技術領域

本發明屬于通信領域，尤其涉及一種策略配置的方法、管理服務器以及網絡系統。

背景技術

在當前互聯網極度發達的時代，隨著各種類型的網絡攻擊、病毒等惡意應用的肆意傳播，為了保護信息的安全性，幾乎所有的大中型公司都會使用防火墻對公司的網絡進行安全防范和加固，但隨著公司自身規模的增長，對于公司內容部防火墻設備的管理和維護問題也日趨明顯。

目前在進行防火墻策略配置的過程中，幾乎所有的管理員都是通過集中管理的方式來進行策略配置，而后批量下發給設備。然而目前能夠進行批量下發的策略只能是多臺網絡設備，例如防火墻，同時具備的公共特性，當需要對網絡設備配置特殊的策略時，就需要管理員對網絡設備中的策略進行逐一修改或配置。目前對網絡設備的策略配置都是通過這種批量下發、手動修改的形式來完成，沒有一種自動完成策略配置的方法。

發明內容

本發明實施例的目的在于提供一種策略配置的方法、管理服務器以及網絡系統，解決了管理員對網絡設備逐一進行策略配置所帶來的管理維護工作量大的問題，提高了管理維護效率，降低了管理維護成本。

第一方面，提供一種策略配置的方法，所述方法包括：

在源設備與目的設備之間的所有鏈路信息中選擇待配置鏈路；

獲取所述待配置鏈路中的網絡設備的設備信息，其中，所述設備信息包括設備標識信息以及配置信息；

根據待配置的策略類型以及所述設備標識信息在預設的策略配置模版中獲取對應的策略配置模版；

根據所述配置信息以及所述策略配置模版生成策略；

將生成的所述策略發送給所述待配置鏈路中的網絡設備，以使所述網絡設備根據所述策略進行策略配置。

結合第一方面，在第一方面的第一種可能的實現方式中，所述在源設備與目的設備之間的所有鏈路信息中選擇待配置鏈路包括：

從數據庫中獲取所述源設備與所述目的設備之間的所有鏈路信息，其中，所述數據庫中存儲有網絡中所有網絡設備的鏈路信息，所述數據庫中的鏈路信息根據拓撲發現的所述網絡中所有的網絡設備的路由信息生成；

從所述源設備與所述目的設備之間的所有鏈路信息中選擇待配置的鏈路。

結合第一方面或者第一方面的第一種可能的實現方式，在第一方面的第二種可能的實現方式中，還包括：

檢測生成的所述策略與所述待配置鏈路中的設備上已有的策略是否存在沖突；

所述將生成的所述策略發送給所述待配置鏈路中的設備包括：

如果生成的所述策略與所述待配置鏈路中的設備上已有的策略沒有沖突，則將生成的所述策略發送給所述待配置鏈路中的設備。

結合第一方面的第二種可能的實現方式，在第一方面的第三種可能的實現方式中，還包括：

如果生成的所述策略與所述待配置鏈路中的設備上已有的策略有沖突，則對生成的所述策略進行審核，并將審核通過后的策略發送給所述待配置鏈路中的設備。

結合第一方面，在第一方面的第四種可能的實現方式中，所述策略配置模版中包含有設備標識信息、策略類型信息以及策略命令。

第二方面，提供一種管理服務器，包括：

選擇單元，用于在源設備與目的設備之間的所有鏈路信息中選擇待配置鏈路；

獲取單元，用于獲取所述待配置鏈路中的網絡設備的設備信息，其中，所述設備信息包括設備標識信息以及配置信息，并根據待配置的策略類型以及所述設備標識信息在預設的策略配置模版中獲取對應的策略配置模版；

策略生成單元，用于根據所述獲取單元獲取的所述配置信息以及所述策略配置模板生成策略；

發送單元，用于將所述策略生成單元生成的所述策略發送給所述待配置鏈路中的網絡設備，以使所述網絡設備根據所述策略進行策略配置。

結合第二方面，在第二方面的第一種可能的實現方式中所述選擇單元，具體用于：

從數據庫中獲取所述源設備與所述目的設備之間的所有鏈路信息，并從所述源設備與所述目的設備之間的所有鏈路信息中選擇待配置的鏈路，其中，所述數據庫中存儲有網絡中所有網絡設備的鏈路信息，所述數據庫中的鏈路信息根據拓撲發現的所述網絡中所有的網絡設備的路由信息生成。

結合第二方面或者第二方面的第一種可能的實現方式，在第二方面的第二種可能的實現方式中，所述設備還包括：

檢測單元，用于檢測所述策略生成單元生成的所述策略與所述待配置鏈路中的設備上已有的策略是否存在沖突；

所述發送單元，具體用于：