[发明专利]一种动态部署安全能力的实现方法

权利要求书

1.一种动态部署安全能力的实现方法，其步骤为：

1)云网络的云安全中心创建一安全虚机，并加载安全能力的镜像到该安全虚机；所述安全虚机为运行安全业务的虚拟机；

2)所述云安全中心将生成的路由策略发送给目标云租户网络的虚拟路由器，所述虚拟路由器根据该路由策略将相应的业务流量牵引到该安全虚机上；

3)所述云安全中心获取该安全虚机的设定关键性能指标，当该安全虚机的若干关键性能指标达到预先设置的阈值，则创建一新的安全虚机并加载安全能力的镜像；当云网络中存在一个或多个安全虚机时，所述云安全中心选取一安全虚机作为主安全虚机；并将云网络中所有云租户网络中需安全防护的流量牵引到该主安全虚机；其中所述关键性能指标包括CPU利用率、内存利用率及虚拟网卡占用率；

4)该主安全虚机根据流量的五元组，将流量分配给其他安全虚机并建立、维护一分流规则表；该分流规则表包括多个分流规则，每一分流规则包括一流量的五元组及处理该流量的安全虚机地址；

5)所述云安全中心监控各安全虚机的设定关键性能指标，确定是否存在需要释放的安全虚机；如果存在待释放的安全虚机，则该主安全虚机将该待释放的安全虚机的地址从该分流规则表中去掉，并维持该分流规则表中已创建的分流规则，当待释放的安全虚机流连接数为0时释放该安全虚机，并删除该分流规则表中对应的分流规则。

2.如权利要求1所述的方法，其特征在于，确定是否存在需要释放的安全虚机的方法为：所述云安全中心监控各安全虚机的设定关键性能指标的指标值；对于处理同一目标云租户网络的流量的N台安全虚机，如果该N台安全虚机的每一关键性能指标均满足设定条件，则从该N台安全虚机中选取一安全虚机进行释放，且所选取的安全虚机非该主安全虚机；所述设定条件为：(C1+C2+……+C_N)(N-1)*M，M为设定的阈值，C1、C2、……C_N分别为各安全虚机的同一关键性能指标的指标值。

3.如权利要求1或2所述的方法，其特征在于，该主安全虚机根据流量的五元组，将流量轮询分配给其他安全虚机。

4.如权利要求1所述的方法，其特征在于，该主安全虚机为所述云网络的云安全中心创建的第一个安全虚机。

5.如权利要求1所述的方法，其特征在于，所述云网络中设有一核心交换机，所述云网络中的各云租户网络通过该核心交换机与云网络中其他业务单元及外部的互联网相连。