[发明专利]一种安全资源池的引流系统及安全检查方法

说明书

本申请提供一种安全资源池的引流系统，涉及网络安全技术领域，用以解决主备安全资源池切换速度慢的问题。该系统中，第一引流虚拟机和第二引流虚拟机分别部署在不同的资源池宿主机上；出口路由器将数据中心的数据传输至虚拟地址的拥有者的资源池宿主机；若部署虚拟地址的拥有者的资源池宿主机发生故障，则共用虚拟地址的另一资源池宿主机部署的引流虚拟机为虚拟地址的新的拥有者，以使虚拟地址的新的拥有者对数据中心的数据进行安全检查。这样，由于将虚拟地址作为出口路由器的下一跳IP地址，即使资源池宿主机下线，也无需更改出口路由器的下一跳IP地址，不依赖于资源池控制器的决策，仅切换虚拟地址的拥有者即可，资源池切换速度快。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种安全资源池的引流系统。

背景技术

当前随着虚拟化、云计算的兴起，云端把计算资源、网络资源、存储资源等等虚拟化之后以服务的形式提供给租户，做到了资源的按需分配、快速部署。在这个演进的浪潮中，传统盒式部署的安全产品已经跟不上云计算的步伐，固定的部署方式，无法在云计算中对不断变化的网络和计算资源进行及时、按需的防护，造成云计算中心的安全隐患。随着等保2.0的推进，对云计算安全作出了明确的规范，各安全厂商陆续推出能够适应云计算特点的安全能力池化产品，即安全资源池。

在安全资源池中，安全厂商将传统安全盒式产品进行虚拟化并通过SDN方式对引流进行按需编排，即让数据流经指定的一系列虚拟化安全设备，实现安全防护。安全资源池属于数据中心Underlay网络的一部分，所以安全资源池也要与数据中心Underlay的数通网络达到同样的可靠性和故障收敛速度。同时在安全资源池中，还必须支持平滑扩容和多数据中心接入，这就对安全资源池的部署提出了很高的要求。

然而，现有技术中安全资源池部署方案中存在着故障发现延迟、主备安全资源池切换速度慢、还存在着安全资源池处理资源浪费的问题。

发明内容

为了对数据中心进行安全防护，解决现有技术中故障发现延迟和检测结果的有效性低的问题，本申请实施例提供一种安全资源池的引流系统。

第一方面，本申请实施例提供一种安全资源池的引流系统，该系统包括：至少一个数据中心、至少两个资源池宿主机、第一引流虚拟机和第二引流虚拟机；所述第一引流虚拟机和所述第二引流虚拟机相互为备用关系；

各数据中心通过各自的出口路由器与所述资源池宿主机连接；

所述第一引流虚拟机和所述第二引流虚拟机分别部署在不同的所述资源池宿主机上，且用于对数据中心的数据进行安全检查；

其中，在所述第一引流虚拟机和第二引流虚拟机运行VRRP协议，所述第一引流虚拟机和所述第二引流虚拟机共用虚拟地址；同一时刻所述虚拟地址的拥有者为所述第一引流虚拟机或者所述第二引流虚拟机；

所述虚拟地址为所述出口路由器的下一跳IP地址，所述出口路由器将数据中心的数据传输至所述虚拟地址的拥有者的资源池宿主机；

若部署所述虚拟地址的拥有者的资源池宿主机发生故障，则共用所述虚拟地址的另一资源池宿主机部署的引流虚拟机为所述虚拟地址的新的拥有者，以使所述虚拟地址的新的拥有者对数据中心的数据进行安全检查。

可选的，所述系统还包括：两个集群交换机；同一数据中心的出口路由器的数量为至少两个；

所述至少两个出口路由器通过虚拟局域网与所述两个集群交换机连接，其中每个出口路由器连接一个集群交换机；且，相邻两个出口路由器和所述两个集群交换机形成口字型组网结构；

所述至少两个出口路由器中相邻的出口路由器之间通过虚拟局域网连接，所述两个集群交换机之间通过虚拟局域网连接；其中，所述两个集群交换机和所述至少两个出口路由器运行生成树协议。