[发明专利]一种设备安全策略的配置方法及装置

说明书

本发明实施例提供一种设备安全策略的配置方法及装置，基于统一策略描述语言根据目标配置需求构建归一化策略，并从策略模板库中获取目标设备对应的策略模板，根据策略模板从归一化策略中的所有配置参数中筛选出目标参数，并根据所有目标参数从策略模板中的所有命令行中获取目标命令行，根据所有目标参数对所有目标命令行进行转换，生成目标设备对应的配置策略，最终将配置策略下发并配置到目标设备。该方法及装置无需管理员学习各异的配置命令语法语义，有利于降低工作成本；且管理员仅需下发一次配置需求，能够有效避免重复操作，有利于提高设备安全策略的配置效率，以确保能够将安全策略及时配置到设备。

技术领域

本发明涉及计算机网络安全技术领域，更具体地，涉及一种设备安全策略的配置方法及装置。

背景技术

随着网络技术发展，网络规模逐渐增大，网络节点日益错综复杂，使得网络威胁呈现出多样化、复杂化和频繁化的特征。为保证网络与系统的安全，需要部署大量、多样的设备，并为这些设备配置正确有效的安全策略，以及时处理网络威胁，保障网络稳定运行。

由于网络中的设备来自不同厂商，具有个性化的配置命令和各异的配置命令语法语义。因此，在对大量设备进行配置时，需要兼容配置命令各异的语法语义。现如今普遍适用的逐一配置方式，要求管理员学习各异的配置命令语法语义，通过设备提供的命令行接口(CLI，command-line interface)，对设备进行逐一的配置。该方法需要管理员学习大量配置语法，工作成本较高；且当需要对多台设备配置相同的策略时，管理员需要重复大量相同的操作，效率较低，因而当网络威胁产生时，可能导致安全策略无法及时有效地配置到设备，造成不可预料的后果。

发明内容

本发明实施例为了克服现有技术中在对大量设备进行配置时，需要管理员学习大量配置语法，工作成本较高且效率较低的问题，提供一种设备安全策略的配置方法及装置。

第一方面，本发明实施例提供一种设备安全策略的配置方法，包括：

基于统一策略描述语言根据目标配置需求构建所述目标配置需求对应的归一化策略，所述归一化策略中包含策略类型、至少一个目标设备和至少一个配置参数；

对于所述归一化策略中的任意一个目标设备，根据所述归一化策略中的策略类型从策略模板库中获取所述目标设备对应的策略模板，所述策略模板中包含至少一条命令行；

利用策略校验规则根据所述策略模板对所述归一化策略进行校验，若校验通过，则根据所述策略模板对所述归一化策略中的所有配置参数进行筛选，将筛选后的每个配置参数作为目标参数，根据所有目标参数从所述策略模板中的所有命令行中获取目标命令行；

利用策略转换规则根据所有目标参数对所有目标命令行进行转换，生成所述目标设备对应的配置策略，根据所述配置策略对所述目标设备进行配置。

第二方面，本发明实施例提供一种设备安全策略的配置装置，包括：

归一化策略构建模块，用于基于统一策略描述语言根据目标配置需求构建所述目标配置需求对应的归一化策略，所述归一化策略中包含策略类型、至少一个目标设备和至少一个配置参数；

策略模板获取模块，用于对于所述归一化策略中的任意一个目标设备，根据所述归一化策略中的策略类型从策略模板库中获取所述目标设备对应的策略模板，所述策略模板中包含至少一条命令行；

参数和命令行确定模块，用于利用策略校验规则根据所述策略模板对所述归一化策略进行校验，若校验通过，则根据所述策略模板对所述归一化策略中的所有配置参数进行筛选，将筛选后的每个配置参数作为目标参数，根据所有目标参数从所述策略模板中的所有命令行中获取目标命令行；

策略转换与配置模块，用于利用策略转换规则根据所有目标参数对所有目标命令行进行转换，生成所述目标设备对应的配置策略，根据所述配置策略对所述目标设备进行配置。