[发明专利]分布式系统的设备策略下发方法与设备分级管理系统

说明书

本发明公开分布式网络系统中安全设备策略下发方法与管理系统，管理设备根据需求配置策略集合，然后逐级下发，而下级各个设备都维护自己的直接子设备集合，通过与收到的上级设备下发的策略集合取交集，确定各设备的直接子设备的策略id，将策略id发送至对应的直接子设备，最后由收到策略id的设备向管理设备获取策略具体配置参数来执行，把策略下发工作分配至各级设备分别进行，能有效减少管理设备的计算量，提高策略管理特别是策略下发的效率。

技术领域

随着信息化发展与网络设备数量的快速增长，需要对设备进行有效管理。常见的有多种设备布置方式，例如分布式布置的网络系统中，针对大量的网络设备采用分级管理，实践中需要对各个设备进行管理策略的下发，以及获取各设备日志数据进行分析等，而目前的技术条件下，设备节点数量多、覆盖面广、拓扑结构复杂多变，同时设备厂商众多，接口各异、协议繁杂，难以进行统一控制管理。

特别是，由多个安全设备接入的一个分布式网络系统中，各个设备处于不同层级甚至位于不同地区，当需要获取设备状态时或进行策略配置时，难以实现集中与同步，通常是对各个设备逐个操作，效率低下且混乱。为了更好地服务用户和满足用户需求，对分布式部署的网络安全设备进行集中管理，迫切的需要一种提高多级设备策略管理效率的方法。

发明内容

基于上述背景，本发明旨在提出一种适用于分布式系统的设备策略下发方法以及应用该方法的设备管理系统，以解决现有技术中分布式网络设备策略管理混乱、效率不高的技术问题。具体技术内容如下所述。

一方面，提出一种分布式系统的设备策略分级下发方法，包括：

各设备分别维护自身的直接子设备集合，该集合包括当前设备以及与当前设备直接连接的下级设备；

管理设备创建待下发策略的目标设备的策略集合，该集合包括目标设备与策略id的对应关系；管理设备将策略集合向下逐级发送；

设备接收上级设备下发的策略集合，并对策略集合与其直接子设备集合中的设备进行取交集操作，将取交集后的策略集合继续向下发送，直至最后一级设备或策略集合为空；

各级设备根据取交集产生的策略集合中的策略id从管理设备获取策略内容，并分别发送给对应的直接子设备执行。

作为较佳的，各级设备接入网络时，导入由管理设备下发的设备令牌，该设备令牌包括接入系统内的所有设备具有的共有标记与当前设备具有的独有标记；则上述的对策略集合与直接子设备集合中的设备进行取交集操作，包括对当前设备的直接子设备集合与策略集合中的设备令牌取交集。

进一步的，上述的策略下发之前，在管理设备创建包括策略id与其参数配置的策略库；策略集合包括策略id与设备令牌的对应关系。

以及，对策略集合与直接子设备集合进行取交集操作后，各级设备保存取交集操作产生的交集策略集合；各级设备根据集合中的策略id从管理设备的策略库获取策略参数配置，并发送至令牌对应的直接子设备。

较佳的，各级设备定时的向管理设备上报携带设备令牌的心跳信息，管理设备根据设备是否在线，判断是否向该设备下发策略。

进一步的，当系统的下级设备小于三级时，由管理设备直接向所有下级子设备进行策略下发。

作为较佳的，该方法还包括下级子设备根据策略执行结果，向管理设备上报携带设备令牌的告警日志；

管理设备收到告警日志时，识别设备令牌是否具有共有标记，若识别成功则根据设备令牌的私有标记分别保存日志，否则拒绝接收该日志。

第二方面，提出一种设备分级管理系统，包括管理设备与若干个子设备，

管理设备，创建包括策略id与其参数配置的策略库，创建包括设备令牌与策略id对应关系的策略集合，并将策略集合向下逐级发送至各级子设备；