防火墙策略处理方法、装置、电子设备及存储介质

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种防火墙策略处理方法、装置、电子设备及存储介质。

背景技术

防火墙，是一种位于内网与外网之间的访问控制设备/软件，主要是被用来隔离不同的安全域、监控网络的通信数据，在内网和外网之间、专用网与公共网之间的边界上构造的保护屏障。而被防火墙分割的各个网络之间，必须按照防火墙规定的“安全策略”进行互相的访问。因此，必须通过对防火墙的安全策略的配置，实现防火墙对网络的保护。

目前，防火墙安全策略都是手动配置的。具体的，通过对网络环境中的数据进行提取分析，运维人员(或安全管理人员)根据分析结果手动进行防火墙安全策略的配置。

但是，在工业安全领域的主机异构网关设备中，基于白名单的防火墙需要分别配置工业信息网和控制网的安全策略，而对于不同的通讯协议其配置方式各有不同，使得对现场工作人员的工作量和专业性要求较高，进而导致防火墙策略配置及管理时效率低下、且容易出错。

发明内容

本申请的目的在于，针对上述现有技术中的不足，提供一种防火墙策略处理方法、装置、电子设备及存储介质，以便解决现有技术中采用人工手动配置防火墙安全策略，存在配置效率低下、且容易出错等问题。

为实现上述目的，本申请实施例采用的技术方案如下：

第一方面，本申请实施例提供了一种防火墙策略处理方法，应用于主机异构网关设备中的操作系统主机，所述主机异构网关设备包括所述操作系统主机以及主板主机，所述操作系统主机上包括控制侧网口，所述主板主机上包括信息侧网口，所述方法包括：

接收用户输入的所述主板主机的防火墙策略编辑指示，所述主板主机的防火墙策略编辑指示中包括待编辑的目标服务策略的标识以及所述目标服务策略对应的编辑后的端口信息；

获取所述信息侧网口上当前已配置的服务策略中所述目标服务策略对应的编辑前的端口信息，并判断所述编辑前的端口信息是否与所述编辑后的端口信息一致；

若否，则将所述主板主机的防火墙中引用所述目标服务策略的各目标安全策略删除；

根据所述编辑后的端口信息，更新所述目标服务策略，得到更新后的目标服务策略；

根据所述更新后的目标服务策略以及所述目标服务策略与所述目标安全策略的引用关系，更新所述主板主机上的安全策略。

可选地，所述判断所述编辑前的端口信息是否与所述编辑后的端口信息一致，包括：

分别将编辑后的源端口的端口参数、编辑后的目的端口的端口参数与编辑前的源端口的端口参数及编辑前的目的端口的端口参数进行对比；

若所述编辑后的源端口的端口参数与所述编辑前的源端口的端口参数，或所述编辑后的目的端口的端口参数与所述编辑前的目的端口的端口参数不相同，则确定所述编辑前的端口信息与所述编辑后的端口信息不一致。

可选地，所述将所述主板主机的防火墙中引用所述目标服务策略的各目标安全策略删除，包括：

将各所述目标安全策略中各配置项的参数信息缓存至预设存储空间；

遍历所述主板主机的防火墙中的各安全策略，若当前遍历到的安全策略所引用的服务策略为所述目标服务策略，则确定当前遍历到的安全策略为一个目标安全策略，并从所述主板主机的防火墙中删除所述当前遍历到的安全策略。

可选地，所述根据所述更新后的目标服务策略以及所述目标服务策略与所述目标安全策略的引用关系，更新所述主板主机上的安全策略，包括：

在所述目标服务策略更新完成后，从所述预设存储空间中读取引用所述目标服务策略的各所述目标安全策略；

在所述主板主机的防火墙中新建各所述目标安全策略。

可选地，所述方法还包括：

接收用户输入的操作系统主机的防火墙策略编辑指示，所述操作系统主机的防火墙策略编辑指示中包括待编辑的操作系统主机安全策略的标识所述操作系统主机安全策略对应的编辑后的参数信息；

获取并删除所述控制侧网口上当前配置的各安全策略；

根据操作系统主机安全策略的标识以及所述操作系统主机安全策略对应的编辑后的参数信息，重新生成所述控制侧网口上的各安全策略，并在所述操作系统主机的防火墙中新建所述控制侧网口上的各安全策略。

可选地，所述方法还包括：

接收用户输入的所述主板主机的防火墙策略新增指示，所述主板主机的防火墙策略新增指示中包括待新增的服务策略的标识、所述待新增的服务策略中待编辑配置项的参数信息、待新增的安全策略的标识与所述待新增的安全策略中待编辑配置项的参数信息；

根据所述待新增的服务策略的标识、所述待新增的服务策略中待编辑配置项的参数信息，生成所述信息侧网口上所述待新增的服务策略，并在所述主板主机的防火墙中新建所述信息侧网口上所述待新增的服务策略；

根据所述待新增的安全策略的标识、所述待新增的安全策略中待编辑配置项的参数信息，生成所述信息侧网口上所述待新增的安全策略，并在所述主板主机的防火墙中新建所述信息侧网口上所述待新增的安全策略。

可选地，所述方法还包括：

接收用户输入的所述主板主机的防火墙策略删除指示，所述主板主机的防火墙策略删除指示中包括待删除服务策略的标识；

根据所述待删除服务策略的标识，在所述信息侧网口上当前已配置的安全策略中查找引用所述待删除服务策略的各目标安全策略；

将所述主板主机的防火墙中引用所述待删除服务策略的各目标安全策略删除，并所述主板主机的防火墙中的所述待删除服务策略删除。

第二方面，本申请实施例还提供了一种防火墙策略处理装置，应用于主机异构网关设备中的操作系统主机，所述主机异构网关设备包括所述操作系统主机以及主板主机，所述操作系统主机上包括控制侧网口，所述主板主机上包括信息侧网口，所述装置包括：

接收模块，用于接收用户输入的所述主板主机的防火墙策略编辑指示，所述主板主机的防火墙策略编辑指示中包括待编辑的目标服务策略的标识以及所述目标服务策略对应的编辑后的端口信息；

获取模块，用于获取所述信息侧网口上当前已配置的服务策略中所述目标服务策略对应的编辑前的端口信息；

判断模块，用于判断所述编辑前的端口信息是否与所述编辑后的端口信息一致；

删除模块，用于若否，则将所述主板主机的防火墙中引用所述目标服务策略的各目标安全策略删除；

更新模块，用于根据所述编辑后的端口信息，更新所述目标服务策略，得到更新后的目标服务策略；根据所述更新后的目标服务策略以及所述目标服务策略与所述目标安全策略的引用关系，更新所述主板主机上的安全策略。

可选地，所述判断模块，还用于：

分别将编辑后的源端口的端口参数、编辑后的目的端口的端口参数与编辑前的源端口的端口参数及编辑前的目的端口的端口参数进行对比；

若所述编辑后的源端口的端口参数与所述编辑前的源端口的端口参数，或所述编辑后的目的端口的端口参数与所述编辑前的目的端口的端口参数不相同，则确定所述编辑前的端口信息与所述编辑后的端口信息不一致。

可选地，所述删除模块，还用于：

将各所述目标安全策略中各配置项的参数信息缓存至预设存储空间；

遍历所述主板主机的防火墙中的各安全策略，若当前遍历到的安全策略所引用的服务策略为所述目标服务策略，则确定当前遍历到的安全策略为一个目标安全策略，并从所述主板主机的防火墙中删除所述当前遍历到的安全策略。

可选地，所述更新模块，还用于：

在所述目标服务策略更新完成后，从所述预设存储空间中读取引用所述目标服务策略的各所述目标安全策略；

在所述主板主机的防火墙中新建各所述目标安全策略。

可选地，所述接收模块，还用于接收用户输入的操作系统主机的防火墙策略编辑指示，所述操作系统主机的防火墙策略编辑指示中包括待编辑的操作系统主机安全策略的标识所述操作系统主机安全策略对应的编辑后的参数信息；

所述装置还包括：

处理模块，用于获取并删除所述控制侧网口上当前配置的各安全策略；

新建模块，用于根据操作系统主机安全策略的标识以及所述操作系统主机安全策略对应的编辑后的参数信息，重新生成所述控制侧网口上的各安全策略，并在所述操作系统主机的防火墙中新建所述控制侧网口上的各安全策略。

可选地，所述接收模块，还用于接收用户输入的所述主板主机的防火墙策略新增指示，所述主板主机的防火墙策略新增指示中包括待新增的服务策略的标识、所述待新增的服务策略中待编辑配置项的参数信息、待新增的安全策略的标识与所述待新增的安全策略中待编辑配置项的参数信息；

所述新建模块，用于根据所述待新增的服务策略的标识、所述待新增的服务策略中待编辑配置项的参数信息，生成所述信息侧网口上所述待新增的服务策略，并在所述主板主机的防火墙中新建所述信息侧网口上所述待新增的服务策略；根据所述待新增的安全策略的标识、所述待新增的安全策略中待编辑配置项的参数信息，生成所述信息侧网口上所述待新增的安全策略，并在所述主板主机的防火墙中新建所述信息侧网口上所述待新增的安全策略。

可选地，所述接收模块，还用于接收用户输入的所述主板主机的防火墙策略删除指示，所述主板主机的防火墙策略删除指示中包括待删除服务策略的标识；

所述装置还包括：

查找模块，用于根据所述待删除服务策略的标识，在所述信息侧网口上当前已配置的安全策略中查找引用所述待删除服务策略的各目标安全策略；

所述删除模块，还用于将所述主板主机的防火墙中引用所述待删除服务策略的各目标安全策略删除，并所述主板主机的防火墙中的所述待删除服务策略删除。

第三方面，本申请实施例还提供了一种电子设备，该处理设备包括：处理器、存储介质和总线，存储介质存储有处理器可执行的机器可读指令，当电子设备运行时，处理器与存储介质之间通过总线通信，处理器执行机器可读指令，以执行如第一方面提供的方法的步骤。

第四方面，本申请实施例还提供了一种计算机可读存储介质，该存储介质上存储有计算机程序，计算机程序被处理器运行时执行如第一方面提供的方法的步骤。

本申请的有益效果是：

本申请实施例提供一种防火墙策略处理方法、装置、电子设备及存储介质，在本方案中，用户只需要在操作系统主机上客户端输入主板主机的防火墙策略编辑指示，就可以全程由操作系统主机根据防火墙策略编辑指示中待编辑的目标服务策略的标识以及目标服务策略对应的编辑后的端口信息，来判断信息侧网口上目标服务策略对应的编辑后的端口信息是否发生变化，若是，则根据编辑后的端口信息对主板主机的防火墙中目标服务策略、及引用目标服务策略的安全策略进行自动化配置，大大简化了用户在使用双主机异构网关防火墙安全策略的配置问题，提高了双主机异构网关防火墙安全策略配置的效率，有效解决了现有技术中采用人工手动配置防火墙安全策略，存在配置效率低下、且容易出错等问题。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的一种主机异构网关设备的结构示意图；

图2为本申请实施例提供的一种电子设备的结构示意图；

图3为本申请实施例提供的一种防火墙策略处理方法的流程示意图；

图4为本申请实施例提供的又一种防火墙策略处理方法的流程示意图；

图5为本申请实施例提供的主板主机的防火墙中服务策略及安全策略的配置项的示意图；

图6为本申请实施例提供的另一种防火墙策略处理方法的流程示意图；

图7为本申请实施例提供的又一种防火墙策略处理方法的流程示意图；

图8为本申请实施例提供的另一种防火墙策略处理方法的流程示意图；

图9为本申请实施例提供的操作系统主机的防火墙中安全策略的配置项的示意图；

图10为本申请实施例提供的又一种防火墙策略处理方法的流程示意图；

图11为本申请实施例提供的另一种防火墙策略处理方法的流程示意图；

图12为本申请实施例提供的又一种防火墙策略处理方法的流程示意图；

图13为本申请实施例提供的又一种防火墙策略处理方法的流程示意图；

图14为本申请实施例提供的一种防火墙策略处理装置的结构示意图。

图标：100-主机异构网关设备；101-操作系统主机；102-主板主机。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，应当理解，本申请中附图仅起到说明和描述的目的，并不用于限定本申请的保护范围。另外，应当理解，示意性的附图并未按实物比例绘制。本申请中使用的流程图示出了根据本申请的一些实施例实现的操作。应该理解，流程图的操作可以不按顺序实现，没有逻辑的上下文关系的步骤可以反转顺序或者同时实施。此外，本领域技术人员在本申请内容的指引下，可以向流程图添加一个或多个其他操作，也可以从流程图中移除一个或多个操作。

另外，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

需要说明的是，本申请实施例中将会用到术语“包括”，用于指出其后所声明的特征的存在，但并不排除增加其它的特征。

首先，在对本申请所提供的技术方案展开具体说明之前，先对本申请所涉及的主机异构网关设备的结构进行简单说明。

图1为本申请实施例提供的一种主机异构网关设备的结构示意图；如图1所示，该主机异构网关设备100包括：操作系统主机101、主板主机102，其中，操作系统主机101上包括控制侧网口，主板主机102上包括信息侧网口。

示例性地，例如，操作系统主机101可以是windows主机，主板主机是ARM板主机，可以通过windows主机上的控制侧网口连接控制侧网络(即内网)，以及通过ARM板主机上的信息侧网口连接信息侧网络(即外网)。

windows主机与ARM板主机通过专用数据线连接，从物理层断开信息侧网络和控制侧网络之间的直接连接，实现网络的物理隔离。当windows主机与ARM板主机之间需要互相访问时，windows主机与ARM板主机需要按照预先配置的防火墙安全策略进行互相的访问，从而保证网络通信安全。

此外，信息侧的ARM主板主机采用非通用协议栈、微内核架构，无可利用漏洞。

可选地，图1所示的主机异构网关设备100可应用于流程工业分散控制系统(Distributed Control System，简称DCS)控制系统的网络安全防护、电力系统现场智能电子设备IED(Intelligent Electronic Device，简称IED)的网络安全防护、轨道交通综合监控系统(Integrated Supervisory Control System，简称ISCS)的网络安全防护以及煤矿、冶金行业现场控制系统的网络安全防护等。

同时，控制侧网络和信息侧网络之间互相通信时均支持基于白名单的网络访问控制，可阻断异常流量、抵御分布式拒绝服务攻击DDOS(Distributed denial of serviceattack，简称DDOS)。

可以理解，图1所示的结构仅为示意，主机异构网关设备100还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。

如下对用于执行本申请提供的防火墙策略处理方法的操作系统主机的结构示意图进行简单说明。

图2为本申请实施例提供的一种操作系统主机的结构示意图；该操作系统主机用于实现本申请提供的防火墙策略处理方法。

如图2所示，操作系统主机包括：存储器201与处理器202。其中，存储器201、处理器202相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。

存储器201中存储有以软件或固件(firmware)的形式存储于存储器201中的软件功能模块，处理器202通过运行存储在存储器201内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现本申请实施例中的防火墙策略处理方法。

其中，存储器201可以是，但不限于，随机存取存储器(Random Access Memory，RAM)、只读存储器(Read Only Memory，ROM)、可编程只读存储器(Programmable Read-OnlyMemory，PROM)、可擦除只读存储器(Erasable Programmable Read-Only Memory，EPROM)等。其中，存储器201用于存储程序，处理器202在接收到执行指令后，执行所述程序。

处理器202可能是一种集成电路芯片，具有信号的处理能力。上述的处理器202可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(NetworkProcessor，NP)等。

如下将通过多个具体的实施例对本申请所提供的防火墙策略处理方法步骤的实现原理和对应产生的有益效果进行说明。

图3为本申请实施例提供的一种防火墙策略处理方法的流程示意图；可选地，该方法的执行主体可以是所示图1的主机异构网关设备中的操作系统主机。

应当理解，在其它实施例中防火墙策略处理方法其中部分步骤的顺序可以根据实际需要相互交换，或者其中的部分步骤也可以省略或删除。如图3所示，该方法包括：

S301、接收用户输入的主板主机的防火墙策略编辑指示。

其中，主板主机的防火墙策略编辑指示中包括待编辑的目标服务策略的标识以及目标服务策略对应的编辑后的端口信息。其中，目标服务策略对应的编辑后的端口信息为待编辑的配置项。比如，目标服务策略对应的编辑前的端口信息为port1，编辑后的端口信息为port2，即需要对目标服务策略对应的端口信息进行重新编辑，以允许通过主机异构网关设备中主板主机通过端口port2向操作系统主机发出访问请求。

在本实施例中，用户可以通过操作系统主机上安装的客户端输入对主板主机的防火墙策略编辑指示。例如，若用户期望对主板主机的防火墙中某一个服务策略重新进行编辑，可以通过客户端输入该服务策略的标识以及该服务策略对应的编辑后的端口信息。比如，该服务策略的标识为服务策略1，该服务策略对应的编辑后的端口信息为port2。

S302、获取信息侧网口上当前已配置的服务策略中目标服务策略对应的编辑前的端口信息，并判断编辑前的端口信息是否与编辑后的端口信息一致。

应理解，在信息侧网口上已配置的服务策略的数量可能为一个或多个，且每个服务策略均为不同的策略。

在本实施例中，可以利用目标服务策略的标识，在已配置的多个服务策略中查找到目标服务策略，然后，再读取目标服务策略中编辑前的端口信息，并判断编辑前的端口信息是否与编辑后的端口信息一致，以此来判断重新输入的编辑后的端口信息是否发生变化，若无，则不需要对目标服务策略中的端口信息进行变更。

S303、若否，则将主板主机的防火墙中引用目标服务策略的各目标安全策略删除。

在上述实施例的基础上，若编辑前的端口信息与编辑后的端口信息不一致，则需要先将主板主机的防火墙中引用目标服务策略的各目标安全策略删除，避免已引用目标服务策略的各目标安全策略出现引用为空的情况。

S304、根据编辑后的端口信息，更新目标服务策略，得到更新后的目标服务策略。

在本实施例中，利用编辑后的端口信息、以及目标服务策略中其他配置项(如协议类型)重新配置目标服务策略，得到更新后的目标服务策略。

S305、根据更新后的目标服务策略以及目标服务策略与目标安全策略的引用关系，更新主板主机上的安全策略。

应理解，主板主机上已配置的安全策略必须要引用一个已配置的目标服务策略。

在本实施例中，在目标服务策略更新后，还需要根据目标服务策略与目标安全策略的引用关系，将目标安全策略之前所引用的服务策略重新修改为更新后的目标服务策略，以对主板主机上的安全策略进行更新。这样，使得用户只需要在操作系统主机上客户端输入主板主机的防火墙策略编辑指示，就可以全程由操作系统主机根据防火墙策略编辑指示中待编辑的目标服务策略的标识以及目标服务策略对应的编辑后的端口信息，来判断信息侧网口上目标服务策略对应的编辑后的端口信息是否发生变化，若是，则根据编辑后的端口信息对主板主机的防火墙中目标服务策略、及引用目标服务策略的安全策略进行自动化配置，大大简化了用户在使用双主机异构网关防火墙安全策略的配置问题，提高了双主机异构网关防火墙安全策略配置的效率，有效解决了现有技术中采用人工手动配置防火墙安全策略，存在配置效率低下、且容易出错等问题。

综上所述，本申请实施例提供一种防火墙策略处理方法，在本方案中，用户只需要在操作系统主机上客户端输入主板主机的防火墙策略编辑指示，就可以全程由操作系统主机根据防火墙策略编辑指示中待编辑的目标服务策略的标识以及目标服务策略对应的编辑后的端口信息，来判断信息侧网口上目标服务策略对应的编辑后的端口信息是否发生变化，若是，则根据编辑后的端口信息对主板主机的防火墙中目标服务策略、及引用目标服务策略的安全策略进行自动化配置，大大简化了用户在使用双主机异构网关防火墙安全策略的配置问题，提高了双主机异构网关防火墙安全策略配置的效率，有效解决了现有技术中采用人工手动配置防火墙安全策略，存在配置效率低下、且容易出错等问题。

将通过如下实施例，具体讲解上述步骤S302中如何判断编辑前的端口信息是否与编辑后的端口信息一致。

可选地，参考图4所示，上述步骤S302中判断编辑前的端口信息是否与编辑后的端口信息一致，包括：

S401、分别将编辑后的源端口的端口参数、编辑后的目的端口的端口参数与编辑前的源端口的端口参数及编辑前的目的端口的端口参数进行对比。

参考图5所示，为主板主机的防火墙中服务策略、及安全策略的配置项。其中，服务策略的配置项包括：服务名称(即服务策略的标识)、协议类型、源端口及目的端口；协议类型可以为文件传输协议(File Transfer Protocol，简称FTP)、传输控制协议(Transmission control protocol，简称TCP)、用户数据报协议(User DatagramProtocol，简称UDP)。

安全策略的配置项包括：本地地址、本地掩码、远程地址、远程掩码及所引用的服务策略的标识。例如，安全策略A1所引用的服务策略的标识为服务策略B。

其中，源端口的端口参数(或目的端口的端口参数)可以指端口号，例如，源端口的端口参数为port1，用于标识主板主机上端口1。

在本实施例中，需要将编辑后的源端口的端口参数与编辑前的源端口的端口参数进行对比，以及将编辑后的目的端口的端口参数与编辑前的目的端口的端口参数进行对比，以判断编辑后的源端口的端口参数、及编辑后的目的端口的端口参数是否均发生变化；若编辑后的源端口的端口参数、及编辑后的目的端口的端口参数均未发生变化，则不需要对目标服务策略进行重新编辑。

S402、若编辑后的源端口的端口参数与编辑前的源端口的端口参数，或编辑后的目的端口的端口参数与编辑前的目的端口的端口参数不相同，则确定编辑前的端口信息与编辑后的端口信息不一致。

可选地，若编辑后的源端口的端口参数与编辑前的源端口的端口参数不相同，或编辑后的目的端口的端口参数与编辑前的目的端口的端口参数不相同，则可以确定编辑前的端口信息与编辑后的端口信息不一致，即编辑后的端口信息发生变化，进而需要对目标服务策略进行重新编辑。

将通过如下实施例，具体讲解上述步骤S303中如何将主板主机的防火墙中引用目标服务策略的各目标安全策略删除。

可选地，参考图6所示，上述步骤S303包括：

S601、将各目标安全策略中各配置项的参数信息缓存至预设存储空间。

其中，预设存储空间为操作系统主机上的一个存储区域。

参考上述图5所示，在获取到各目标安全策略之后，还需要将各目标安全策略中各配置项(如本地地址、本地掩码、远程地址、远程掩码及所引用的服务策略的标识)缓存至预设存储空间。

S602、遍历主板主机的防火墙中的各安全策略，若当前遍历到的安全策略所引用的服务策略为目标服务策略，则确定当前遍历到的安全策略为一个目标安全策略，并从主板主机的防火墙中删除当前遍历到的安全策略。

在本实施例中，需要对主板主机的防火墙中的各安全策略一一进行遍历，以确定都有哪些安全策略引用了目标服务策略。具体的，例如，目标服务策略的标识为服务策略B，若当前遍历到的安全策略为安全策略A3，并读取到安全策略A3的配置项中所引用的服务策略的标识为服务策略B，则可以确定当前遍历到的安全策略A3为一个目标安全策略，并将安全策略A3从主板主机的防火墙中删除，以避免出现安全策略A3所引用的服务策略B的端口信息为编辑前的情况。

将通过如下实施例，具体讲解上述步骤S305中如何根据更新后的目标服务策略以及目标服务策略与目标安全策略的引用关系，更新主板主机上的安全策略。

可选地，参考图7所示，上述步骤S305包括：

S701、在目标服务策略更新完成后，从预设存储空间中读取引用目标服务策略的各目标安全策略。

S702、在主板主机的防火墙中新建各目标安全策略。

在本实施例中，在对目标服务策略更新完成后，从操作系统主机上的预设存储空间中读取引用目标服务策略的各目标安全策略，以得到各目标安全策略的配置项，如本地地址、本地掩码、远程地址、远程掩码及所引用的服务策略的标识；然后，再利用本地地址、本地掩码、远程地址、远程掩码及所引用的服务策略的标识以及更新后的目标服务策略，重新构建主板主机的防火墙中的各目标安全策略，实现了对各目标安全策略的重新编辑，确保了各目标安全策略所引用的服务策略中的端口信息为编辑后的。

将通过如下实施例，具体讲解如何对控制侧网口上的安全策略进行编辑处理。

可选地，参考图8所示，该方法包括：

S801、接收用户输入的操作系统主机的防火墙策略编辑指示。

其中，操作系统主机的防火墙策略编辑指示中包括待编辑的操作系统主机安全策略的标识、及操作系统主机安全策略对应的编辑后的参数信息。其中，编辑后的参数信息为操作系统主机安全策略中待重新修改的配置项的参数信息。

参考图9所示，为操作系统主机的防火墙中安全策略的配置项。其中，操作系统主机安全策略的配置项包括：程序、本地地址、本地掩码等。

在本实施例中，用户可以通过操作系统主机上安装的客户端输入对操作系统主机的防火墙策略编辑指示。例如，若用户期望对操作系统主机的防火墙中某一个安全策略重新进行编辑，可以通过客户端输入操作系统主机安全策略的标识、以及操作系统主机安全策略对应的编辑后的参数信息。比如，该操作系统主机安全策略的标识为安全策略C，该安全策略C对应的编辑后的参数信息为：本地地址IP2，安全策略C中除本地地址之外的其他配置项不改变。

S802、获取并删除控制侧网口上当前配置的各安全策略。

应理解，在控制侧网口上当前配置的各安全策略的数量可能为一个或多个，且每个操作系统主机安全策略均为不同的策略。

在本实施例中，可以利用操作系统主机安全策略的标识，在已配置的多个安全策略中查找到目标安全策略，并将各安全策略从操作系统主机的防火墙中删除。

S803、根据操作系统主机安全策略的标识以及操作系统主机安全策略对应的编辑后的参数信息，重新生成控制侧网口上的各安全策略，并在操作系统主机的防火墙中新建控制侧网口上的各安全策略。

在上述实施例的基础上，可以根据操作系统主机安全策略的标识、操作系统主机安全策略中待重新修改的配置项的参数信息、以及操作系统主机安全策略中其他配置项的参数信息(其他配置项的参数信息在编辑前和编辑后均一致)，重新生成控制侧网口上的各安全策略，并在操作系统主机的防火墙中新建控制侧网口上的各安全策略，实现了对操作系统主机的防火墙中各目标安全策略的重新编辑。

将通过如下实施例，具体讲解如何对主板主机的防火墙中各服务策略和安全策略进行新增和删除。

可选地，参考图10所示，该方法包括：

S1001、接收用户输入的主板主机的防火墙策略新增指示。

其中，主板主机的防火墙策略新增指示中包括待新增的服务策略的标识、待新增的服务策略中待编辑配置项的参数信息、待新增的安全策略的标识与待新增的安全策略中待编辑配置项的参数信息。

在本实施例中，例如，用户可以通过操作系统主机上预先安装的客户端输入主板主机上待新增的服务策略的标识为服务策略C、待新增的服务策略中待编辑配置项的参数信息包括：协议类型、源端口及目的端口等；以及，待新增的安全策略的标识为安全策略A4、待新增的安全策略中待编辑配置项的参数信息包括：本地地址、本地掩码、远程地址、远程掩码及所引用的服务策略的标识(如服务策略B)。

S1002、根据待新增的服务策略的标识、待新增的服务策略中待编辑配置项的参数信息，生成信息侧网口上待新增的服务策略，在主板主机的防火墙中新建信息侧网口上待新增的服务策略。

S1003、根据待新增的安全策略的标识、待新增的安全策略中待编辑配置项的参数信息，生成信息侧网口上待新增的安全策略，在主板主机的防火墙中新建信息侧网口上待新增的安全策略。

在本实施例中，可以直接待新增的服务策略的标识、待新增的服务策略中待编辑配置项的参数信息，在主板主机的防火墙中新建信息侧网口上待新增的服务策略，以及根据待新增的安全策略的标识、待新增的安全策略中待编辑配置项的参数信息，在主板主机的防火墙中新建信息侧网口上待新增的安全策略。需要注意的是，待新增的安全策略必须要引用一个已配置的服务策略。

可选地，参考图11所示，该方法包括：

S1101、接收用户输入的主板主机的防火墙策略删除指示，主板主机的防火墙策略删除指示中包括待删除服务策略的标识。

S1102、根据待删除服务策略的标识，在信息侧网口上当前已配置的安全策略中查找引用待删除服务策略的各目标安全策略。

S1103、将主板主机的防火墙中引用待删除服务策略的各目标安全策略删除，并将主板主机的防火墙中的待删除服务策略删除。

在本实施例中，例如，用户可以通过操作系统主机上预先安装的客户端输入主板主机上待删除服务策略的标识为服务策略B，操作系统主机在对待删除服务策略B进行删除之前，必须先要删除引用该服务策略B的所有安全策略。即需要根据待删除服务策略的标识(如服务策略B)，在信息侧网口上当前已配置的安全策略中查找引用待删除服务策略的各目标安全策略(如安全策略A1、安全策略A2等)，然后，将主板主机的防火墙中引用服务策略B的安全策略A1及安全策略A2删除，同时再将主板主机的防火墙中的服务策略B删除。

可选地，若某个服务策略已被安全策略引用，则修改该服务策略后并不会应用到安全策略之中。

将通过如下实施例，具体讲解如何对操作系统主机的防火墙中各安全策略进行新建和删除。

可选地，参考图12所示，该方法包括：

S1201、接收用户输入的操作系统主机的防火墙策略新增指示，操作系统主机的防火墙策略新增指示中包括待新增的操作系统主机安全策略的标识、及操作系统主机安全策略中待编辑配置项的参数信息。

S1202、根据操作系统主机安全策略的标识以及操作系统主机安全策略中待编辑配置项的参数信息，生成控制侧网口上的安全策略，并在操作系统主机的防火墙中新建控制侧网口上的安全策略。

在本实施例中，例如，用户可以通过操作系统主机上客户端输入待新增的操作系统主机安全策略的标识、及操作系统主机安全策略中待编辑配置项的参数信息(如程序、本地地址、本地掩码)，操作系统主机直接根据接收到的待新增的操作系统主机安全策略的标识、及操作系统主机安全策略中待编辑配置项的参数信息，生成控制侧网口上的安全策略，并在操作系统主机的防火墙中新建控制侧网口上的安全策略。

可选地，参考图13所示，该方法包括：

S1301、接收用户输入的操作系统主机的防火墙策略删除指示，操作系统主机的防火墙策略删除指示中包括待删除的操作系统主机安全策略的标识。

S1302、根据待删除的操作系统主机安全策略的标识，将操作系统主机的防火墙中待删除的操作系统主机安全策略删除。

在本实施例中，例如，用户可以通过操作系统主机上客户端输入待删除的操作系统主机安全策略的标识，操作系统主机直接根据待删除的操作系统主机安全策略的标识，对操作系统主机的防火墙中与待删除的操作系统主机安全策略的标识匹配的安全策略进行删除。

基于同一发明构思，本申请实施例中还提供了与防火墙策略处理方法对应的防火墙策略处理装置，由于本申请实施例中的装置解决问题的原理与本申请实施例上述防火墙策略处理方法相似，因此装置的实施可以参见方法的实施，重复之处不再赘述。

参考图14所示，本申请实施例还提供了一种防火墙策略处理装置，应用于主机异构网关设备中的操作系统主机，主机异构网关设备包括操作系统主机以及主板主机，操作系统主机上包括控制侧网口，主板主机上包括信息侧网口，该装置包括：

接收模块1401，用于接收用户输入的主板主机的防火墙策略编辑指示，主板主机的防火墙策略编辑指示中包括待编辑的目标服务策略的标识以及目标服务策略对应的编辑后的端口信息；

获取模块1402，用于获取信息侧网口上当前已配置的服务策略中目标服务策略对应的编辑前的端口信息；

判断模块1403，用于判断编辑前的端口信息是否与编辑后的端口信息一致；

删除模块1404，用于若否，则将主板主机的防火墙中引用目标服务策略的各目标安全策略删除；

更新模块1405，用于根据编辑后的端口信息，更新目标服务策略，得到更新后的目标服务策略；根据更新后的目标服务策略以及目标服务策略与目标安全策略的引用关系，更新主板主机上的安全策略。

可选地，判断模块1403，还用于：

分别将编辑后的源端口的端口参数、编辑后的目的端口的端口参数与编辑前的源端口的端口参数及编辑前的目的端口的端口参数进行对比；

若编辑后的源端口的端口参数与编辑前的源端口的端口参数，或编辑后的目的端口的端口参数与编辑前的目的端口的端口参数不相同，则确定编辑前的端口信息与编辑后的端口信息不一致。

可选地，删除模块1404，还用于：

将各目标安全策略中各配置项的参数信息缓存至预设存储空间；

遍历主板主机的防火墙中的各安全策略，若当前遍历到的安全策略所引用的服务策略为目标服务策略，则确定当前遍历到的安全策略为一个目标安全策略，并从主板主机的防火墙中删除当前遍历到的安全策略。

可选地，更新模块1405，还用于：

在目标服务策略更新完成后，从预设存储空间中读取引用目标服务策略的各目标安全策略；

在主板主机的防火墙中新建各目标安全策略。

可选地，接收模块1401，还用于接收用户输入的操作系统主机的防火墙策略编辑指示，操作系统主机的防火墙策略编辑指示中包括待编辑的操作系统主机安全策略的标识操作系统主机安全策略对应的编辑后的参数信息；

该装置还包括：

处理模块，用于获取并删除控制侧网口上当前配置的各安全策略；

新建模块，用于根据操作系统主机安全策略的标识以及操作系统主机安全策略对应的编辑后的参数信息，重新生成控制侧网口上的各安全策略，并在操作系统主机的防火墙中新建控制侧网口上的各安全策略。

可选地，接收模块1401，还用于接收用户输入的主板主机的防火墙策略新增指示，主板主机的防火墙策略新增指示中包括待新增的服务策略的标识、待新增的服务策略中待编辑配置项的参数信息、待新增的安全策略的标识与待新增的安全策略中待编辑配置项的参数信息；

新建模块，用于根据待新增的服务策略的标识、待新增的服务策略中待编辑配置项的参数信息，生成信息侧网口上待新增的服务策略，并在主板主机的防火墙中新建信息侧网口上待新增的服务策略；根据待新增的安全策略的标识、待新增的安全策略中待编辑配置项的参数信息，生成信息侧网口上待新增的安全策略，并在主板主机的防火墙中新建信息侧网口上待新增的安全策略。

可选地，接收模块1401，还用于接收用户输入的主板主机的防火墙策略删除指示，主板主机的防火墙策略删除指示中包括待删除服务策略的标识；

该装置还包括：

查找模块，用于根据待删除服务策略的标识，在信息侧网口上当前已配置的安全策略中查找引用待删除服务策略的各目标安全策略；

删除模块1404，还用于将主板主机的防火墙中引用待删除服务策略的各目标安全策略删除，并主板主机的防火墙中的待删除服务策略删除。

上述装置用于执行前述实施例提供的方法，其实现原理和技术效果类似，在此不再赘述。

以上这些模块可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(Application Specific Integrated Circuit，简称ASIC)，或，一个或多个微处理器(digital signal processor，简称DSP)，或，一个或者多个现场可编程门阵列(Field Programmable Gate Array，简称FPGA)等。再如，当以上某个模块通过处理元件调度程序代码的形式实现时，该处理元件可以是通用处理器，例如中央处理器(CentralProcessing Unit，简称CPU)或其它可以调用程序代码的处理器。再如，这些模块可以集成在一起，以片上系统(system-on-a-chip，简称SOC)的形式实现。

可选地，本申请还提供一种程序产品，例如计算机可读存储介质，包括程序，该程序在被处理器执行时用于执行上述方法实施例。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(英文：processor)执行本申请各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(英文：Read-Only Memory，简称：ROM)、随机存取存储器(英文：Random Access Memory，简称：RAM)、磁碟或者光盘等各种可以存储程序代码的介质。