专利名称::防火墙和服务器策略同步方法、系统和设备的制作方法
技术领域:
:本发明涉及网络
技术领域:
,尤其是一种防火墙和服务器策略同步方法、系统和设备。
背景技术:
:随着计算机网络技术的飞速发展和Internet/Intranet技术的不断完善,信息技术和网络技术给企业带来方便、快捷和高效,同时也带来了各种安全隐患。传统的网络安全产品如防火墙、防病毒系统等对于内部用户攻击和威胁事件则无能为力。而为了解决这些隐患提出了对用户终端基于ACL(AccessControlList,访问控制列表)方法进行访问控制的4支术。现有技术的ACL方法中,每一条ACL规则由若干条permit/deny(允许/拒绝)语句组成,这些语句共同构成特定的规则,净皮用来作为对数据包的区分标准。因此可以通过配置不同的ACL来控制不同终端的权限。发明人在实现本发明的过程中,发现现有技术至少存在以下缺点现有技术中虽然可以区分用户终端的权限,但基本上都是手工配置,不灵活且配置效率低。当内网终端较多时,配置ACL的个数就会非常多,配置较为麻烦。而且如果用户终端变化,则需要手工改变配置的^L则,导致用户终端的权限修改更新较慢且效率很低。
发明内容本发明的实施例提供一种策略同步方法、系统和设备,以实现快速完成防火墙和服务器策略的同步和快速更新用户终端权限,更灵活的控制终端的网绍^方问^又限。本发明的实施例提供一种策略同步方法,应用于包括防火墙和服务器的系统,包括防火墙接收服务器发送的更新策略消息;所述防火墙根据所述更新策略消息对本地的策略进行更新,实现与所述服务器上策略的同步。本发明的实施例还提供一种策略同步方法,应用于包括防火墙和服务器的系统,包括所述服务器接收所述防火墙发送请求同步策略的消息;所述服务器才艮据所述请求同步策略的消息生成更新策略消息;发送所述更新策略消息至所述防火墙。本发明实施例还提供一种防火墙设备,包括更新策略消息接收单元,用于接收服务器发送的更新策略消息;策略更新单元,用于根据所述更新策略消息接收单元接收的更新策略消息对本地的策略进行更新,实现与所述服务器上策略的同步。本发明实施例还提供一种服务器,包括同步策略接收单元,用于接收所述防火墙发送请求同步策略的消息;更新策略消息生成单元,用于根据所述请求同步策略的消息生成更新策更新策略消息发送单元,用于发送所述更新策略消息至所述防火墙。本发明实施例中,通过防火墙与服务器间更新策略消息的交互,能够快速更新终端用户绑定的角色规则和同步较多策略,并且同步策略不需要在防火墙上手工配置,从而能更快速的更新用户终端的4又限,更灵活的控制终端的网络访问权限。另外,可以防止外部用户访问企业内部网络,并防止内部合法但不安全用户连接到企业网络进一步感染公司网络。为了更清楚地说明本发明实施例或现有技术中的4支术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以才艮据这些附图获得其他的附图。图1是本发明实施例中一种策略同步的方法流程图l-A是本发明实施例中一种策略同步的方法又一流程图2是本发明实施例的策略中的用户、角色、角色规则关系示意图;图3是本发明实施例中防火墙主动向服务器请求同步策略的流程;图4是本发明实施例中防火墙和服务器策略同步系统的示意图5是本发明实施例中防火墙设备的示意图6是本发明另一实施例中防火墙设备的示意图7是本发明实施例中服务器的示意图8是本发明另一实施例中服务器的示意图。具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述本发明的实施例提供一种策略同步方法,在现有的手工在防火墙上配置ACL方法的基础上,增加服务器向防火墙下发ACL的方法,以快速的完成防火墙和服务器策略的同步。并且通过改变用户绑定的角色(权限集)的变化和角色规则自身的变化,快速的更新用户终端的权限。更灵活的控制终端的网络访问权限,对不同的用户以及不同安全状况的用户开放不同的权限。当服务器对终端进行认证和安全检查之后,把结果通知防火墙,防火墙根据服务器的信息,决定终端的访问权限,防止外部用户访问企业内部网络,防止内部合法但不安全用户连接到企业网络进一步感染公司网络,对于连接到网络没有进行验证的用户也进行隔离,并且能够防范各种攻击,以及对用户访问资源审计。本发明实施例提供一种策略同步的方法,应用于包括防火墙和服务器的系统,如图1所示,包括以下步骤步骤sl01、防火墙接收服务器发送的更新策略消息。步骤sl02、防火墙根据更新策略消息对本地的策略进行更新,实现与服务器上策略的同步。本发明实施例还提供一种策略同步的方法,应用于包括防火墙和服务器的系统,如图1-A所示,包括以下步骤5101-A、所述服务器接收所述防火墙发送请求同步策略的消息。5102-A、所述服务器根据所述请求同步策略的消息生成更新策略消息。5103-A、发送所述更新策略消息至所述防火墙。具体的,本发明实施例中涉及的策略具体包4舌至少一个供用户终端使用的角色、和与该角色对应的角色规则,不同的角色^见则通过访问控制列表ACL功能实现。考虑到现有的手工配置技术配置效率低,ACL不能实时更新,改变用户的权限集也较为麻烦。通过使用本发明的实施例实现了防火墙和服务器策略的同步,该策略同步方法包括防火墙主动向服务器请求策略、服务器主动向防火墙通知策略的变化、以及手工同步策略。通过采用上述三种方法,实现了防火墙和服务器策略的同步。本发明的实施例中,策略具体包括用户终端、角色以及角色规则(也可以称为权限),其中角色和角色规则的关系示意图如图2所示每个角色可以看作是一个权限集,每个权限集又由包括不同ACL的规则组合而成。通过为每个角色绑定包括不同ACL规则的ACL组,使得每个角色具有该ACL组对应的权限。假设某个用户终端同时拥有A和B角色,那么该用户终端就具有A和B角色对应的角色规则,A和B角色规则之外的资源无法访问。通过为不同的用户终端绑定不同的角色,使得不同的用户终端具有不同的角色规则。如果需要修改用户终端的权限,可以通过在服务器给用户绑定新的角色、或者修改用户终端所绑定的角色规则实现。只需在月良务器进行相应的改动,就可以便捷的改变用户的权限。本发明的实施例中,防火墙主动向服务器请求同步策略的流程如图3所示,具体为以下步骤步骤s301、防火墙启动后,主动请求和服务器连4妄,连接成功后防火墙开始同步策略。防火墙与服务器之间的策略同步操作是通过基于时间戳的机制进行的。时间戳可以为采用特定字节长度的计数器,包括角色时间戳和角色规则时间戳,每个角色都有自己的角色时间戳,每个角色规则也都有自己的角色规则时间戳。服务器每修改一次角色(包括角色自身属性的更改,增加角色规则,修改角色规则,删除角色规则),角色时间戳变大,同时根据对角色规则的操作对相应的角色规则时间戳进行变化。防火墙启动和服务器建立连接或者重新建立连4妄以后,防火墙向服务器发送请求同步策略的消息,在消息中携带本地所有的角色信息,包括角色ID和角色时间戳。步骤s302、服务器根据防火墙发送的消息,获取已发生变化的策略。具体的,服务器采用如下基于时间戳的机制判断策略发生的变化。考虑到角色ID—般是顺序排列的,因此服务器可以按照角色ID,将本地的角色信息与防火墙发送的角色信息逐一比较,如果某角色ID在服务器上存在而在防火墙上不存在,则说明该角色是服务器新增的角色,需要在防火墙上增加。如果某角色ID同在存在于服务器和防火墙上,则可以按照如下表l所描述的方法比较时间戳,其中以角色ID为角色A为例。表1:服务器和防火墙上角色ID的比较方法<table>tableseeoriginaldocumentpage11</column></row><table>步骤s303、服务器向防火墙发送更新策略消息。服务器将按照该比较结果,将更新策略消息发送给防火墙。可以首先发送所有需要修改或删除的角色的消息,然后发送需姿增加的角色信息。步骤s304、防火墙根据服务器下发的更新策略消息,对本地策略进行更新,保证和服务器一致。防火墙收到服务器下发的更新策略消息后,将需要更新的角色信息按照ID和本地的角色比较若时间戳为0,删除该角色,并且删除角色下面所有的角色规则;若时间戳比本地大,则修改角色,并发送请求同步该角色对应的角色规则的消息;若需要新增角色信息,则增加角色并按照角色ID发送请求同步该新增角色对应的角色规则的信息。除上述角色同步的流程外,防火墙同步其他策略如角色规则时,也可以基于上述时间戳的机制来完成,这样可以最大程度上减少服务器和防火墙的交互数据量。如果采用将服务器所有的策略都通知给防火墙,这样交互的数据量过大。本发明的实施例中,根据比较时间戳来确定需要更新的策略,服务器仅可以通过比较时间戳来确定发生变化的或新增的策略。所有策略同步完成后进入就绪状态,此时防火墙可以等待服务器通知的策略变化信息或用户上线下线信息。对用户终端按照同步后的策略进行接入控制。本发明的实施例还提供服务器主动向防火墙通知策略变化的方法。防火墙进入就绪状态后,服务器的策略可能发生变化,这时可以采取服务器主动通知的方式来实现策略一致。当服务器修改了角色或者角色规则后,可以主动通知防火墙实时更新策略。例如防火墙收到服务器主动发送的通知后发现角色或者角色规则的时间戳为O,说明服务器删除策略,防火墙也需要删除;明服务器修改了该策略,需要进行角色或者角色规则的更新;防火墙发现服务器新增策略时,则增加该策略。通过上述操作,保证防火墙和服务器上策H;—致。本发明的实施例还提供在防火墙上手工同步策略的方法,通过手工在防火墙输入命令来强制同步策略,该请况下的策略同步流程类似防火墙主动请求同步策略时的策略同步流程,在此不进行重复描述。在防火墙和服务器之间通信过程的控制上,可以使用基于COPS(CommonOpenPolicyServiceProtocol,通用开放策略服务协议)协议的方式实现。此协议使用TCP(TransmissionControlProtocol,传输4空制协议)作为传输协议,以便在防火墙与服务器之间进行可靠的信息传输。该协议提供了一个双向动态的策略分发机制,防火墙可以主动向服务器请求策略,当然服务器也可以主动通过防火墙策略的变化发起策略同步。具体的,可以首先将一些SOCKET函数注册到COPS组件中。COPS组件以LIB库的形式提供,防火墙将通用的内存、Debug输出、字符串、TCP、定时器等处理函数由适配层注册到该组件,还包括系统函数,注册连接管理部分的函数(包括状态变更,接收到业务包的处理),初始化连接配置表项(命令行处理)以及调用业务部分的处理函数进行业务数据的发送、接收函数等。防火墙首先通过命令完成连接配置表项,启动开关以后,注册的系统函数开始调用注册的SOCKET接口向服务器端发起连接请求,服务器端根据连接配置表项来判断是否允许连接,如果允许连接则回应连接成功消息,防火墙回复连接确认信息,此时连接成功;否则连接失败。如果用户终端想要访问资源,那么必须先通过i^〖正。用户终端必须有该资源的访问权限才能访问相应的网络资源。服务器认证过程中,如果用户终端的身份不合法,则用户终端只能访问企业预先设置好的认证前域;如果身份合法,但是不满足企业安全策略,则服务器会向用户提示警告,同时协助指导用户进行安全修复;如果身份合法,同时安全策略符合企业需求,此时服务器会主动通知防火墙用户上线;此时用户终端获得访问相应网络资源的权限。服务器通知防火墙用户上线的报文中包括源IP、所属角色ID、用户名等信息。防火墙收到用户的访问网络资源的报文后第一查找源IP监控表(包括源IP,和角色ID),如果找到则说明已经通过认证,继续下一步骤,否则说明没有认证通过,通知用户认证失败,重新进行认证。第二开始遍历该源IP监控标中所有的角色,先从最大的资源组开始查起,如果允许通过,就将该报文放过,不允许通过则丢弃,否则继续下一步骤。第三开始查找域间包过滤,允许则放过,不允许通过则丟弃,否则继续下一步骤。第四开始查找缺省包过滤,允许则放过,否则丟弃该报文。(3)防火墙和服务器之间连接状态的管理和逃生通道功能;逃生通道主要是为实现当防火墙和服务器之间的链路出现故障,或者服务器出现故障等情况下,对用户开放所有权限。因为发生上述故障的时候,会导致所有用户认证报文无法正常到达防火墙,就无法获取权限访问应有的网络资源,所以增加了状态的检测机制。如果使能状态监测,并且检测到重要服务器连接状态断开(连接状态变化由应用层将连接状态改变的处理函数注册给组件,组件在建立了COPS连接成功或COPS连接中断后将连接状态改变通知给应用层),就对所有用户终端开放所有权限,当重要服务器连接状态恢复后就恢复原有的权P艮控制。状态检测机制防火墙和服务器有保活机制,防火墙每隔一段时间就会给服务器发送报文,收到服务器的回应,则认为连接正常;如果发送三次保活报文都没有收到回应,则认为连接断开。防火墙重新开始请求连接服务器,直到和服务器连接成功,然后重新开始同步策略。通过使用本发明实施例提供的策略同步方法,动态同步防火墙与服务器上的策略,能够快速更新终端用户绑定的角色规则,并且同步策略不需要在防火墙上手工配置,从而能更快速的更新用户终端的4又限,更灵活的控制终端的网络访问权限。另外,可以防止外部用户访问企业内部网络,并防止内部合法但不安全用户连接到企业网络进一步感染公司网络。本发明的实施例还提供一种策略同步系统,如图4所示,包括防火墙设备10与服务器20。其中,防火墙设备10用于接收服务器20发送的更新策略消息;并根据更新策略消息对本地的策略进行更新,实现与服务器20上策略的同步。本发明的实施例中,如图5所示,该防火墙设备10包括更新策略消息接收单元11,用于接收服务器发送的更新策略消息;策略更新单元12,用于根据更新策略消息接收单元11接收的更新策略消息对本地的策略进行更新,实现与服务器20上策略的同步。本发明的实施例中如图6所示,该防火墙设备10还包括请求消息发送单元13,用于向服务器20发送请求同步策略的消息;以供服务器20根据请求同步策略的消息生成更新策略消息。控制单元14,用于根据策略更新单元12更新的策略对用户终端的接入进行控制。逃生功能单元15,用于当防火墙10和服务器20的之间的链路出现故障,或者服务器20出现故障时,开启逃生通道功能,对用户终端开放所有权限,直至与服务器20连接状态恢复后则恢复原有的控制。另外,上述策略更新单元12可以进一步包括获取子单元121,用于获取更新策略消息中携带的策略标识和对应的时间戳;比较子单元122,用于根据获取子单元121获取的策略标识,将对应的本地时间戳与更新策略消息中携带的时间戳进行比较;更新子单元123,用于根据比较子单元122的时间戳的比较结果,对本地的策略进行更新。该更新子单元123可以进一步包括第一更新子单元1231,用于对于一策略标识,时间戳的比较结果表示服务器侧的策略新于防火墙侧的策略时,向服务器20发送获取具有策略标识的策略的消息;或第二更新子单元1232,用于对于一策略标识,时间戳的比较结果表示服务器侧的策略已经不存在时,删除本地存储的策略标识对应的策略;或第三更新子单元1233,用于对于一策略标识,时间戳的比较结果表示防火墙侧不存在策略时,向服务器20发送获取具有策略标识的策略的消息。本发明的实施例中,如图7所示,该服务器20包括同步策略、接收单元21,用于接收所述防火墙设备10发送的请求同步策略的消息。更新策略消息生成单元22,用于根据所述同步策^收单元21的消息生成更新策略消息。更新策略消息发送单元23,用于发送所述更新策略消息至所述防火墙设备IO。本发明的实施例中,如图8所示,该服务器20中更新策略消息发送单元23还可以包括第一发送子单元231,用于接收到防火墙设备10发送的请求同步策略的消息时,向防火墙设备10发送更新策略消息;或第二发送子单元232,用于检测到本地策略发生变化时,向防火墙设备IO发送更新策略消息。更新策略消息生成单元22还可以包括第一获取子单元221,用于获取第一发送子单元231接收的请求同步策略消息中携带的待同步策略的标识以及时间戳;第一比较子单元222,用于根椐待同步策略的标识,将防火墙设备10发送的时间戳与本地存储的对应策略的时间戳进行比较;第一生成子单元223,用于根据第一比较子单元222的比较结果,将待同步策略的标识以及对应的本地存储的时间戳添加在更新策略消息中。更新策略消息生成单元22还可以包括第二生成子单元224,用于检测到本地策略发生变化时,将发生变化的策略的标识,以及对应的本地存储的时间戳添加在更新策略消息中。通过使用本发明实施例提供的策略同步系统和设备,动态同步防火墙与服务器上的ACL规则,能够快速更新终端用户绑定的角色规则和同步较多策略,并且同步策略不需要在防火墙上手工配置,从而能更快速的更新用户终端的权限,更灵活的控制终端的网络访问权限。另外,可以防止外部用户访问企业内部网络,并防止内部合法但不安全用户连接到企业网络进一步感染7>司网纟各。通过以上的实施方式的描述,本领域的^L术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(如手机、PDA等)执行本发明各个实施例所述的方法。程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(RandomAccessMemory,RAM)等。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。权利要求1、一种策略同步方法,应用于包括防火墙和服务器的系统,其特征在于,包括防火墙接收服务器发送的更新策略消息;所述防火墙根据所述更新策略消息对本地的策略进行更新,实现与所述服务器上策略的同步。2、如权利要求l所述的方法,其特征在于,所述防火墙根据所述更新策略消息对本地的策略进行更新包括所述防火墙获取所述更新策略消息中携带的策略标识和对应的时间戳;所述防火墙根据所迷策略标识,将对应的本地时间戳与所迷更新策略消息中携带的时间戳进4亍比较;所述防火墙根据所述时间戳的比较结果对本地的策略进行更新。3、如权利要求2所述的方法,其特征在于,所述防火墙根据所述时间戳的比较结果对本地的策略进行更新包括对于一策略标识,所述时间戳的比较结果表示所述服务器侧的策略新于所述防火墙侧的策略时,所述防火墙向所述服务器发送获取具有所述策略标识的策略的消息;或对于一策略标识,所述时间戳的比较结果表示所述服务器侧的策略已经不存在时,所述防火墙删除本地存储的所述策略标识对应的策略;或对于一策略标识,所述时间戳的比较结果表示所述防火墙侧不存在所述策略时,所述防火墙向所述服务器发送获取具有所述策略标识的策略的消息。4、如权利要求1至3中任一项所述的方法,其特征在于,所述策略具体包括至少一个供用户终端使用的角色、和/或所述角色对应的角色规则,所述角色规则通过访问控制列表ACL实现,每个角色对应多个角色规则。5、如权利要求1所述的方法,其特征在于,所述防火墙根据所述更新策略消息对本地的策略进行更新后,还包括所述防火墙根据所述策略对用户终端的接入进行控制。6、如权利要求1所述的方法,其特征在于,还包括当所述防火墙和所述服务器的之间的链路出现故障,或者所述服务器是重要服务器出现故障或所有连接都出现故障时,开启逃生通道功能,对用户终端开放所有权限,直至与所述重要服务器连接状态恢复后则恢复原有的控制;若没有重要服务器,只要有服务器连接正常就恢复原有控制。7、一种策略同步方法,应用于包括防火墙和服务器的系统,其特征在于,包括所述服务器接收所述防火墙发送请求同步策略的消息;所述服务器才艮据所述请求同步策略的消息生成更新策略消息;发送所述更新策略消息至所述防火墙。8、如权利要求7所述的方法,其特征在于,所述服务器生成更新策略消息的步骤具体为包括所述服务器获取所述请求同步策略消息中携带的待同步策略的标识以及时间戳;所述服务器根据所述待同步策略的标识,将所述防火墙发送的时间戳与本地存储的对应策略的时间戳进行比较;比较结果为不同时,所述服务器将所述待同步策略的标识以及对应的本地存储的时间戳添加在更新策略消息中。9、如权利要求7所述的方法,其特征在于,所述服务器接收所述防火墙发送请求同步策略的消息之前,还包括所述服务器检测到本地策略发生变化时,根据所述发生变化的策略生成更新策略消息并主动向所述防火墙发送。10、如权利要求9所述的方法,其特征在于,所述服务器生成更新策略消息包括所述服务器将所述发生变化的策略的标识,以及对应的本地存储的时间戳添加在更新策略消息中。11、如权利要求8或IO所述的方法,其特征在于,所述服务器本地存储的时间戳具体为所述服务器为本地存储的每一策略维护一时间戳,每次修改一策略后,将所述策略对应的时间戳进行相应变化。12、一种策略同步系统,包括防火墙与服务器,其特征在于,所述防火墙,用于接收所述服务器发送的更新策略消息;并根据所述更新策略消息对本地的策略进行更新,实现与所述服务器上策略的同步。13、如权利要求12所述的策略同步系统,其特征在于,所述防火墙还包括更新策略消息接收单元,用于接收服务器发送的更新策略消息;策略更新单元,用于根据所述更新策略消息接收单元接收的更新策略消息对本地的策略进行更新,实现与所述服务器上策略的同步。14、如权利要求12所述的策略同步系统,其特征在于,所述服务器还包括更新策略消息生成单元,用于生成向防火墙设备发送的更新策略消息;更新策略消息发送单元,用于向所述防火墙设备发送所述更新策略消息生成单元生成的更新策略消息。15、一种防火墙设备,其特征在于,包括更新策略消息接收单元,用于接收服务器发送的更新策略消息;策略更新单元,用于根据所述更新策略消息接收单元接收的更新策略消息对本地的策略进行更新,实现与所述服务器上策略的同步。16、如权利要求15所述的防火墙设备,其特征在于,还包括请求消息发送单元,用于向所述服务器发送请求同步策略的消息;以供所述服务器根据所述请求同步策略的消息生成更新策略消息。17、如权利要求15所述的防火墙设备,其特征在于,所述策略更新单元包括获取子单元,用于获取所述更新策略消息中携带的策略标识和对应的时间戳;比较子单元,用于根据所述获取子单元获取的策略标识,将对应的本地时间戳与所述更新策略消息中携带的时间戳进行比较;更新子单元,用于根据所述比较子单元的时间戳的比较结果,对本地的策略进行更新。18、如权利要求17所述的防火墙设备,其特征在于,所述更新子单元包括第一更新子单元,用于对于一策略标识,所述时间戳的比较结果表示所述服务器側的策略新于所述防火墙侧的策略时,所述防火墙向所述服务器发送获取具有所述策略标识的策略的消息;或第二更新子单元,用于对于一策略标识,所述时间戳的比较结果表示所述服务器侧的策略已经不存在时,所述防火墙删除本地存储的所述策略标识对应的策略;或第三更新子单元,用于对于一策略标识,所述时间戳的比较结果表示所述防火墙侧不存在所述策略时,所述防火墙向所述服务器发送获取具有所述策略标识的策略的消息。19、如权利要求15所述的防火墙设备,其特征在于,还包括控制单元,用于根据所述策略更新单元更新的策略对用户终端的接入进行控制。20、如权利要求15所述的防火墙设备,其特征在于,还包括逃生功能单元,当所述防火墙和所述服务器的之间的链路出现故障,或者所述服务器是重要服务器出现故障或所有连接都出现故障时,开启逃生通道功能,对用户终端开放所有权限,直至与所述重要^^务器连接状态恢复后则恢复原有的控制;若没有重要服务器,只要有服务器连接正常就恢复原有控制。21、一种服务器,其特征在于,包括同步策略接收单元,用于接收所述防火墙发送请求同步策略的消息;更新策略消息生成单元,用于根据所述请求同步策略的消息生成更新策略消息;更新策略消息发送单元,用于发送所述更新策略消息至所述防火墙。22、如权利要求21所述的服务器,其特征在于,所述更新策略消息发送单元包括第一发送子单元,用于接收到所述防火墙设备发送的请求同步策略的消息时,向所述防火墙设备发送所述更新策略消息;或第二发送子单元,用于检测到本地策略发生变化时,向所述防火墙设备发送所述更新策略消息。23、如权利要求21或22所述的服务器,其特征在于,所述更新策略消息生成单元包括第一获取子单元,用于获取所述第一发送子单元接受的请求同步策略消息中携带的待同步策略的标识以及时间戳;第一比较子单元,用于根据所述待同步策略的标识,将所述防火墙发送的时间戳与本地存储的对应策略的时间戳进行比较;第一生成子单元,用于根据所述第一比较子单元的比较结果,将所述待同步策略的标识以及对应的本地存储的时间戳添加在更新策略消息中。24、如权利要求21或22所述的服务器,其特征在于,所述更新策略消息生成单元包括第二生成子单元,用于检测到本地策略发生变化时,将所述发生变化的策略的标识,以及对应的本地存储的时间戳添加在更新策略消息中。全文摘要本发明的实施例公开了一种策略同步方法、系统和设备。该方法包括防火墙接收服务器发送的更新策略消息;所述防火墙根据所述更新策略消息对本地的策略进行更新,实现与所述服务器上策略的同步。通过使用本发明实施例,动态同步防火墙与服务器上的ACL规则,能快速的更新用户终端绑定的角色规则,且不需要在防火墙上手工配置,就能快速的同步较多策略,实现用户终端权限的切换。文档编号H04L29/06GK101340444SQ20081014686公开日2009年1月7日申请日期2008年8月26日优先权日2008年8月26日发明者李方展申请人:华为技术有限公司