[发明专利]安全防护系统以及安全防护方法

权利要求书

1.一种安全防护系统，包括：云安全服务平台，安全资源池，安全虚拟机和核心交换机；

所述云安全服务平台用于向网络内的装置下发对应的流量导流策略，所述流量导流策略用于将各台虚拟机的流量导流至安全资源池，其中，所述装置包括：虚拟机、路由器和交换机中的至少一种，所述流量包括虚拟机之间交互的东西向流量；

所述安全资源池中配置至少一种安全监测装置或审计装置，用于根据安全策略对接收到的流量进行安全检测或审计；

安全虚拟机，用于获取同一宿主机内其他虚拟机的流量，根据所述安全策略提取需要检测或审计的流量；

核心交换机，用于接收所述安全虚拟机发送的出境流量，将所述出境流量发送至所述安全资源池中的出境分发虚拟路由器，接收所述安全资源池中的入境分发虚拟路由器返回的检测后的出境流量，将检测后的出境流量发送至对应的目的地址，接收入境流量，将所述入境流量发送至所述安全资源池中的入境分发虚拟路由器，接收所述安全资源池中的出境分发虚拟路由器返回的检测后的入境流量，将检测后的入境流量发送至对应的安全虚拟机；

其中，所述安全虚拟机还用于对同一宿主机内其他虚拟机的流量的安全态势信息进行收集，将收集的安全态势信息发送至所述云安全服务平台；

所述云安全服务平台还用于对所述安全态势信息进行归并和分析，并提供可视化安全态势展现。

2.根据权利要求1所述的安全防护系统，其中，

所述安全虚拟机用于将提取的流量发送至核心交换机，以便核心交换机将该流量发送至所述安全资源池。

3.根据权利要求1所述的安全防护系统，还包括：

软件定义网络SDN控制器，用于接收所述云安全服务平台下发的流量导流策略，根据所述流量导流策略确定流量的安全路径，向所述安全路径上的装置下发对应的策略路由，以便所述安全路径上的装置根据对应的策略路由将虚拟机的流量导流至安全资源池。

4.根据权利要求1所述的安全防护系统，其中，

所述安全虚拟机通过通用路由封装隧道接收同一宿主机内的其他虚拟机发出的流量。

5.一种安全防护方法，包括：

云安全服务平台向网络内的装置下发对应的流量导流策略；

所述网络内的装置根据所述流量导流策略将各台虚拟机的流量导流至安全资源池，所述装置包括：虚拟机、路由器和交换机中的至少一种，所述流量包括虚拟机之间交互的东西向流量；

所述安全资源池根据安全策略对接收到的流量进行安全检测或审计，所述安全资源池中配置至少一种安全监测装置或审计装置；

其中，所述网络内的装置根据所述流量导流策略将各台虚拟机的流量导流至安全资源池包括：

安全虚拟机获取同一宿主机内其他虚拟机的流量，根据所述安全策略提取需要检测或审计的流量；

核心交换机接收所述安全虚拟机发送的出境流量，将所述出境流量发送至所述安全资源池中的出境分发虚拟路由器，接收所述安全资源池中的入境分发虚拟路由器返回的检测后的出境流量，将检测后的出境流量发送至对应的目的地址；所述核心交换机接收入境流量，将所述入境流量发送至所述安全资源池中的入境分发虚拟路由器，接收所述安全资源池中的出境分发虚拟路由器返回的检测后的入境流量，将检测后的入境流量发送至对应的安全虚拟机；

所述安全虚拟机对同一宿主机内其他虚拟机的流量的安全态势信息进行收集，将收集的安全态势信息发送至所述云安全服务平台；

所述云安全服务平台对所述安全态势信息进行归并和分析，并提供可视化安全态势展现。

6.根据权利要求5所述的安全防护方法，其中，所述网络内的装置根据所述流量导流策略将各台虚拟机的流量导流至安全资源池包括：

所述安全虚拟机将提取的流量发送至核心交换机；

所述核心交换机根据对应的流量导流策略将该流量发送至所述安全资源池。