[发明专利]一种策略下发方法及装置

说明书

本申请提供一种策略下发方法及装置，所述方法包括：当向任一网络安全设备下发安全策略失败时，保存下发失败的安全策略，并生成对应于该安全策略的策略标识；建立下发失败的网络安全设备的设备标识与下发失败的所述安全策略的策略标识的关联关系，并将所述关联关系添加至预设的失败队列中；基于预设的重发时间间隔，周期性地读取所述失败队列中的策略标识以及设备标识，并将与读取到的所述策略标识关联的安全策略，重新下发至与读取到的所述设备标识对应的网络安全设备。在本申请实施例中，设备管理服务端可以自动对下发失败的安全策略进行重新下发，从而使网络安全设备及时获得该安全策略，确保网络安全设备可以基于下发的安全策略保护网络。

技术领域

本申请涉及安全防护领域，特别涉及一种策略下发方法及装置。

背景技术

网络安全设备的使用越来越广泛，常见的网络安全设备包括防火墙设备、DDOS(Distributed denial of service attack，分布式拒绝服务攻击)检测及防护设备等。在存在大量网络安全设备的情况下，通常利用设备管理服务端统一管理控制这些网络安全设备，由设备管理服务端向网络安全设备下发安全策略。

然而，当安全策略下发失败时，目前通常仅向用户提示该安全策略下发失败，而并不会执行其它操作，因此可能会导致上述网络安全设备缺乏必要的安全策略，从而无法正常保护网络的问题。

发明内容

有鉴于此，本申请提供一种策略下发的方法及装置，用以解决当设备管理服务端向网络安全设备下发安全策略失败时，因缺乏必要的操作，可能导致上述网络安全设备缺乏必要的安全策略，从而无法正常保护网络的问题。

具体地，本申请是通过如下技术方案实现的：

一种策略下发方法，应用于设备管理服务端，所述设备管理服务端用于面向与其对接的若干台网络安全设备下发安全策略，包括：

当向任一网络安全设备下发安全策略失败时，保存下发失败的安全策略，并生成对应于该安全策略的策略标识；

建立下发失败的网络安全设备的设备标识与下发失败的所述安全策略的策略标识的关联关系，并将所述关联关系添加至预设的失败队列中；

基于预设的重发时间间隔，周期性地读取所述失败队列中的策略标识以及设备标识，并将与读取到的所述策略标识关联的安全策略，重新下发至与读取到的所述设备标识对应的网络安全设备。

在所述策略下发方法中，所述失败队列中还包括对应于下发失败的所述安全策略的重发次数；其中，所述重发次数的初始值为零；

所述方法还包括：

当将从所述失败队列中读取到的所述策略标识关联的安全策略，重新下发至与读取到的所述设备标识对应的网络安全设备后，将与下发成功的安全策略关联的所述策略标识以及所述设备标识的关联关系从所述失败队列中删除；

当将从所述失败队列中读取到的所述策略标识关联的安全策略，重新下发至与读取到的所述设备标识对应的网络安全设备后，将与下发失败的所述安全策略对应的重发次数加一。

在所述策略下发方法中，还包括：

判断所述失败队列中是否存在策略标识和设备标识；

如果不存在，停止重新下发动作。

在所述策略下发方法中，还包括：

判断所述失败队列中的各安全策略对应的重发次数是否达到预设的重发次数上限阈值；

当所述失败队列中的任一安全策略对应的重发次数达到预设的重发次数上限阈值时，向用户输出对应于该安全策略的告警提示。

在所述策略下发方法中，所述预设的重发时间间隔，包括一系列成等比数列的重发时间间隔时长。