本發明實施例公開了一種安全策略動態遷移方法及裝置。其中，該方法包括：目的網絡安全設備接收安全管理設備下發的安全策略遷移指令，獲取遷移虛擬機的安全策略信息，所述遷移虛擬機為需要遷移至所述目的網絡安全設備所防護的目的數據中心的虛擬機；所述目的網絡安全設備根據所述遷移虛擬機的安全策略信息為所述遷移虛擬機部署安全策略。實施本發明實施例可以提高網絡安全設備的安全策略遷移的效率，同時，縮短業務服務的恢復時間。

技術領域

本發明涉及互聯網技術領域，尤其涉及一種安全策略動態遷移方法及裝置。

背景技術

隨著互聯網的發展，虛擬化技術已經廣泛應用在各級數據中心，尤其是服務器虛擬化技術更是被廣大用戶所接受并成功實施。虛擬化技術可以在單臺物理服務器上虛擬化出多個相互獨立的虛擬機(VM，Virtual Machine)，這些VM可以被當作一臺獨立的服務器，與物理服務器一樣有自己的IP地址和MAC地址，有自己的操作系統和各種應用程序。熱遷移(Live Migration)技術則是虛擬化技術當中的熱點，熱遷移技術是指可以把一個虛擬機從一臺物理服務器遷移到另一臺物理服務器上。這種技術將數據中心開展的業務進行物理位置調整，并可以保證虛擬機原先提供的業務服務不中斷的在線遷移。

然而，實踐中發現，VM從一個物理數據中心(源數據中心)的一臺物理服務器遷移到另一個物理數據中心(目的數據中心)的一臺物理服務器上時，VM上的配置信息、設備信息以及內存信息均可以通過管理平臺進行遷移，但是用于防護遷移VM的網絡安全設備(如物理防火墻)上部署的安全策略信息，只能手動進行配置調整，即：在目的數據中心綁定的目的網絡安全設備上增加針對遷移VM的配置，在源數據中心綁定的源網絡安全設備上刪除針對遷移VM的配置。管理員手動配置網絡安全設備上的安全策略信息的整個過程比較復雜，而且速度緩慢，這很有可能導致業務服務長時間中斷。

發明內容

本發明實施例提供了一種安全策略動態遷移方法及裝置，可以提高網絡安全設備的安全策略遷移的效率，同時，縮短業務服務的恢復時間。

本發明實施例第一方面公開了一種安全策略動態遷移方法，包括：

目的網絡安全設備接收安全管理設備下發的安全策略遷移指令，獲取遷移虛擬機的安全策略信息，所述遷移虛擬機為需要遷移至所述目的網絡安全設備所防護的目的數據中心的虛擬機；

所述目的網絡安全設備根據所述遷移虛擬機的安全策略信息為所述遷移虛擬機部署安全策略。

結合第一方面，在第一方面的第一種可能的實現方式中，源網絡安全設備用于在所述遷移虛擬機未遷移之前防護所述遷移虛擬機的安全，所述遷移虛擬機的安全策略信息是所述目的網絡安全設備在接收到所述安全管理設備下發的安全策略遷移指令之前從所述源網絡安全設備最新獲取的。

結合第一方面的第一種可能的實現方式，在第一方面的第二種可能的實現方式中，所述方法還包括：

所述目的網絡安全設備在接收到所述安全策略遷移指令時，將所述遷移虛擬機的會話狀態設置為會話主狀態；

所述目的網絡安全設備，向根據所述安全策略遷移指令設置會話備狀態的所述源網絡安全設備，發送用于備份的所述遷移虛擬機的安全策略信息。

結合第一方面，在第一方面的第三種可能的實現方式中，所述目的網絡安全設備獲取遷移虛擬機的安全策略信息包括：

所述目的網絡安全設備接收安全管理設備發送的所述遷移虛擬機的安全策略信息，其中，所述安全管理設備存儲的所述遷移虛擬機的安全策略信息為源網絡安全設備上傳的，所述源網絡安全設備用于在所述遷移虛擬機未遷移之前防護所述遷移虛擬機的安全。

結合第一方面的第三種可能的實現方式，在第一方面的第四種可能的實現方式中，所述方法還包括：