[发明专利]安全策略配置方法及系统

权利要求书

1.一种安全策略配置方法，其特征在于，应用于部署在服务器上的安全策略配置系统，所述方法包括：

获取至少一个待配置的安全策略和至少一个目标交换机的设备信息；

根据所述设备信息从预置的命令模板库中获取与各目标交换机对应的命令模板；

利用与各目标交换机对应的命令模板，将所述安全策略转换成各目标交换机对应的命令行代码；

生成包括至少一个子任务的配置任务，并发执行所有子任务，每个所述子任务用于登陆一个所述目标交换机，在所述目标交换机执行所述目标交换机对应的命令行代码。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当网络中新增新型交换机时，获取与所述新型交换机相符合的命令模板；

将所述新型交换机的设备信息和与所述新型交换机相符合的命令模板对应保存在所述命令模板库中。

3.根据权利要求1所述的方法，其特征在于，在所述并发执行所有子任务的过程中，所述方法还包括：

监测是否发生执行错误；

当发生执行错误时，对于执行完成的子任务，根据所述子任务对应的安全策略和目标交换机生成对应的回滚子任务，通过执行所述回滚子任务将在所述目标交换机配置的所述安全策略删除；对于未执行完成的子任务，删除所述子任务。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

获取所述配置任务的完成进度；

将所述完成进度实时发送至用户终端，以在所述用户终端显示用于呈现所述完成进度的第一前端页面。

5.根据权利要求1-4任一项所述的方法，其特征在于，所述根据所述设备信息从预置的命令模板库中获取与各目标交换机对应的命令模板之前，还包括：

通过查找历史配置记录，判断待配置的安全策略是否满足第一配置条件，所述历史配置记录包括配置过的安全策略，所述第一配置条件用于限定所述待配置的安全策略与所述配置过的安全策略不冲突且不重复；

若所述待配置的安全策略满足所述第一配置条件，则执行根据所述设备信息从预置的命令模板库中获取与各目标交换机对应的命令模板的步骤；

若所述待配置的安全策略不满足所述第一配置条件，则结束流程。

6.根据权利要求5所述的方法，其特征在于，若所述待配置的安全策略满足所述第一配置条件，所述根据所述设备信息从预置的命令模板库中获取与各目标交换机对应的命令模板之前，还包括：

通过查找策略库，判断各目标交换机是否满足第二配置条件，所述策略库包括每个交换机已配置的安全策略，所述第二配置条件用于限定所述待配置的安全策略与所述目标交换机已配置的安全策略不冲突且不重复；

删除不满足所述第二配置条件的目标交换机的配置信息，保留满足所述第二配置条件的目标交换机的设备信息。

7.根据权利要求1所述的方法，其特征在于，所述获取至少一个待配置的安全策略和至少一个目标交换机的设备信息，包括：

接收用户终端发送的至少一个待配置的安全策略，所述至少一个待配置的安全策略是用户在所述用户终端显示的第二前端页面中新建的安全策略；

接收用户终端发送的至少一个目标交换机的设备信息，所述至少一个目标交换机的设备信息是用户在所述用户终端显示的第三前端页面中选择的，所述第三前端页面中显示有设备库中所有VLAN标识对应的所有交换机的设备信息。

8.根据权利要求1所述的方法，其特征在于，所述生成包括至少一个子任务的配置任务之前，所述方法还包括：

将所述各目标交换机对应的命令行代码发送至用户终端，以在所述用户终端显示的第四前端页面中显示所述各目标交换机对应的命令行代码；

接收用户终端发送的执行指令，所述执行指令由用户终端接收到用户在所述第四前端页面中输入确认操作后发送。

9.根据权利要求1所述的方法，其特征在于，所述子任务用于使用SOCKET技术和SSH协议登陆所述目标交换机，在所述目标交换机执行所述目标交换机对应的命令行代码。

10.一种安全策略配置系统，其特征在于，应用于服务器，所述系统包括：

获取模块，用于获取至少一个待配置的安全策略和至少一个目标交换机的设备信息；

生成模块，用于根据所述设备信息从预置的命令模板库中获取与各目标交换机对应的命令模板；利用与各目标交换机对应的命令模板，将所述安全策略转换成各目标交换机对应的命令行代码；

配置模块，用于生成包括至少一个子任务的配置任务，并发执行所有子任务，每个所述子任务用于登陆一个所述目标交换机，在所述目标交换机执行所述目标交换机对应的命令行代码。