；并将需安全防 护的流量牵引到该主安全虚机；4)该主安全虚机 将流量分配给其他安全虚机并建立一分流规则 表；5)云安全中心监控各安全虚机的设定关键性 能指标，确定是否存在需要释放的安全虚机；当 A 待释放的安全虚机流连接数为0时释放该安全虚 9 机。本发明根据用户的实际业务流量大小来进行 5 2 6 弹性伸缩。 4 3 7 0 1 N C CN 107346259 A 权　利　要　求　书 1/1页 1.一种动态部署安全能力的实现方法，其步骤为： 1)云网络的云安全中心创建一安全虚机，并加载安全能力的镜像到该安全虚机；所述 安全虚机为运行安全业务的虚拟机； 2)所述云安全中心将生成的路由策略发送给目标云租户网络的虚拟路由器，所述虚拟 路由器根据该路由策略将相应的业务流量牵引到该安全虚机上； 3)所述云安全中心获取该安全虚机的设定关键性能指标，当该安全虚机的若干关键性 能指标达到预先设置的阈值，则创建一新的安全虚机并加载安全能力的镜像；当云网络中 存在一个或多个安全虚机时，所述云安全中心选取一安全虚机作为主安全虚机；并将云网 络中所有云租户网络中需安全防护的流量牵引到该主安全虚机； 4)该主安全虚机根据流量的五元组，将流量分配给其他安全虚机并建立、维护一分流 规则表；该分流规则表包括若干分流规则，每一分流规则包括一流量的五元组及处理该流 量的安全虚机地址； 5)所述云安全中心监控各安全虚机的设定关键性能指标，确定是否存在需要释放的安 全虚机；如果存在待释放的安全虚机，则该主安全虚机将该待释放的安全虚机的地址从该 分流规则表中去掉，并维持该分流规则表中已创建的分流规则，当待释放的安全虚机流连 接数为0时释放该安全虚机，并删除该分流规则表中对应的分流规则。 2.如权利要求1所述的方法，其特征在于，确定是否存在需要释放的安全虚机的方法 为：所述云安全中心监控各安全虚机的设定关键性能指标的指标值；对于处理同一目标云 租户网络的流量的N台安全虚机，如果该N台安全虚机的每一关键性能指标均满足设定条 件，则从该N台安全虚机中选取一安全虚机进行释放，且所选取的安全虚机非该