防火牆和伺服器策略同步方法、系統和設備的製作方法

2023-05-21 03:45:16

專利名稱：：防火牆和伺服器策略同步方法、系統和設備的製作方法
技術領域：
：本發明涉及網絡
技術領域：
，尤其是一種防火牆和伺服器策略同步方法、系統和設備。
背景技術：
：隨著計算機網絡技術的飛速發展和Internet/Intranet技術的不斷完善，信息技術和網絡技術給企業帶來方便、快捷和高效，同時也帶來了各種安全隱患。傳統的網絡安全產品如防火牆、防病毒系統等對於內部用戶攻擊和威脅事件則無能為力。而為了解決這些隱患提出了對用戶終端基於ACL(AccessControlList,訪問控制列表)方法進行訪問控制的4支術。現有技術的ACL方法中，每一條ACL規則由若干條permit/deny(允許/拒絕)語句組成，這些語句共同構成特定的規則，淨皮用來作為對數據包的區分標準。因此可以通過配置不同的ACL來控制不同終端的權限。發明人在實現本發明的過程中，發現現有技術至少存在以下缺點現有技術中雖然可以區分用戶終端的權限，但基本上都是手工配置，不靈活且配置效率低。當內網終端較多時，配置ACL的個數就會非常多，配置較為麻煩。而且如果用戶終端變化，則需要手工改變配置的^L則，導致用戶終端的權限修改更新較慢且效率很低。
發明內容本發明的實施例提供一種策略同步方法、系統和設備，以實現快速完成防火牆和伺服器策略的同步和快速更新用戶終端權限，更靈活的控制終端的網紹^方問^又限。本發明的實施例提供一種策略同步方法，應用於包括防火牆和伺服器的系統，包括防火牆接收伺服器發送的更新策略消息；所述防火牆根據所述更新策略消息對本地的策略進行更新，實現與所述伺服器上策略的同步。本發明的實施例還提供一種策略同步方法，應用於包括防火牆和伺服器的系統，包括所述伺服器接收所述防火牆發送請求同步策略的消息；所述伺服器才艮據所述請求同步策略的消息生成更新策略消息；發送所述更新策略消息至所述防火牆。本發明實施例還提供一種防火牆設備，包括更新策略消息接收單元，用於接收伺服器發送的更新策略消息；策略更新單元，用於根據所述更新策略消息接收單元接收的更新策略消息對本地的策略進行更新，實現與所述伺服器上策略的同步。本發明實施例還提供一種伺服器，包括同步策略接收單元，用於接收所述防火牆發送請求同步策略的消息；更新策略消息生成單元，用於根據所述請求同步策略的消息生成更新策更新策略消息發送單元，用於發送所述更新策略消息至所述防火牆。本發明實施例中，通過防火牆與伺服器間更新策略消息的交互，能夠快速更新終端用戶綁定的角色規則和同步較多策略，並且同步策略不需要在防火牆上手工配置，從而能更快速的更新用戶終端的4又限，更靈活的控制終端的網絡訪問權限。另外，可以防止外部用戶訪問企業內部網絡，並防止內部合法但不安全用戶連接到企業網絡進一步感染公司網絡。為了更清楚地說明本發明實施例或現有技術中的4支術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以才艮據這些附圖獲得其他的附圖。圖1是本發明實施例中一種策略同步的方法流程圖l-A是本發明實施例中一種策略同步的方法又一流程圖2是本發明實施例的策略中的用戶、角色、角色規則關係示意圖;圖3是本發明實施例中防火牆主動向伺服器請求同步策略的流程；圖4是本發明實施例中防火牆和伺服器策略同步系統的示意圖5是本發明實施例中防火牆設備的示意圖6是本發明另一實施例中防火牆設備的示意圖7是本發明實施例中伺服器的示意圖8是本發明另一實施例中伺服器的示意圖。具體實施例方式下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基於本發明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例，都屬於本發明保護的範圍。下面結合附圖和實施例，對本發明的具體實施方式作進一步詳細描述本發明的實施例提供一種策略同步方法，在現有的手工在防火牆上配置ACL方法的基礎上，增加伺服器向防火牆下發ACL的方法，以快速的完成防火牆和伺服器策略的同步。並且通過改變用戶綁定的角色(權限集)的變化和角色規則自身的變化，快速的更新用戶終端的權限。更靈活的控制終端的網絡訪問權限，對不同的用戶以及不同安全狀況的用戶開放不同的權限。當伺服器對終端進行認證和安全檢查之後，把結果通知防火牆，防火牆根據伺服器的信息，決定終端的訪問權限，防止外部用戶訪問企業內部網絡，防止內部合法但不安全用戶連接到企業網絡進一步感染公司網絡，對於連接到網絡沒有進行驗證的用戶也進行隔離，並且能夠防範各種攻擊，以及對用戶訪問資源審計。本發明實施例提供一種策略同步的方法，應用於包括防火牆和伺服器的系統，如圖1所示，包括以下步驟步驟sl01、防火牆接收伺服器發送的更新策略消息。步驟sl02、防火牆根據更新策略消息對本地的策略進行更新，實現與伺服器上策略的同步。本發明實施例還提供一種策略同步的方法，應用於包括防火牆和伺服器的系統，如圖1-A所示，包括以下步驟5101-A、所述伺服器接收所述防火牆發送請求同步策略的消息。5102-A、所述伺服器根據所述請求同步策略的消息生成更新策略消息。5103-A、發送所述更新策略消息至所述防火牆。具體的，本發明實施例中涉及的策略具體包4舌至少一個供用戶終端使用的角色、和與該角色對應的角色規則，不同的角色^見則通過訪問控制列表ACL功能實現。考慮到現有的手工配置技術配置效率低，ACL不能實時更新，改變用戶的權限集也較為麻煩。通過使用本發明的實施例實現了防火牆和伺服器策略的同步，該策略同步方法包括防火牆主動向伺服器請求策略、伺服器主動向防火牆通知策略的變化、以及手工同步策略。通過採用上述三種方法，實現了防火牆和伺服器策略的同步。本發明的實施例中，策略具體包括用戶終端、角色以及角色規則(也可以稱為權限)，其中角色和角色規則的關係示意圖如圖2所示每個角色可以看作是一個權限集，每個權限集又由包括不同ACL的規則組合而成。通過為每個角色綁定包括不同ACL規則的ACL組，使得每個角色具有該ACL組對應的權限。假設某個用戶終端同時擁有A和B角色，那麼該用戶終端就具有A和B角色對應的角色規則，A和B角色規則之外的資源無法訪問。通過為不同的用戶終端綁定不同的角色，使得不同的用戶終端具有不同的角色規則。如果需要修改用戶終端的權限，可以通過在伺服器給用戶綁定新的角色、或者修改用戶終端所綁定的角色規則實現。只需在月良務器進行相應的改動，就可以便捷的改變用戶的權限。本發明的實施例中，防火牆主動向伺服器請求同步策略的流程如圖3所示，具體為以下步驟步驟s301、防火牆啟動後，主動請求和伺服器連4妄，連接成功後防火牆開始同步策略。防火牆與伺服器之間的策略同步操作是通過基於時間戳的機制進行的。時間戳可以為採用特定字節長度的計數器，包括角色時間戳和角色規則時間戳，每個角色都有自己的角色時間戳，每個角色規則也都有自己的角色規則時間戳。伺服器每修改一次角色(包括角色自身屬性的更改，增加角色規則，修改角色規則，刪除角色規則)，角色時間戳變大，同時根據對角色規則的操作對相應的角色規則時間戳進行變化。防火牆啟動和伺服器建立連接或者重新建立連4妄以後，防火牆向伺服器發送請求同步策略的消息，在消息中攜帶本地所有的角色信息，包括角色ID和角色時間戳。步驟s302、伺服器根據防火牆發送的消息，獲取已發生變化的策略。具體的，伺服器採用如下基於時間戳的機制判斷策略發生的變化。考慮到角色ID—般是順序排列的，因此伺服器可以按照角色ID，將本地的角色信息與防火牆發送的角色信息逐一比較，如果某角色ID在伺服器上存在而在防火牆上不存在，則說明該角色是伺服器新增的角色，需要在防火牆上增加。如果某角色ID同在存在於伺服器和防火牆上，則可以按照如下表l所描述的方法比較時間戳，其中以角色ID為角色A為例。表1:伺服器和防火牆上角色ID的比較方法tableseeoriginaldocumentpage11步驟s303、伺服器向防火牆發送更新策略消息。伺服器將按照該比較結果，將更新策略消息發送給防火牆。可以首先發送所有需要修改或刪除的角色的消息，然後發送需姿增加的角色信息。步驟s304、防火牆根據伺服器下發的更新策略消息，對本地策略進行更新，保證和伺服器一致。防火牆收到伺服器下發的更新策略消息後，將需要更新的角色信息按照ID和本地的角色比較若時間戳為0，刪除該角色，並且刪除角色下面所有的角色規則；若時間戳比本地大，則修改角色，並發送請求同步該角色對應的角色規則的消息；若需要新增角色信息，則增加角色並按照角色ID發送請求同步該新增角色對應的角色規則的信息。除上述角色同步的流程外，防火牆同步其他策略如角色規則時，也可以基於上述時間戳的機制來完成，這樣可以最大程度上減少伺服器和防火牆的交互數據量。如果採用將伺服器所有的策略都通知給防火牆，這樣交互的數據量過大。本發明的實施例中，根據比較時間戳來確定需要更新的策略，伺服器僅可以通過比較時間戳來確定發生變化的或新增的策略。所有策略同步完成後進入就緒狀態，此時防火牆可以等待伺服器通知的策略變化信息或用戶上線下線信息。對用戶終端按照同步後的策略進行接入控制。本發明的實施例還提供伺服器主動向防火牆通知策略變化的方法。防火牆進入就緒狀態後，伺服器的策略可能發生變化，這時可以採取伺服器主動通知的方式來實現策略一致。當伺服器修改了角色或者角色規則後，可以主動通知防火牆實時更新策略。例如防火牆收到伺服器主動發送的通知後發現角色或者角色規則的時間戳為O，說明伺服器刪除策略，防火牆也需要刪除；明伺服器修改了該策略，需要進行角色或者角色規則的更新；防火牆發現伺服器新增策略時，則增加該策略。通過上述操作，保證防火牆和伺服器上策H;—致。本發明的實施例還提供在防火牆上手工同步策略的方法，通過手工在防火牆輸入命令來強制同步策略，該請況下的策略同步流程類似防火牆主動請求同步策略時的策略同步流程，在此不進行重複描述。在防火牆和伺服器之間通信過程的控制上，可以使用基於COPS(CommonOpenPolicyServiceProtocol,通用開放策略服務協議)協議的方式實現。此協議使用TCP(TransmissionControlProtocol,傳輸4空制協議)作為傳輸協議，以便在防火牆與伺服器之間進行可靠的信息傳輸。該協議提供了一個雙向動態的策略分發機制，防火牆可以主動向伺服器請求策略，當然伺服器也可以主動通過防火牆策略的變化發起策略同步。具體的，可以首先將一些SOCKET函數註冊到COPS組件中。COPS組件以LIB庫的形式提供，防火牆將通用的內存、Debug輸出、字符串、TCP、定時器等處理函數由適配層註冊到該組件，還包括系統函數，註冊連接管理部分的函數(包括狀態變更，接收到業務包的處理)，初始化連接配置表項(命令行處理)以及調用業務部分的處理函數進行業務數據的發送、接收函數等。防火牆首先通過命令完成連接配置表項，啟動開關以後，註冊的系統函數開始調用註冊的SOCKET接口向伺服器端發起連接請求，伺服器端根據連接配置表項來判斷是否允許連接，如果允許連接則回應連接成功消息，防火牆回復連接確認信息，此時連接成功；否則連接失敗。如果用戶終端想要訪問資源，那麼必須先通過i^〖正。用戶終端必須有該資源的訪問權限才能訪問相應的網絡資源。伺服器認證過程中，如果用戶終端的身份不合法，則用戶終端只能訪問企業預先設置好的認證前域；如果身份合法，但是不滿足企業安全策略，則伺服器會向用戶提示警告，同時協助指導用戶進行安全修復；如果身份合法，同時安全策略符合企業需求，此時伺服器會主動通知防火牆用戶上線；此時用戶終端獲得訪問相應網絡資源的權限。伺服器通知防火牆用戶上線的報文中包括源IP、所屬角色ID、用戶名等信息。防火牆收到用戶的訪問網絡資源的報文後第一查找源IP監控表(包括源IP，和角色ID),如果找到則說明已經通過認證，繼續下一步驟，否則說明沒有認證通過，通知用戶認證失敗，重新進行認證。第二開始遍歷該源IP監控標中所有的角色，先從最大的資源組開始查起，如果允許通過，就將該報文放過，不允許通過則丟棄，否則繼續下一步驟。第三開始查找域間包過濾，允許則放過，不允許通過則丟棄，否則繼續下一步驟。第四開始查找預設包過濾，允許則放過，否則丟棄該報文。(3)防火牆和伺服器之間連接狀態的管理和逃生通道功能；逃生通道主要是為實現當防火牆和伺服器之間的鏈路出現故障，或者伺服器出現故障等情況下，對用戶開放所有權限。因為發生上述故障的時候，會導致所有用戶認證報文無法正常到達防火牆，就無法獲取權限訪問應有的網絡資源，所以增加了狀態的檢測機制。如果使能狀態監測，並且檢測到重要伺服器連接狀態斷開(連接狀態變化由應用層將連接狀態改變的處理函數註冊給組件，組件在建立了COPS連接成功或COPS連接中斷後將連接狀態改變通知給應用層)，就對所有用戶終端開放所有權限，當重要伺服器連接狀態恢復後就恢復原有的權P艮控制。狀態檢測機制防火牆和伺服器有保活機制，防火牆每隔一段時間就會給伺服器發送報文，收到伺服器的回應，則認為連接正常；如果發送三次保活報文都沒有收到回應，則認為連接斷開。防火牆重新開始請求連接伺服器，直到和伺服器連接成功，然後重新開始同步策略。通過使用本發明實施例提供的策略同步方法，動態同步防火牆與伺服器上的策略，能夠快速更新終端用戶綁定的角色規則，並且同步策略不需要在防火牆上手工配置，從而能更快速的更新用戶終端的4又限，更靈活的控制終端的網絡訪問權限。另外，可以防止外部用戶訪問企業內部網絡，並防止內部合法但不安全用戶連接到企業網絡進一步感染公司網絡。本發明的實施例還提供一種策略同步系統，如圖4所示，包括防火牆設備10與伺服器20。其中，防火牆設備10用於接收伺服器20發送的更新策略消息；並根據更新策略消息對本地的策略進行更新，實現與伺服器20上策略的同步。本發明的實施例中，如圖5所示，該防火牆設備10包括更新策略消息接收單元11,用於接收伺服器發送的更新策略消息；策略更新單元12，用於根據更新策略消息接收單元11接收的更新策略消息對本地的策略進行更新，實現與伺服器20上策略的同步。本發明的實施例中如圖6所示，該防火牆設備10還包括請求消息發送單元13,用於向伺服器20發送請求同步策略的消息；以供伺服器20根據請求同步策略的消息生成更新策略消息。控制單元14，用於根據策略更新單元12更新的策略對用戶終端的接入進行控制。逃生功能單元15，用於當防火牆10和伺服器20的之間的鏈路出現故障，或者伺服器20出現故障時，開啟逃生通道功能，對用戶終端開放所有權限，直至與伺服器20連接狀態恢復後則恢復原有的控制。另外，上述策略更新單元12可以進一步包括獲取子單元121，用於獲取更新策略消息中攜帶的策略標識和對應的時間戳；比較子單元122，用於根據獲取子單元121獲取的策略標識，將對應的本地時間戳與更新策略消息中攜帶的時間戳進行比較；更新子單元123，用於根據比較子單元122的時間戳的比較結果，對本地的策略進行更新。該更新子單元123可以進一步包括第一更新子單元1231,用於對於一策略標識，時間戳的比較結果表示伺服器側的策略新於防火牆側的策略時，向伺服器20發送獲取具有策略標識的策略的消息；或第二更新子單元1232，用於對於一策略標識，時間戳的比較結果表示伺服器側的策略已經不存在時，刪除本地存儲的策略標識對應的策略；或第三更新子單元1233，用於對於一策略標識，時間戳的比較結果表示防火牆側不存在策略時，向伺服器20發送獲取具有策略標識的策略的消息。本發明的實施例中，如圖7所示，該伺服器20包括同步策略、接收單元21，用於接收所述防火牆設備10發送的請求同步策略的消息。更新策略消息生成單元22，用於根據所述同步策^收單元21的消息生成更新策略消息。更新策略消息發送單元23，用於發送所述更新策略消息至所述防火牆設備IO。本發明的實施例中，如圖8所示，該伺服器20中更新策略消息發送單元23還可以包括第一發送子單元231，用於接收到防火牆設備10發送的請求同步策略的消息時，向防火牆設備10發送更新策略消息；或第二發送子單元232，用於檢測到本地策略發生變化時，向防火牆設備IO發送更新策略消息。更新策略消息生成單元22還可以包括第一獲取子單元221，用於獲取第一發送子單元231接收的請求同步策略消息中攜帶的待同步策略的標識以及時間戳；第一比較子單元222，用於根椐待同步策略的標識，將防火牆設備10發送的時間戳與本地存儲的對應策略的時間戳進行比較；第一生成子單元223,用於根據第一比較子單元222的比較結果，將待同步策略的標識以及對應的本地存儲的時間戳添加在更新策略消息中。更新策略消息生成單元22還可以包括第二生成子單元224，用於檢測到本地策略發生變化時，將發生變化的策略的標識，以及對應的本地存儲的時間戳添加在更新策略消息中。通過使用本發明實施例提供的策略同步系統和設備，動態同步防火牆與伺服器上的ACL規則，能夠快速更新終端用戶綁定的角色規則和同步較多策略，並且同步策略不需要在防火牆上手工配置，從而能更快速的更新用戶終端的權限，更靈活的控制終端的網絡訪問權限。另外，可以防止外部用戶訪問企業內部網絡，並防止內部合法但不安全用戶連接到企業網絡進一步感染7>司網糹各。通過以上的實施方式的描述，本領域的^L術人員可以清楚地了解到本發明可藉助軟體加必需的通用硬體平臺的方式來實現，當然也可以通過硬體，但很多情況下前者是更佳的實施方式。基於這樣的理解，本發明的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來，該計算機軟體產品存儲在一個存儲介質中，包括若干指令用以使得一臺終端設備(如手機、PDA等)執行本發明各個實施例所述的方法。程，是可以通過電腦程式來指令相關的硬體來完成，所述的程序可存儲於一計算機可讀取存儲介質中，該程序在執行時，可包括如上述各方法的實施例的流程。其中，所述的存儲介質可為磁碟、光碟、只讀存儲記憶體(Read-OnlyMemory,ROM)或隨機存儲記憶體(RandomAccessMemory,RAM)等。以上公開的僅為本發明的幾個具體實施例，但是，本發明並非局限於此，任何本領域的技術人員能思之的變化都應落入本發明的保護範圍。權利要求1、一種策略同步方法，應用於包括防火牆和伺服器的系統，其特徵在於，包括防火牆接收伺服器發送的更新策略消息；所述防火牆根據所述更新策略消息對本地的策略進行更新，實現與所述伺服器上策略的同步。2、如權利要求l所述的方法，其特徵在於，所述防火牆根據所述更新策略消息對本地的策略進行更新包括所述防火牆獲取所述更新策略消息中攜帶的策略標識和對應的時間戳；所述防火牆根據所迷策略標識，將對應的本地時間戳與所迷更新策略消息中攜帶的時間戳進4亍比較；所述防火牆根據所述時間戳的比較結果對本地的策略進行更新。3、如權利要求2所述的方法，其特徵在於，所述防火牆根據所述時間戳的比較結果對本地的策略進行更新包括對於一策略標識，所述時間戳的比較結果表示所述伺服器側的策略新於所述防火牆側的策略時，所述防火牆向所述伺服器發送獲取具有所述策略標識的策略的消息；或對於一策略標識，所述時間戳的比較結果表示所述伺服器側的策略已經不存在時，所述防火牆刪除本地存儲的所述策略標識對應的策略；或對於一策略標識，所述時間戳的比較結果表示所述防火牆側不存在所述策略時，所述防火牆向所述伺服器發送獲取具有所述策略標識的策略的消息。4、如權利要求1至3中任一項所述的方法，其特徵在於，所述策略具體包括至少一個供用戶終端使用的角色、和/或所述角色對應的角色規則，所述角色規則通過訪問控制列表ACL實現，每個角色對應多個角色規則。5、如權利要求1所述的方法，其特徵在於，所述防火牆根據所述更新策略消息對本地的策略進行更新後，還包括所述防火牆根據所述策略對用戶終端的接入進行控制。6、如權利要求1所述的方法，其特徵在於，還包括當所述防火牆和所述伺服器的之間的鏈路出現故障，或者所述伺服器是重要伺服器出現故障或所有連接都出現故障時，開啟逃生通道功能，對用戶終端開放所有權限，直至與所述重要伺服器連接狀態恢復後則恢復原有的控制；若沒有重要伺服器，只要有伺服器連接正常就恢復原有控制。7、一種策略同步方法，應用於包括防火牆和伺服器的系統，其特徵在於，包括所述伺服器接收所述防火牆發送請求同步策略的消息；所述伺服器才艮據所述請求同步策略的消息生成更新策略消息；發送所述更新策略消息至所述防火牆。8、如權利要求7所述的方法，其特徵在於，所述伺服器生成更新策略消息的步驟具體為包括所述伺服器獲取所述請求同步策略消息中攜帶的待同步策略的標識以及時間戳；所述伺服器根據所述待同步策略的標識，將所述防火牆發送的時間戳與本地存儲的對應策略的時間戳進行比較；比較結果為不同時，所述伺服器將所述待同步策略的標識以及對應的本地存儲的時間戳添加在更新策略消息中。9、如權利要求7所述的方法，其特徵在於，所述伺服器接收所述防火牆發送請求同步策略的消息之前，還包括所述伺服器檢測到本地策略發生變化時，根據所述發生變化的策略生成更新策略消息並主動向所述防火牆發送。10、如權利要求9所述的方法，其特徵在於，所述伺服器生成更新策略消息包括所述伺服器將所述發生變化的策略的標識，以及對應的本地存儲的時間戳添加在更新策略消息中。11、如權利要求8或IO所述的方法，其特徵在於，所述伺服器本地存儲的時間戳具體為所述伺服器為本地存儲的每一策略維護一時間戳，每次修改一策略後，將所述策略對應的時間戳進行相應變化。12、一種策略同步系統，包括防火牆與伺服器，其特徵在於，所述防火牆，用於接收所述伺服器發送的更新策略消息；並根據所述更新策略消息對本地的策略進行更新，實現與所述伺服器上策略的同步。13、如權利要求12所述的策略同步系統，其特徵在於，所述防火牆還包括更新策略消息接收單元，用於接收伺服器發送的更新策略消息；策略更新單元，用於根據所述更新策略消息接收單元接收的更新策略消息對本地的策略進行更新，實現與所述伺服器上策略的同步。14、如權利要求12所述的策略同步系統，其特徵在於，所述伺服器還包括更新策略消息生成單元，用於生成向防火牆設備發送的更新策略消息；更新策略消息發送單元，用於向所述防火牆設備發送所述更新策略消息生成單元生成的更新策略消息。15、一種防火牆設備，其特徵在於，包括更新策略消息接收單元，用於接收伺服器發送的更新策略消息；策略更新單元，用於根據所述更新策略消息接收單元接收的更新策略消息對本地的策略進行更新，實現與所述伺服器上策略的同步。16、如權利要求15所述的防火牆設備，其特徵在於，還包括請求消息發送單元，用於向所述伺服器發送請求同步策略的消息；以供所述伺服器根據所述請求同步策略的消息生成更新策略消息。17、如權利要求15所述的防火牆設備，其特徵在於，所述策略更新單元包括獲取子單元，用於獲取所述更新策略消息中攜帶的策略標識和對應的時間戳；比較子單元，用於根據所述獲取子單元獲取的策略標識，將對應的本地時間戳與所述更新策略消息中攜帶的時間戳進行比較；更新子單元，用於根據所述比較子單元的時間戳的比較結果，對本地的策略進行更新。18、如權利要求17所述的防火牆設備，其特徵在於，所述更新子單元包括第一更新子單元，用於對於一策略標識，所述時間戳的比較結果表示所述伺服器側的策略新於所述防火牆側的策略時，所述防火牆向所述伺服器發送獲取具有所述策略標識的策略的消息；或第二更新子單元，用於對於一策略標識，所述時間戳的比較結果表示所述伺服器側的策略已經不存在時，所述防火牆刪除本地存儲的所述策略標識對應的策略；或第三更新子單元，用於對於一策略標識，所述時間戳的比較結果表示所述防火牆側不存在所述策略時，所述防火牆向所述伺服器發送獲取具有所述策略標識的策略的消息。19、如權利要求15所述的防火牆設備，其特徵在於，還包括控制單元，用於根據所述策略更新單元更新的策略對用戶終端的接入進行控制。20、如權利要求15所述的防火牆設備，其特徵在於，還包括逃生功能單元，當所述防火牆和所述伺服器的之間的鏈路出現故障，或者所述伺服器是重要伺服器出現故障或所有連接都出現故障時，開啟逃生通道功能，對用戶終端開放所有權限，直至與所述重要^^務器連接狀態恢復後則恢復原有的控制；若沒有重要伺服器，只要有伺服器連接正常就恢復原有控制。21、一種伺服器，其特徵在於，包括同步策略接收單元，用於接收所述防火牆發送請求同步策略的消息；更新策略消息生成單元，用於根據所述請求同步策略的消息生成更新策略消息；更新策略消息發送單元，用於發送所述更新策略消息至所述防火牆。22、如權利要求21所述的伺服器，其特徵在於，所述更新策略消息發送單元包括第一發送子單元，用於接收到所述防火牆設備發送的請求同步策略的消息時，向所述防火牆設備發送所述更新策略消息；或第二發送子單元，用於檢測到本地策略發生變化時，向所述防火牆設備發送所述更新策略消息。23、如權利要求21或22所述的伺服器，其特徵在於，所述更新策略消息生成單元包括第一獲取子單元，用於獲取所述第一發送子單元接受的請求同步策略消息中攜帶的待同步策略的標識以及時間戳；第一比較子單元，用於根據所述待同步策略的標識，將所述防火牆發送的時間戳與本地存儲的對應策略的時間戳進行比較；第一生成子單元，用於根據所述第一比較子單元的比較結果，將所述待同步策略的標識以及對應的本地存儲的時間戳添加在更新策略消息中。24、如權利要求21或22所述的伺服器，其特徵在於，所述更新策略消息生成單元包括第二生成子單元，用於檢測到本地策略發生變化時，將所述發生變化的策略的標識，以及對應的本地存儲的時間戳添加在更新策略消息中。全文摘要本發明的實施例公開了一種策略同步方法、系統和設備。該方法包括防火牆接收伺服器發送的更新策略消息；所述防火牆根據所述更新策略消息對本地的策略進行更新，實現與所述伺服器上策略的同步。通過使用本發明實施例，動態同步防火牆與伺服器上的ACL規則，能快速的更新用戶終端綁定的角色規則，且不需要在防火牆上手工配置，就能快速的同步較多策略，實現用戶終端權限的切換。文檔編號H04L29/06GK101340444SQ20081014686公開日2009年1月7日申請日期2008年8月26日優先權日2008年8月26日發明者李方展申請人:華為技術有限公司