CN114513419A - 安全策略配置方法及系统 - Google Patents

Abstract

本申请公开了安全策略配置方法及系统，该方法首先获取至少一个待配置的安全策略和至少一个目标交换机的设备信息；然后根据设备信息从预置的命令模板库中获取与各目标交换机对应的命令模板；再利用与各目标交换机对应的命令模板，将安全策略转换成各目标交换机对应的命令行代码；最后生成包括至少子任务的配置任务，并发执行所有子任务，每个所述子任务用于登陆一个所述目标交换机，在所述目标交换机执行所述目标交换机对应的命令行代码。与现有技术相比，本申请提供的安全策略配置方法可以同时对多台交换机进行安全策略配置，过程直观，配置效率大大提高。

Description

安全策略配置方法及系统

技术领域

本申请涉及网络安全技术领域，尤其涉及一种安全策略配置方法及系统。

背景技术

交换机是组成网络的核心设备，其重要作用是转发数据。为保证网络信息安全，要求交换机在可以自行防范黑客攻击和病毒侵入，从而始终保持高效的数据转发速率。

通常，通过为交换机配置安全策略，使交换机免遭黑客攻击和病毒侵入等安全问题，比如，当交换机接收到数据包时，允许符合安全策略的数据包通过，过滤掉不符合安全策略的数据包。

现有的安全策略配置方法，如基于SNMP的安全策略配置方案，都需要对网络中的交换机逐一进行操作，无法批量配置。

发明内容

本申请提供一种安全策略配置方法及系统，以现有安全策略配置方法中无法批量配置的问题。

第一方面，本申请提供一种安全策略配置方法，应用于部署在服务器上的安全策略配置系统，所述方法包括：

获取至少一个待配置的安全策略和至少一个目标交换机的设备信息；

根据所述设备信息从预置的命令模板库中获取与各目标交换机对应的命令模板；

利用与各目标交换机对应的命令模板，将所述安全策略转换成各目标交换机对应的命令行代码；

生成包括至少子任务的配置任务，并发执行所有子任务，每个所述子任务用于登陆一个所述目标交换机，在所述目标交换机执行所述目标交换机对应的命令行代码。

第二方面，本申请还提供安全策略配置系统，应用于服务器，所述系统包括：

获取模块，用于获取至少一个待配置的安全策略和至少一个目标交换机的设备信息；

生成模块，用于根据所述设备信息从预置的命令模板库中获取与各目标交换机对应的命令模板；利用与各目标交换机对应的命令模板，将所述安全策略转换成各目标交换机对应的命令行代码；

配置模块，用于生成包括至少一个子任务的配置任务，并发执行所有子任务，每个所述子任务用于登陆一个所述目标交换机，在所述目标交换机执行所述目标交换机对应的命令行代码。

由以上技术方案可知，本申请提供一种安全策略配置方法及系统，该方法首先获取至少一个待配置的安全策略和至少一个目标交换机的设备信息；然后根据设备信息从预置的命令模板库中获取与各目标交换机对应的命令模板；再利用与各目标交换机对应的命令模板，将安全策略转换成各目标交换机对应的命令行代码；最后生成包括至少一个子任务的配置任务，并发执行所有子任务，每个所述子任务用于登陆一个所述目标交换机，在所述目标交换机执行所述目标交换机对应的命令行代码。与现有技术相比，本申请提供的安全策略配置方法可以同时对多台交换机进行安全策略配置，过程直观，配置效率大大提高。

附图说明

为了更清楚地说明本申请的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种通信系统的结构示意图；

图2为本申请实施例示出的一种安全策略配置方法流程图；

图3为本申请实施例示出的一种安全策略配置系统框图。

具体实施方式

为了使本技术领域的人员更好地理解本申请中的技术方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

图1为本申请示例性示出的一种通信系统，该通信系统包括多个服务器100、多个交换机200和多个终端设备300。

其中，终端设备300可以是手机、计算机、平板电脑、各类信息传感设备等具有信息显示功能、数据收发功能以及数据处理功能的终端设备。作为示例，终端设备300可以包括处理器、存储器和通信接口，其中，处理器、存储器和通信接口耦合，存储器中存储有程序指令，处理器可调用存储器中的程序指令，使终端设备执行相关的方法。

交换机200根据其配置的VLAN的VLAN标识(如VLAN1、VLAN2等)转发接入到各VLAN中的终端设备300之间传输的数据，为保证网络信息安全，各交换机200可以基于访问控制列表(ACL)，根据配置的安全策略对接口上的数据包进行过滤，允许其通过或丢弃。

服务器100可以为服务器或服务器构成的集群(可带有旁挂设备)、云服务提供的虚拟机、计算机等具有图像渲染、编码、数据采集、数据处理功能的设备。作为示例，服务器100可以包括：至少一个处理器、至少一个存储器和至少一个接口单元，其中，处理器、存储器和通信接口耦合，存储器中存储有程序指令，处理器可调用存储器中的程序指令，使服务器执行相关的方法，例如本申请实施例所提供的安全策略配置方法。

在本申请实施例中所提及的处理器可以包括一个或者多个处理单元，例如系统芯片(system on a chip，SoC)、中央处理器(central processing unit，CPU)、微控制器(microcontroller，MCU)、存储控制器等。其中，不同的处理单元可以是独立的器件，也可以集成在一个或多个处理器中。

在本申请实施例中所提及的存储器可以包括一个或者多个存储单元，例如可以包括易失性存储器(volatile memory)，如：动态随机存取存储器(dynamic random accessmemory，DRAM)、静态随机存取存储器(static random access memory，SRAM)等；还可以包括非易失性存储器(non-volatile memory，NVM)，如：只读存储器(read-only memory，ROM)、闪存(flash memory)等。其中，不同的存储单元可以是独立的器件，也可以集成或者封装在一个或者多个处理器或者通信接口中，成为处理器或者通信接口的一部分。

在本申请实施例中所提及的通信接口可以包括网络适配器(network adapter)、网卡(network interface card)、局域网接收器(LAN adapter)、网络接口控制器(networkinterface controller，NIC)、调制解调器(modem)等。其中，通信接口可以是独立的器件，也可以部分或者全部地集成或者封装在处理器中，成为处理器的一部分。

图2为本申请实施例提供的一种安全策略配置方法流程图，该方法应用于图1所示通信系统中的服务器100，比如在服务器100中部署专用于为交换机配置安全策略的安全策略配置系统，服务器100通过运行该安全策略配置系统执行本申请实施例提供的安全策略配置方法。如图2所示，该方法可以包括：

S110，获取至少一个待配置的安全策略和至少一个目标交换机的设备信息。

在一些实施例中，在可以与服务器建立通信连接的用户终端上，安装上述安全策略配置系统对应的前台程序，以使用户通过用户终端操作安全策略配置系统。比如，用户终端通过该前台程序访问服务器，获取页面数据，进而在用户终端屏幕上显示安全策略配置系统的用户页面，一方面，系统状态和数据库数据可以基于用户页面得以显示，供用户查看诸如所有交换机的设备信息、策略配置等信息，另一方面，用户可以基于用户页面操作和控制安全策略配置系统，比如，新建安全策略、从所有交换机中选择目标交换机等。其中，交换机的设备信息至少包括设备标识和设备型号。

作为可能的实现方式，用户终端可以响应于指定的用户操作，向服务器100请求获取第二前端页面的页面数据，服务器100根据用户终端的请求，将第二前端页面的页面数据返回给用户终端，用户终端根据服务器100返回的页面数据显示第二前端页面，在显示第二前端页面时，用户可以输入源IP、源端口，目的IP、目的端口，允许或者拒绝等信息新建一个或者多个安全策略。输入完成后，用户终端将用户新建的一个或者多个安全策略发送给服务器100，服务器100接收用户终端发送的该一个或多个安全策略，作为待配置的安全策略。

服务器100可以定时获取每个交换机已配置的安全策略和该交换机对应的VLAN的VLAN标识。将每个交换机的设备标识(如交换机的名称或者管理IP)和该交换机已配置的安全策略信息对应保存在策略库中，这样，可以通过查询策略库，查看各交换机已配置的安全策略，还可以判断出待配置的安全策略与交换机已配置的安全策略是否冲突、重复，其中安全策略信息可以包括安全策略内容和安全策略的ID。将每个交换机的设备信息和该交换机对应的VLAN的VLAN标识对应保存在设备库中，这样，可以根据指定VLAN标识查询设备库，以查看指定VLAN下的交换机，还可以根据指定交换机的设备信息查询设备库，以查看指定交换机配置的VLAN。

在一些实施例中，策略库包括两个子库，其中一个子库用于保存通过本申请方法配置在各交换机上的安全策略，另一个子库用户保存通过其他通道配置在各交换机上的安全策略。

在一些实施例中，策略库和设备库统称为安全策略配置系统的数据库。

作为可能的实现方式，用户终端可以响应于指定的用户操作，向服务器100请求获取第三前端页面的页面数据，第三前端页面的页面数据需要包括部分或者全部交换机的设备信息，这些设备信息被预先保存在设备库中；服务器100根据用户终端的请求，将第三前端页面的页面数据返回给用户终端，用户终端根据服务器返回的页面数据显示第三前端页面，这样，部分或者全部交换机的设备信息在第三前端页面中得以显示；在显示第三前端页面时，用户可以查看到所有可配置安全策略的交换机，并可以从中选择目标交换机，比如，通过勾选交换机对应的显示项目，选择出至少一个目标交换机。完成选择后，用户终端将用户选中的交换机的设备信息发送给服务器100，服务器100接收用户终端发送的交换机的设备信息，作为待配置策略的目标交换机。

作为可能的实现方式，在获取到待配置的安全策略后，可以通过查询历史配置记录判断待配置的安全策略是否满足第一配置条件，其中，历史配置记录中包括配置过的安全策略，第一配置条件则用于限定待配置的安全策略与配置过的安全策略不冲突且不重复。根据判断结果，若待配置的安全策略不满足所述第一配置条件，则结束流程，即终止配置。若所述待配置的安全策略满足所述第一配置条件，则执行S120。

作为可能的实现方式，若待配置的安全策略不满足所述第一配置条件，生成提示消息，并将提示消息发送给用户终端，以在用户终端显示的前端页面上显示该提示用户，令用户了解到：由于策略冲突或重复，当前配置流程已结束。

作为可能的实现方式，在待配置的安全策略满足上述第一配置条件的情况下，可以通过查询策略库判断各目标交换机是否满足第二配置条件，其中，策略库中包括每个交换机已配置的安全策略，该第二配置条件用于限定待配置的安全策略与目标交换机已配置的安全策略不冲突且不重复。根据判断结果，删除不满足配置条件的目标交换机的设备信息，即不对该目标交换机配置该安全策略，保留满足配置条件的目标交换机的设备信息，从而，根据其余目标交换机的设备信息执行S120及后续步骤。

比如，根据各目标交换机的设备信息查询策略库，查找到各目标交换机已配置的安全策略，通过将待配置的安全策略与各目标交换机已配置的安全策略进行数据比对，可以判断出待配置的安全策略与各目标交换机已配置的安全策略是否重复以及是否冲突，如果待配置的安全策略与某一目标交换机已配置的安全策略不重复且不冲突，则确认该目标交换机满足第二配置条件，如果待配置的安全策略与某一目标交换机已配置的安全策略重复或者冲突，则确认该目标交换机不满足第二配置条件。

可以看出，上述实施例示出了安全策略配置全策略过程中的冲突检测机制，在获取到待配置的安全策略和目标交换机的设备信息后，便执行该冲突检测机制，可以避免在配置过程执行到最后一步时，由于策略冲突而使之前的步骤前功尽弃。

需要说明的是，S110中获取的待配置的安全策略可以是一个或多个，目标交换机也可以是一个或多个，也就是说，基于本申请提供的安全策略配置方法，用户可以通过简单的操作，新建一个或多个安全策略，并将这一个或一个安全策略同时配置到一个或多个交换机上。

S120，根据所述设备信息从预置的命令模板库中获取与各目标交换机对应的命令模板。

S130，利用与各目标交换机对应的命令模板，将所述安全策略转换成各目标交换机对应的命令行代码。

本申请实施例中，命令模板库包括至少一个命令模板，命令模板用于利用正则表达式将安全策略转换成交换机可读的命令行代码，如rule permit tcp ip127.0.0.1destination-port eq www，即为规则允许IP为127.0.0.1、端口为www的tcp报文通过。值得注意的是，由于不同型号的交换机可读的命令代码形式可能不同，因此命令模板库中的包括的命令模板分别与不同型号的交换机对应。在转换时，首选需要根据每个目标交换机的设备型号，从命令模板库中获取适用于每个目标交换机的命令模板，再利用各目标交换机适用的命令模板，将安全策略转换成各目标交换机可读的命令行代码。

另外，用户可以根据网络中交换机的型号的增减情况，维护命令模板库，使命令模板库能够满足网络中所有型号交换机的配置需求。比如，当网络中新增新型交换机时，获取与新型交换机相符合的命令模板，并将新型交换机的设备信息和与所述新型交换机相符合的命令模板对应保存在命令模板库中。其中，新型交换机是指与原有交换机的型号均不同的交换机。

作为可能的实现方式，在得到各目标交换机对应的命令行代码后，使用HTTP协议，将各目标交换机对应的命令行代码后发送至用户终端，以在用户终端显示的第四前端页面中显示各目标交换机对应的命令行代码；在显示第四前端页面时，用户可以输入确认操作，用户终端接收到该确认操作后，向服务器发送执行指令，服务器接收到用户终端发送的执行指令后，执行下述S140。这样，在用户侧可以预览到各目标交换机对应的命令行代码，保证命令行代码的准确性，即保证配置安全策略的准确性。

S140，生成包括至少一个子任务的配置任务，并发执行所有子任务，每个所述子任务用于登陆一个所述目标交换机，在所述目标交换机执行所述目标交换机对应的命令行代码。

本申请实施例中，子任务的数量与目标交换机的数量相当。可选地，每个子任务用于使用SOCKET技术和SSH协议登陆所述目标交换机，在所述目标交换机执行所述目标交换机对应的命令行代码。通过所有子任务的并发处理，将安全策略批量配置到多个目标交换机中，使得配置效率大大提高。

作为可能的实现方式，在执行S140的过程中，实时统计每个子任务的处理进度，并根据每个子任务的实时处理进度得到配置任务的完成进度，即总进度，并将进度数据实时同步到用户终端，用户终端根据接收到的进度数据显示和更新第一前端页面中的进度条，从而使用户可以直观获取到配置任务的完成情况。应当理解，当某个子任务的处理进度达到100％时，该子任务执行完成，当所有子任务的处理进度都达到100％时，配置任务执行完成。

作为可能的实现方式，在本次配置任务执行完成后，根据本次配置任务对应的安全策略和目标交换机，生成配置记录，并将配置记录维护在历史操作记录中供用户查看，同时方便用户追溯配置时间、操作者ID等信息，以及，方便用户核查配置错误的产生来源。

作为可能的实现方式，在执行S140的过程中，监测是否发生执行错误，比如可以根据系统日志中的报错信息监测是否发生执行错误。当发生执行错误时，对于执行完成的子任务，根据所述子任务对应的安全策略和目标交换机生成对应的回滚子任务，通过执行所述回滚子任务将在所述目标交换机配置的所述安全策略删除；比如，第一子任务的任务信息中包括安全策略信息(如命令行代码)和第一目标交换机的信息(如第一目标交换机的设备信息)，根据第一子任务的任务信息生成第一回滚子任务，通过执行该第一回滚子任务，将第一目标交换机中最新配置的安全策略删除。对于未执行完成的子任务，删除子任务。

可以看出，上述实施例示出了安全策略配置过程中的出错回滚机制，通过出错回滚机制，即使在对多台目标交换机进行批量配置时出现配置错误，也可以避免信息混乱，保证各项信息记录及数据库中数据的准确性。

可选地，用户还可以通过用户终端的前台程序登录安全策略配置系统，通过安全策略配置系统提供的交换机控制服务，登录交换机，修改或者查看交换机已配置的安全策略。

可选地，本申请提供的安全策略方法中，在配置任务执行完成后，获取各目标交换机上新配置的安全策略ID，将安全策略ID和安全策略内容一同保存在策略库中相应目标交换机的目录下。

由以上实施例可知，本申请提供一种安全策略配置方法，首先获取至少一个待配置的安全策略和至少一个目标交换机的设备信息；然后根据设备信息从预置的命令模板库中获取与各目标交换机对应的命令模板；再利用与各目标交换机对应的命令模板，将安全策略转换成各目标交换机对应的命令行代码；最后生成包括至少一个子任务的配置任务，并发执行所有子任务，每个所述子任务用于登陆一个所述目标交换机，在所述目标交换机执行所述目标交换机对应的命令行代码。与现有技术相比，本申请提供的安全策略配置方法可以同时对多台交换机进行安全策略配置，过程直观，配置效率大大提高。另外，本申请提供的安全策略配置方法在执行命令行代码时，无需输入密码，从而可以防止密码泄露，极大提高了安全性。

上述实施例中，从服务器100的角度对本申请提供的安全策略配置方法的各个方案进行了介绍。可以理解的是，服务器为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例性的单元及算法步骤，本发明可以以硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法实现所描述的功能，但是这种实现不应认为超出本申请的范围。

例如，上述服务器100可以通过软件模块来实现相应的功能。

在一些实施例中，如图3所示，用于实现上述服务器100所具有的功能的安全策略配置系统包括：获取模块310，用于获取至少一个待配置的安全策略和至少一个目标交换机的设备信息；生成模块320，用于根据所述设备信息从预置的命令模板库中获取与各目标交换机对应的命令模板；利用与各目标交换机对应的命令模板，将所述安全策略转换成各目标交换机对应的命令行代码；配置模块330，用于生成包括至少一个子任务的配置任务，并发执行所有子任务，每个所述子任务用于登陆一个所述目标交换机，在所述目标交换机执行所述目标交换机对应的命令行代码。

在一些实施例中，本申请提供的安全策略配置系统还包括：模板库模块，用于当网络中新增新型交换机时，获取与所述新型交换机相符合的命令模板；将所述新型交换机的设备信息和与所述新型交换机相符合的命令模板对应保存在所述命令模板库中。

在一些实施例中，本申请提供的安全策略配置系统还包括：回滚模块，用于监测是否发生执行错误；当发生执行错误时，对于执行完成的子任务，根据所述子任务对应的安全策略和目标交换机生成对应的回滚子任务，通过执行所述回滚子任务将在所述目标交换机配置的所述安全策略删除；对于未执行完成的子任务，删除所述子任务。

在一些实施例中，本申请提供的安全策略配置系统还包括：进度模块，用于获取所述配置任务的完成进度；将所述完成进度实时发送至用户终端，以在所述用户终端显示用于呈现所述完成进度的第一前端页面。

在一些实施例中，本申请提供的安全策略配置系统还包括：数据库模块，用于定时获取每个交换机已配置的安全策略信息和所述交换机对应的VLAN的VLAN标识；将所述交换机的设备信息与所述交换机已配置的安全策略信息对应保存在策略库中；将所述交换机的设备信息与所述交换机对应VLAN的VLAN标识对应保存在设备库中。

在一些实施例中，本申请提供的安全策略配置系统还包括：冲突检测模块，用于通过查找策略库，判断各目标交换机是否满足配置条件，所述配置条件用于限定所述待配置的安全策略与目标交换机已配置的安全策略不冲突且不重复；删除不满足所述配置条件的目标交换机的设备信息，保留满足所述配置条件的目标交换机的设备信息；若所有目标交换机均不满足所述配置条件，则结束流程。

在一些实施例中，所述获取模块包括第一接收单元，用于接收用户终端发送的至少一个待配置的安全策略，所述至少一个待配置的安全策略是用户在所述用户终端显示的第二前端页面中新建的安全策略；第二接收单元，用于接收用户终端发送的至少一个目标交换机的设备信息，所述至少一个目标交换机的设备信息是用户在所述用户终端显示的第三前端页面中选择的，所述第三前端页面中显示有所述设备库中所有VLAN标识对应的所有交换机的设备信息。

在一些实施例中，本申请提供的安全策略配置系统还包括：预览模块，用于将所述各目标交换机对应的命令行代码发送至用户终端，以在所述用户终端显示的第四前端页面中显示所述各目标交换机对应的命令行代码；接收用户终端发送的执行指令，所述执行指令由用户终端接收到用户在所述第四前端页面中输入确认操作后发送。

具体实现中，本发明还提供一种计算机存储介质，其中，该计算机存储介质可存储有程序，该程序执行时可包括本发明提供的安全策略配置方法方法的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文：read-only memory，简称：ROM)或随机存储记忆体(英文：random access memory，简称：RAM)等。

本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书中各个实施例之间相同相似的部分互相参见即可。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例中的说明即可。

以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (10)

1.一种安全策略配置方法，其特征在于，应用于部署在服务器上的安全策略配置系统，所述方法包括：

获取至少一个待配置的安全策略和至少一个目标交换机的设备信息；

根据所述设备信息从预置的命令模板库中获取与各目标交换机对应的命令模板；

利用与各目标交换机对应的命令模板，将所述安全策略转换成各目标交换机对应的命令行代码；

生成包括至少一个子任务的配置任务，并发执行所有子任务，每个所述子任务用于登陆一个所述目标交换机，在所述目标交换机执行所述目标交换机对应的命令行代码。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当网络中新增新型交换机时，获取与所述新型交换机相符合的命令模板；

将所述新型交换机的设备信息和与所述新型交换机相符合的命令模板对应保存在所述命令模板库中。

3.根据权利要求1所述的方法，其特征在于，在所述并发执行所有子任务的过程中，所述方法还包括：

监测是否发生执行错误；

当发生执行错误时，对于执行完成的子任务，根据所述子任务对应的安全策略和目标交换机生成对应的回滚子任务，通过执行所述回滚子任务将在所述目标交换机配置的所述安全策略删除；对于未执行完成的子任务，删除所述子任务。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

获取所述配置任务的完成进度；

将所述完成进度实时发送至用户终端，以在所述用户终端显示用于呈现所述完成进度的第一前端页面。

5.根据权利要求1-4任一项所述的方法，其特征在于，所述根据所述设备信息从预置的命令模板库中获取与各目标交换机对应的命令模板之前，还包括：

通过查找历史配置记录，判断待配置的安全策略是否满足第一配置条件，所述历史配置记录包括配置过的安全策略，所述第一配置条件用于限定所述待配置的安全策略与所述配置过的安全策略不冲突且不重复；

若所述待配置的安全策略满足所述第一配置条件，则执行根据所述设备信息从预置的命令模板库中获取与各目标交换机对应的命令模板的步骤；

若所述待配置的安全策略不满足所述第一配置条件，则结束流程。

6.根据权利要求5所述的方法，其特征在于，若所述待配置的安全策略满足所述第一配置条件，所述根据所述设备信息从预置的命令模板库中获取与各目标交换机对应的命令模板之前，还包括：

通过查找策略库，判断各目标交换机是否满足第二配置条件，所述策略库包括每个交换机已配置的安全策略，所述第二配置条件用于限定所述待配置的安全策略与所述目标交换机已配置的安全策略不冲突且不重复；

删除不满足所述第二配置条件的目标交换机的配置信息，保留满足所述第二配置条件的目标交换机的设备信息。

7.根据权利要求1所述的方法，其特征在于，所述获取至少一个待配置的安全策略和至少一个目标交换机的设备信息，包括：

接收用户终端发送的至少一个待配置的安全策略，所述至少一个待配置的安全策略是用户在所述用户终端显示的第二前端页面中新建的安全策略；

接收用户终端发送的至少一个目标交换机的设备信息，所述至少一个目标交换机的设备信息是用户在所述用户终端显示的第三前端页面中选择的，所述第三前端页面中显示有设备库中所有VLAN标识对应的所有交换机的设备信息。

8.根据权利要求1所述的方法，其特征在于，所述生成包括至少一个子任务的配置任务之前，所述方法还包括：

将所述各目标交换机对应的命令行代码发送至用户终端，以在所述用户终端显示的第四前端页面中显示所述各目标交换机对应的命令行代码；

接收用户终端发送的执行指令，所述执行指令由用户终端接收到用户在所述第四前端页面中输入确认操作后发送。

9.根据权利要求1所述的方法，其特征在于，所述子任务用于使用SOCKET技术和SSH协议登陆所述目标交换机，在所述目标交换机执行所述目标交换机对应的命令行代码。

10.一种安全策略配置系统，其特征在于，应用于服务器，所述系统包括：

获取模块，用于获取至少一个待配置的安全策略和至少一个目标交换机的设备信息；

生成模块，用于根据所述设备信息从预置的命令模板库中获取与各目标交换机对应的命令模板；利用与各目标交换机对应的命令模板，将所述安全策略转换成各目标交换机对应的命令行代码；

配置模块，用于生成包括至少一个子任务的配置任务，并发执行所有子任务，每个所述子任务用于登陆一个所述目标交换机，在所述目标交换机执行所述目标交换机对应的命令行代码。

Images