CN106911680A - 一种策略下发方法及装置 - Google Patents
一种策略下发方法及装置 Download PDFInfo
- Publication number
- CN106911680A CN106911680A CN201710083666.1A CN201710083666A CN106911680A CN 106911680 A CN106911680 A CN 106911680A CN 201710083666 A CN201710083666 A CN 201710083666A CN 106911680 A CN106911680 A CN 106911680A
- Authority
- CN
- China
- Prior art keywords
- strategy
- failure
- security
- security strategy
- mark
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种策略下发方法及装置,所述方法包括:当向任一网络安全设备下发安全策略失败时,保存下发失败的安全策略,并生成对应于该安全策略的策略标识;建立下发失败的网络安全设备的设备标识与下发失败的所述安全策略的策略标识的关联关系,并将所述关联关系添加至预设的失败队列中;基于预设的重发时间间隔,周期性地读取所述失败队列中的策略标识以及设备标识,并将与读取到的所述策略标识关联的安全策略,重新下发至与读取到的所述设备标识对应的网络安全设备。在本申请实施例中,设备管理服务端可以自动对下发失败的安全策略进行重新下发,从而使网络安全设备及时获得该安全策略,确保网络安全设备可以基于下发的安全策略保护网络。
Description
技术领域
本申请涉及安全防护领域,特别涉及一种策略下发方法及装置。
背景技术
网络安全设备的使用越来越广泛,常见的网络安全设备包括防火墙设备、DDOS(Distributed denial of service attack,分布式拒绝服务攻击)检测及防护设备等。在存在大量网络安全设备的情况下,通常利用设备管理服务端统一管理控制这些网络安全设备,由设备管理服务端向网络安全设备下发安全策略。
然而,当安全策略下发失败时,目前通常仅向用户提示该安全策略下发失败,而并不会执行其它操作,因此可能会导致上述网络安全设备缺乏必要的安全策略,从而无法正常保护网络的问题。
发明内容
有鉴于此,本申请提供一种策略下发的方法及装置,用以解决当设备管理服务端向网络安全设备下发安全策略失败时,因缺乏必要的操作,可能导致上述网络安全设备缺乏必要的安全策略,从而无法正常保护网络的问题。
具体地,本申请是通过如下技术方案实现的:
一种策略下发方法,应用于设备管理服务端,所述设备管理服务端用于面向与其对接的若干台网络安全设备下发安全策略,包括:
当向任一网络安全设备下发安全策略失败时,保存下发失败的安全策略,并生成对应于该安全策略的策略标识;
建立下发失败的网络安全设备的设备标识与下发失败的所述安全策略的策略标识的关联关系,并将所述关联关系添加至预设的失败队列中;
基于预设的重发时间间隔,周期性地读取所述失败队列中的策略标识以及设备标识,并将与读取到的所述策略标识关联的安全策略,重新下发至与读取到的所述设备标识对应的网络安全设备。
在所述策略下发方法中,所述失败队列中还包括对应于下发失败的所述安全策略的重发次数;其中,所述重发次数的初始值为零;
所述方法还包括:
当将从所述失败队列中读取到的所述策略标识关联的安全策略,重新下发至与读取到的所述设备标识对应的网络安全设备后,将与下发成功的安全策略关联的所述策略标识以及所述设备标识的关联关系从所述失败队列中删除;
当将从所述失败队列中读取到的所述策略标识关联的安全策略,重新下发至与读取到的所述设备标识对应的网络安全设备后,将与下发失败的所述安全策略对应的重发次数加一。
在所述策略下发方法中,还包括:
判断所述失败队列中是否存在策略标识和设备标识;
如果不存在,停止重新下发动作。
在所述策略下发方法中,还包括:
判断所述失败队列中的各安全策略对应的重发次数是否达到预设的重发次数上限阈值;
当所述失败队列中的任一安全策略对应的重发次数达到预设的重发次数上限阈值时,向用户输出对应于该安全策略的告警提示。
在所述策略下发方法中,所述预设的重发时间间隔,包括一系列成等比数列的重发时间间隔时长。
一种策略下发装置,应用于设备管理服务端,所述设备管理服务端用于面向与其对接的若干台网络安全设备下发安全策略,包括:
保存单元,用于当向任一网络安全设备下发安全策略失败时,保存下发失败的安全策略,并生成对应于该安全策略的策略标识;
添加单元,用于建立下发失败的网络安全设备的设备标识与下发失败的所述安全策略的策略标识的关联关系,并将所述关联关系添加至预设的失败队列中;
下发单元,用于基于预设的重发时间间隔,周期性地读取所述失败队列中的策略标识以及设备标识,并将与读取到的所述策略标识关联的安全策略,重新下发至与读取到的所述设备标识对应的网络安全设备。
在所述策略下发装置中,所述失败队列中还包括对应于下发失败的所述安全策略的重发次数;其中,所述重发次数的初始值为零;
所述装置还包括:
删除单元,用于当将从所述失败队列中读取到的所述策略标识关联的安全策略,重新下发至与读取到的所述设备标识对应的网络安全设备后,将与下发成功的安全策略关联的所述策略标识以及所述设备标识的关联关系从所述失败队列中删除;
计数单元,用于当将从所述失败队列中读取到的所述策略标识关联的安全策略,重新下发至与读取到的所述设备标识对应的网络安全设备后,将与下发失败的所述安全策略对应的重发次数加一。
在所述策略下发装置中,还包括:
判断单元,用于判断所述失败队列中是否存在策略标识和设备标识;
终止单元,用于如果不存在,停止重新下发动作。
在所述策略下发装置中,所述装置还包括:
所述判断单元,进一步用于判断所述失败队列中的各安全策略对应的重发次数是否达到预设的重发次数上限阈值;
输出单元,用于当所述失败队列中的任一安全策略对应的重发次数达到预设的重发次数上限阈值时,向用户输出对应于该安全策略的告警提示。
在所述策略下发装置中,所述预设的重发时间间隔,包括一系列成等比数列的重发时间间隔时长。
在本申请实施例中,设备管理服务端在面向与其对接的若干台网络安全设备下发安全策略时,如果向任一网络安全设备下发安全设备失败,可以保存下发失败的安全策略,并生成对应于该安全策略的策略标识;以及,建立下发失败的网络安全设备的设备标识与下发失败的所述安全策略的策略标识的关联关系,并将所述关联关系添加至预设的失败队列中;然后可以基于预设的重发时间间隔,周期性地读取所述失败队列中的策略标识以及设备标识,并将与读取到的所述策略标识关联的安全策略,重新下发至与读取到的所述设备标识对应的安全设备。
由于在本申请实施例中,所述设备管理服务端在向网络安全设备下发策略失败后,可以将下发失败的安全策略在失败队列中缓存,并周期性地对下发失败的安全策略进行自动重新下发,从而可以确保安全策略能够准确地下发至网络安全设备,避免由于安全策略下发失败,导致的安全策略未下发到网络安全设备而造成的网络安全设备无法正常保护网络的问题。
附图说明
图1是本申请实施例示出的一种策略下发方法的流程图;
图2是本申请实施例示出的一种策略下发装置的实施例框图;
图3是本申请实施例示出的一种策略下发装置的硬件结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对现有技术方案和本发明实施例中的技术方案作进一步详细的说明。
网络安全设备,通常可以包括常见的防火墙设备、DDOS检测及防护设备等,被广泛用于维护网络安全。在存在大量网络安全设备的情况下,通常利用设备管理服务端统一管理这些网络安全设备,并由设备管理服务端为这些网络安全设备下发用于对网络进行安全防护的安全策略。
在实际应用中,设备管理服务端面向与其对接的网络安全设备统一下发安全策略的过程中,当向任一网络安全设备下发安全策略失败时,设备管理服务端通常仅仅提示用户安全策略下发失败,并不会执行任何的其它操作,这可能导致上述网络安全设备因缺乏必要的安全策略,从而无法正常保护网络。
例如,设备管理服务端在下发安全策略失败,并向用户提示策略下发失败后,用户通常可以手动地重新将下发失败的安全策略下发至网络安全设备。然而,在网络安全设备的数量较大时,用户的工作量会很多,既费时又费力,而且可能因为人工操作的失误造成安全策略下发错误或失败,从而造成上述网络安全设备因缺乏必要的安全策略,而无法对网络进行保护。
有鉴于此,在本申请实施例的技术方案中,设备管理服务端在向网络安全设备下发安全策略失败后,可以周期性地对下发失败的安全策略进行自动重新向下发,减少了用户人工操作的工作量,并使网络安全设备可以准确及时地获得必要的安全策略,从而正常地保护网络。
参见图1,为本申请实施例示出的一种策略下发方法的流程图,所述方法应用于设备管理服务端,所述设备管理服务端用于面向与其对接的若干台网络安全设备下发安全策略;所述方法包括以下步骤:
步骤101:当向任一网络安全设备下发安全策略失败时,保存下发失败的安全策略,并生成对应于该安全策略的策略标识。
步骤102:建立下发失败的网络安全设备的设备标识与下发失败的所述安全策略的策略标识的关联关系,并将所述关联关系添加至预设的失败队列中。
步骤103:基于预设的重发时间间隔,周期性地读取所述失败队列中的策略标识以及设备标识,并将与读取到的所述策略标识关联的安全策略,重新下发至与读取到的所述设备标识对应的网络安全设备。
上述设备管理服务端,包括面向与其对接的网络安全设备下发安全策略的服务器或服务器平台。
上述网络安全设备,包括防火墙设备、DDOS检测及防护设备、IPS(IntrusionPrevention System,入侵防御系统)设备和WAF(Web Application Firewall,网站应用级入侵防御系统)设备等。
在本申请实施例中,用户可以开启设备管理服务端的自动化下发功能,在开启该功能后,设备管理服务端在将安全策略下发至网络安全设备失败时,可以自动重新下发该安全策略,减少了用户人工操作的工作量,并让网络安全设备及时地获得安全策略,从而正常保护网络。
设备管理服务端可以为与其对接的网络安全设备预先分配设备标识,当出现安全策略下发失败的情况时,记录下发失败的网络安全设备的设备标识。
设备管理服务端在开启自动化下发功能后,可以在本地预先配置缓存,用于存储下发失败的安全策略,例如,可以将下发失败的安全策略在数据库中单独存储。将下发失败的安全策略单独存储的优点在于,后续设备管理服务端可以迅速从中获得需要重新下发的安全策略。
另外,设备管理服务端还可以预先配置失败队列,即另一块缓存,用于存储下发失败的安全策略的策略标识,下发失败的网络安全设备的设备标识以及重发次数。
其中,重发次数为设备管理服务端将安全策略向网络安全设备重复下发的次数,初始值为零,每重发一次就加一。用户可以预先设置重发次数上限阈值,当设备管理服务端将任一安全策略向任一网络安全设备重新下发的重发次数达到预设的重发次数上限阈值时,可以终止重发动作。
在本申请实施例中,设备管理服务端响应于用户的操作或者网络环境的触发条件向与其对接的网络安全设备下发安全策略。当向任一网络安全设备下发任一安全策略失败时,设备管理服务端将下发失败的安全策略保存在本地预先配置的缓存中,并生成对应于该安全策略的策略标识。
设备管理服务端可以获取下发失败的网络安全设备的设备标识,然后建立下发失败的网络安全设备的设备标识与下发失败的上述安全策略的策略标识的关联关系,并将该关联关系添加到预设的失败队列中。其中,该关联关系还包括设备管理服务端将上述安全策略重新下发至上述网络安全设备的重发次数,重发次数的初始值为零。
在本申请实施例中,设备管理服务端可以基于预设的重发时间间隔,周期性地读取上述失败队列中的策略标识以及设备标识,然后将与读取到的上述策略标识关联的安全策略,重新下发至与读取到的上述设备标识对应的安全设备。
由于设备管理服务端在开启自动化下发功能后,能够自动将下发失败的安全策略重新下发至网络安全设备,因此,网络安全设备可以及时获得必要的安全设备,从而正常保护网络。
在本申请实施例中,设备管理服务端将下发失败的安全策略重新下发至网络安全设备,在重新下发时可能成功,也可能再次出现失败。
一方面,当设备管理服务端将从上述失败队列中读取到的上述策略标识关联的安全策略,重新下发至与读取到上述设备标识对应的网络安全设备后,将与下发成功的安全策略关联的上述策略标识以及上述设备标识的关联关系从上述失败队列中删除。
设备管理服务端将上述关联关系从上述失败队列中删除,可以释放存储空间。
另一方面,当设备管理服务端将从上述失败队列中读取到的上述策略标识关联的安全策略,重新下发至与读取到的上述设备标识对应的安全设备后,将与下发失败的上述安全策略对应的重发次数加一。
通过为重发次数计数,设备管理服务端可以在重发次数达到预设的重发次数上限阈值时,确定可能存在故障,并终止无效的下发动作。
在本申请实施例中,设备管理服务端在每一轮重新下发完成后,可以判断上述失败队列中是否存在策略标识和设备标识。
如果失败队列中不存在,说明已将全部下发失败的安全策略成功下发至网络安全设备,此时,设备管理服务端可以终止重新下发动作,直到有新的下发失败的安全策略的策略标识以及网络安全设备的设备标识加入到失败队列中。
此外,如果失败队列中仍旧存在策略标识和设备标识,说明这一轮重新下发后,存在再一次下发失败的安全策略。在这种情况下,设备管理服务端可以在到达预设的重发时间间隔后,重新读取策略标识和设备标识,再一次将该策略标识对应的安全策略下发至该设备标识对应的网络安全设备。
在本申请实施例中,设备管理服务端在将重新下发失败的安全策略对应的重发次数加一时,可以判断更新后的重发次数是否达到预设的重发次数上限阈值。
一方面,更新后的重发次数未达到重发次数上限阈值,则设备管理服务端正常处理重发次数对应的安全策略,即在达到预设的重发时间间隔后,重新读取策略标识和设备标识,再一次将该策略标识对应的安全策略下发至该设备标识对应的网络安全设备。
另一方面,更新后的重发次数达到了重发次数上限阈值,此时,依靠设备管理服务端重新下发重发次数对应的安全策略无法实现,应该让用户介入。设备管理服务端可以向用户输出告警提示,该告警提示包括达到重发次数上限阈值的上述重发次数对应的策略标识和设备标识,以及下发失败的原因。用户从该告警提示中获知下发失败的安全策略和网络安全设备后,可以人工对失败的原因进行处理,然后手动将安全策略下发至网络安全设备。
通过上述措施,设备管理服务端既可以自动地处理大部分下发失败的安全策略,又可以在始终无法下发成功时向用户发出告警提示,以由用户人工处理故障,并将安全策略下发至网络安全设备。因此,有效地降低了用户手工操作的工作量,并使网络安全设备可以及时获得安全策略,从而正常地保护网络。
在示出的一种实施方式中,上述预设的重发时间间隔,可以包括一系列成等比数列的重发时间间隔时长。例如:上述一系列重发时间间隔可以是1秒、2秒、4秒、8秒、16秒……
如果某网络安全设备存在故障,设备管理服务端在将安全策略下发至该网络安全设备时,无法下发成功。如果重发时间间隔始终保持不变,则在一定的时长内,设备管理服务端用于向该网络安全设备下发安全策略的处理资源被浪费了。而通过将重发时间间隔设置为一系列成等比数列的重发时间间隔时长,则在一定时间内,设备管理服务端向该网络安全设备下发安全策略的次数会减少,因此减少了处理资源的浪费。
例如:某网络安全设备出现故障,若重发时间间隔保存不变,为4秒,则1分钟内,设备管理服务端需向该网络安全设备下发安全策略15次(重发次数上限阈值大于15次),而处理这15次下发的资源都是浪费的。如果重发时间间隔为一系列成等比数列的重发时间间隔时长,如:4秒、8秒、16秒、32秒……则1分钟内,设备管理服务端只需向该网络安全设备下发安全策略4次,减少了在这1分钟内的处理资源的浪费。
综上所述,在本申请实施例中,设备管理服务端在面向与其对接的网络安全设备下发安全策略时,当向任一网络安全设备下发安全策略失败时,可以保存下发失败的安全策略,并生成对应于该安全策略的策略标识;设备管理服务端建立下发失败的网络安全设备的设备标识与下发失败的安全策略的策略标识的关联关系,并将该关联关系添加至预设的失败队列中,然后基于预设的重发时间间隔,周期性地读取上述失败队列中的策略标识以及设备标识,进而将读取到的上述策略标识关联的安全策略,重新下发至与读取到的上述设备标识对应的网络安全设备。
由于在本申请中,设备管理服务端在向网络安全设备下发策略失败后,可以将下发失败的安全策略在失败队列中缓存,并周期性地对下发失败的安全策略进行自动重新下发,因此,可以确保安全策略能够准确地下发至网络安全设备,避免由于安全策略下发失败,导致的安全策略未下发到网络安全设备而造成的网络安全设备无法正常保护网络的问题。
与本申请策略下发方法的实施例相对应,本申请还提供了用于执行上述方法实施例的装置的实施例。
参见图2,为本申请实施例示出的一种策略下发装置的实施例框图:
如图2所示,该策略下发装置20包括:
保存单元210,用于当向任一网络安全设备下发安全策略失败时,保存下发失败的安全策略,并生成对应于该安全策略的策略标识。
添加单元220,用于建立下发失败的网络安全设备的设备标识与下发失败的所述安全策略的策略标识的关联关系,并将所述关联关系添加至预设的失败队列中。
下发单元230,用于基于预设的重发时间间隔,周期性地读取所述失败队列中的策略标识以及设备标识,并将与读取到的所述策略标识关联的安全策略,重新下发至与读取到的所述设备标识对应的网络安全设备。
在本例中,所述失败队列中还包括对应于下发失败的所述安全策略的重发次数;其中,所述重发次数的初始值为零;
所述装置还包括:
删除单元240,用于当将从所述失败队列中读取到的所述策略标识关联的安全策略,重新下发至与读取到的所述设备标识对应的网络安全设备后,将与下发成功的安全策略关联的所述策略标识以及所述设备标识的关联关系从所述失败队列中删除。
计数单元250,用于当将从所述失败队列中读取到的所述策略标识关联的安全策略,重新下发至与读取到的所述设备标识对应的网络安全设备后,将与下发失败的所述安全策略对应的重发次数加一。
在本例中,所述装置还包括:
判断单元260,用于判断所述失败队列中是否存在策略标识和设备标识。
终止单元270,用于如果不存在,停止重新下发动作。
在本例中,所述装置还包括:
所述判断单元260,进一步用于判断所述失败队列中的各安全策略对应的重发次数是否达到预设的重发次数上限阈值。
输出单元280,用于当所述失败队列中的任一安全策略对应的重发次数达到预设的重发次数上限阈值时,向用户输出对应于该安全策略的告警提示。
在本例中,所述预设的重发时间间隔,包括一系列成等比数列重发时间间隔时长。
本申请策略下发装置的实施例可以应用在设备管理服务端上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备管理服务端的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图3所示,为本申请策略下发装置所在设备管理服务端的一种硬件结构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的设备管理服务端通常根据该策略下发装置的实际功能,还可以包括其他硬件,对此不再赘述。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种策略下发方法,应用于设备管理服务端,所述设备管理服务端用于面向与其对接的若干台网络安全设备下发安全策略,其特征在于,包括:
当向任一网络安全设备下发安全策略失败时,保存下发失败的安全策略,并生成对应于该安全策略的策略标识;
建立下发失败的网络安全设备的设备标识与下发失败的所述安全策略的策略标识的关联关系,并将所述关联关系添加至预设的失败队列中;
基于预设的重发时间间隔,周期性地读取所述失败队列中的策略标识以及设备标识,并将与读取到的所述策略标识关联的安全策略,重新下发至与读取到的所述设备标识对应的网络安全设备。
2.根据权利要求1所述的方法,其特征在于,所述失败队列中还包括对应于下发失败的所述安全策略的重发次数;其中,所述重发次数的初始值为零;
所述方法还包括:
当将从所述失败队列中读取到的所述策略标识关联的安全策略,重新下发至与读取到的所述设备标识对应的网络安全设备后,将与下发成功的安全策略关联的所述策略标识以及所述设备标识的关联关系从所述失败队列中删除;
当将从所述失败队列中读取到的所述策略标识关联的安全策略,重新下发至与读取到的所述设备标识对应的网络安全设备后,将与下发失败的所述安全策略对应的重发次数加一。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
判断所述失败队列中是否存在策略标识和设备标识;
如果不存在,停止重新下发动作。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
判断所述失败队列中的各安全策略对应的重发次数是否达到预设的重发次数上限阈值;
当所述失败队列中的任一安全策略对应的重发次数达到预设的重发次数上限阈值时,向用户输出对应于该安全策略的告警提示。
5.根据权利要求1所述的方法,其特征在于,所述预设的重发时间间隔,包括一系列成等比数列的重发时间间隔时长。
6.一种策略下发装置,应用于设备管理服务端,所述设备管理服务端用于面向与其对接的若干台网络安全设备下发安全策略,其特征在于,包括:
保存单元,用于当向任一网络安全设备下发安全策略失败时,保存下发失败的安全策略,并生成对应于该安全策略的策略标识;
添加单元,用于建立下发失败的网络安全设备的设备标识与下发失败的所述安全策略的策略标识的关联关系,并将所述关联关系添加至预设的失败队列中;
下发单元,用于基于预设的重发时间间隔,周期性地读取所述失败队列中的策略标识以及设备标识,并将与读取到的所述策略标识关联的安全策略,重新下发至与读取到的所述设备标识对应的网络安全设备。
7.根据权利要求6所述的装置,其特征在于,所述失败队列中还包括对应于下发失败的所述安全策略的重发次数;其中,所述重发次数的初始值为零;
所述装置还包括:
删除单元,用于当将从所述失败队列中读取到的所述策略标识关联的安全策略,重新下发至与读取到的所述设备标识对应的网络安全设备后,将与下发成功的安全策略关联的所述策略标识以及所述设备标识的关联关系从所述失败队列中删除;
计数单元,用于当将从所述失败队列中读取到的所述策略标识关联的安全策略,重新下发至与读取到的所述设备标识对应的网络安全设备后,将与下发失败的所述安全策略对应的重发次数加一。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
判断单元,用于判断所述失败队列中是否存在策略标识和设备标识;
终止单元,用于如果不存在,停止重新下发动作。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
所述判断单元,进一步用于判断所述失败队列中的各安全策略对应的重发次数是否达到预设的重发次数上限阈值;
输出单元,用于当所述失败队列中的任一安全策略对应的重发次数达到预设的重发次数上限阈值时,向用户输出对应于该安全策略的告警提示。
10.根据权利要求6所述的装置,其特征在于,所述预设的重发时间间隔,包括一系列成等比数列的重发时间间隔时长。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710083666.1A CN106911680B (zh) | 2017-02-16 | 2017-02-16 | 一种策略下发方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710083666.1A CN106911680B (zh) | 2017-02-16 | 2017-02-16 | 一种策略下发方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106911680A true CN106911680A (zh) | 2017-06-30 |
| CN106911680B CN106911680B (zh) | 2020-01-03 |
Family
ID=59208809
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710083666.1A Active CN106911680B (zh) | 2017-02-16 | 2017-02-16 | 一种策略下发方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106911680B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108234599A (zh) * | 2017-12-06 | 2018-06-29 | 链家网(北京)科技有限公司 | 一种消息重发方法及系统 |
| CN111342996A (zh) * | 2020-02-03 | 2020-06-26 | 杭州迪普科技股份有限公司 | 集控中心系统和方法 |
| CN114640522A (zh) * | 2022-03-18 | 2022-06-17 | 广东润联信息技术有限公司 | 防火墙安全策略的处理方法、装置、设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101217482A (zh) * | 2008-01-18 | 2008-07-09 | 杭州华三通信技术有限公司 | 一种穿越nat下发策略的方法和一种通信装置 |
| CN101232509A (zh) * | 2008-02-26 | 2008-07-30 | 杭州华三通信技术有限公司 | 支持隔离模式的网络接入控制方法、系统及设备 |
| CN101997661A (zh) * | 2009-08-14 | 2011-03-30 | 华为技术有限公司 | 数据包发送方法、数据包获取方法及装置 |
| CN103595573A (zh) * | 2013-11-28 | 2014-02-19 | 中国联合网络通信集团有限公司 | 一种策略规则的下发方法及装置 |
| US9374353B2 (en) * | 2005-01-26 | 2016-06-21 | Mcafee, Inc. | Enabling dynamic authentication with different protocols on the same port for a switch |
-
2017
- 2017-02-16 CN CN201710083666.1A patent/CN106911680B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9374353B2 (en) * | 2005-01-26 | 2016-06-21 | Mcafee, Inc. | Enabling dynamic authentication with different protocols on the same port for a switch |
| CN101217482A (zh) * | 2008-01-18 | 2008-07-09 | 杭州华三通信技术有限公司 | 一种穿越nat下发策略的方法和一种通信装置 |
| CN101232509A (zh) * | 2008-02-26 | 2008-07-30 | 杭州华三通信技术有限公司 | 支持隔离模式的网络接入控制方法、系统及设备 |
| CN101997661A (zh) * | 2009-08-14 | 2011-03-30 | 华为技术有限公司 | 数据包发送方法、数据包获取方法及装置 |
| CN103595573A (zh) * | 2013-11-28 | 2014-02-19 | 中国联合网络通信集团有限公司 | 一种策略规则的下发方法及装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108234599A (zh) * | 2017-12-06 | 2018-06-29 | 链家网(北京)科技有限公司 | 一种消息重发方法及系统 |
| CN111342996A (zh) * | 2020-02-03 | 2020-06-26 | 杭州迪普科技股份有限公司 | 集控中心系统和方法 |
| CN114640522A (zh) * | 2022-03-18 | 2022-06-17 | 广东润联信息技术有限公司 | 防火墙安全策略的处理方法、装置、设备及存储介质 |
| CN114640522B (zh) * | 2022-03-18 | 2024-04-16 | 华润智算科技(广东)有限公司 | 防火墙安全策略的处理方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106911680B (zh) | 2020-01-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8826403B2 (en) | Service compliance enforcement using user activity monitoring and work request verification | |
| US7752671B2 (en) | Method and device for questioning a plurality of computerized devices | |
| US20180262529A1 (en) | Honeypot computing services that include simulated computing resources | |
| CN104704472B (zh) | 防止侧信道攻击的系统、方法和装置 | |
| CN104301302B (zh) | 越权攻击检测方法及装置 | |
| EP3343867A1 (en) | Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset | |
| US10938859B2 (en) | Managing privileged system access based on risk assessment | |
| CN108881211A (zh) | 一种违规外联检测方法及装置 | |
| US20140157415A1 (en) | Information security analysis using game theory and simulation | |
| CN103117993B (zh) | 用于提供过程控制系统的防火墙的方法、装置及制品 | |
| CN108683652A (zh) | 一种基于行为权限的处理网络攻击行为的方法及装置 | |
| CN106911680A (zh) | 一种策略下发方法及装置 | |
| CN106790272A (zh) | 一种单点登录的系统及方法、一种应用服务器 | |
| CN106656640A (zh) | 网络攻击的预警方法及装置 | |
| CN109447651A (zh) | 业务风控检测方法、系统、服务器及存储介质 | |
| US20100058441A1 (en) | Information processing limitation system and information processing limitation device | |
| CN110049028A (zh) | 监控域控管理员的方法、装置、计算机设备及存储介质 | |
| US20170177861A1 (en) | Log analysis device, unauthorized access auditing system, computer readable medium storing log analysis program, and log analysis method | |
| CN107506149A (zh) | 存储系统管理日志转储方法及装置 | |
| CN109600395A (zh) | 一种终端网络接入控制系统的装置及实现方法 | |
| CN102379139A (zh) | 把控制策略动态地应用于网络 | |
| CN112163198A (zh) | 一种主机登录安全检测方法、系统、装置及存储介质 | |
| US11290486B1 (en) | Allocating defective computing resources for honeypot services | |
| CN107786553A (zh) | 基于工作量证明的身份认证方法、服务器及系统 | |
| CN113704749B (zh) | 一种恶意挖矿检测处理方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |