一种防火墙安全策略优化方法及相关设备
文献发布时间:2023-06-19 19:21:53
技术领域
本说明书网络安全领域,更具体地说,本申请涉及一种防火墙安全策略优化方法及相关设备。
背景技术
目前已有的安全策略清理优化技术,主要是将目标防火墙策略与目标防火墙包含的其他防火墙策略进行比较,判断目标防火墙策略的参数信息集合是否包含在目标防火墙包含的其他防火墙策略的参数信息集合中,如果判断结果为是,则判定该目标防火墙策略为无用的垃圾策略。
此方法虽然能够有效地解决现有优化检查方法中耗费管理员大量时间和精力的问题,但是此方法不能保证管理员在将防火墙的垃圾策略清理优化完成后不影响网络中实际业务流量的访问。
发明内容
在发明内容部分中引入了一系列简化形式的概念,这将在具体实施方式部分中进一步详细说明。本申请的发明内容部分并不意味着要试图限定出所要求保护的技术方案的关键特征和必要技术特征,更不意味着试图确定所要求保护的技术方案的保护范围。
第一方面,本申请提出一种防火墙安全策略优化方法,上述方法包括:
获取安全更新策略对应的五元组信息;
根据上述五元组信息和网络构架关系确定与上述安全更新策略对应的历史安全策略,其中,上述历史安全策略为与上述安全更新策略的五元组信息至少一个元素信息相同的情况下对应的安全策略;
对上述历史安全策略进行删减以获取网络会话监控信息;
根据上述网络会话监控信息确定防火墙安全策略的优化方案。
可选的,上述方法还包括:
获取目标防火墙和目标交互网络设备的配置信息;
获取目标交互网络的业务流量信息;
根据上述配置信息和业务流量信息构建上述网络架构关系。
可选的,上述网络会话监控信息包括网络会话数量信息;
上述根据上述网络会话监控信息确定防火墙安全策略的优化方案,包括:
在将上述历史安全策略进行删减后,上述网络会话数量信息未发生变化的情况下,将上述历史安全策略删减以优化防火墙安全策略。
可选的,上述网络会话监控信息包括网络会话流量信息;
上述根据上述网络会话监控信息确定防火墙安全策略的优化方案,包括:
在将上述历史安全策略进行删减后,上述网络会话流量信息对应的变化值小于预设阈值的情况下,将将上述历史安全策略删减以优化防火墙安全策略。
可选的,上述方法还包括:
在上述历史安全策略为至少两个的情况下,获取每个历史安全策略与上述安全更新策略的第一关联程度,其中,上述第一关联程度是基于上述历史安全策略与上述安全更新策略五元组信息的重合度确定的;
获取单独删除一个历史安全策略后的第一网络会话监控信息;
根据上述第一关联程度和上述第一网络会话监控信息确定每个历史安全策略删除后的网络影响程度;
根据上述网络影响程度确定防火墙安全策略的优化方案。
可选的,上述方法还包括:
在上述历史安全策略为至少三个的情况下,获取多个历史安全策略之间的第二关联程度;
分别将每个第二关联程度对应的历史安全策略删除以获取第二网络会话监控信息;
根据上述第一关联程度、上述第二关联程度和上述第二网络会话监控信息确定每组历史安全策略删除后的网络影响程度。
可选的,上述方法还包括:
上述第二网络会话监控信息包括第二网络会话数量信息和第二网络会话流量信息,上述第二网络会话数量信息对应第一权重,上述第二网络会话流量信息对应第二权重,上述第一权重大于上述第二权重;
上述根据上述第一关联程度、上述第二关联程度和上述第二网络会话监控信息确定每组历史安全策略删除后的网络影响程度,包括:
根据上述第一关联程度、上述第二关联程度、上述第二网络会话数量信息、上述第二网络会话流量信息、上述第一权重和上述第二权重确定每组历史安全策略删除后的网络影响程度。
第二方面,本申请还提出一种防火墙安全策略优化装置,包括:
第一获取单元,用于获取安全更新策略对应的五元组信息;
第一确定单元,用于根据上述五元组信息和网络构架关系确定与上述安全更新策略对应的历史安全策略,其中,上述历史安全策略为与上述安全更新策略的五元组信息至少一个元素信息相同的情况下对应的安全策略;
第二获取单元,用于对上述历史安全策略进行删减以获取网络会话监控信息;
第二确定单元,用于根据上述网络会话监控信息确定防火墙安全策略的优化方案。
第三方面,一种电子设备,包括:存储器、处理器以及存储在上述存储器中并可在上述处理器上运行的计算机程序,上述处理器用于执行存储器中存储的计算机程序时实现如上述的第一方面任一项的防火墙安全策略优化方法的步骤。
第四方面,本申请还提出一种计算机可读存储介质,其上存储有计算机程序,上述计算机程序被处理器执行时实现第一方面上述任一项的防火墙安全策略优化方法。
综上,本申请实施例的防火墙安全策略优化方法包括:获取安全更新策略对应的五元组信息;根据上述五元组信息和网络构架关系确定与上述安全更新策略对应的历史安全策略,其中,上述历史安全策略为与上述安全更新策略的五元组信息至少一个元素信息相同的情况下对应的安全策略;对上述历史安全策略进行删减以获取网络会话监控信息;根据上述网络会话监控信息确定防火墙安全策略的优化方案。本申请实施例提供的防火墙安全策略优化方法,通过五元组信息确定与安全更新策略关联的历史安全策略,对历史安全策略进行删减,并获取删减后实际业务的访问流量和/或对话数量,自动判断防火墙历史安全策略在进行清理后是否会影响现有网络中实际业务的访问,在做到为防火墙瘦身的同时,可以提前规避防火墙安全策略在清理优化时所产生的网络安全风险。
本申请提出的防火墙安全策略优化方法,本申请的其它优点、目标和特征将部分通过下面的说明体现,部分还将通过对本申请的研究和实践而为本领域的技术人员所理解。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本说明书的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本申请实施例提供的一种防火墙安全策略优化方法流程示意图;
图2为本申请实施例提供的一种防火墙安全策略优化装置结构示意图;
图3为本申请实施例提供的一种防火墙安全策略优化电子设备结构示意图。
具体实施方式
本申请实施例提供的防火墙安全策略优化方法,通过五元组信息确定与安全更新策略关联的历史安全策略,对历史安全策略进行删减,并获取删减后实际业务的访问流量和/或对话数量,自动判断防火墙历史安全策略在进行清理后是否会影响现有网络中实际业务的访问,在做到为防火墙瘦身的同时,可以提前规避防火墙安全策略在清理优化时所产生的网络安全风险。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。
请参阅图1,为本申请实施例提供的一种防火墙安全策略优化方法流程示意图,具体可以包括:
S110、获取安全更新策略对应的五元组信息;
示例性的,安全更新策略是当前防火墙存在安全漏洞等风险而新生成的安全策略,用于弥补当前放火墙存在的漏洞,但在用安全更新策略更新了放火墙后,部分的防护策略对应的防护功能可能会存在着重叠的可能,如果不对存在重叠的历史安全策略进行清理,那么在安全策略多次更新后,防火墙的数据量就会变得异常庞大,因此需要在安全策略进行更新后对防火墙中冗余的安全策略进行清理。
本申请实施例提出的方法,首先获取安全更新策略对应的五元组信息,五元组信息包括源IP地址,源端口,目的IP地址,目的端口和传输层协议。源IP地址,源端口,目的IP地址,目的端口,和传输层协议这五个量组成的一个集合。例如:192.168.1.1 10000TCP121.14.88.76 80就构成了一个五元组。其意义是,一个IP地址为192.168.1.1的终端通过端口10000,利用TCP协议,和IP地址为121.14.88.76,端口为80的终端进行连接
S120、根据上述五元组信息和网络构架关系确定与上述安全更新策略对应的历史安全策略,其中,上述历史安全策略为与上述安全更新策略的五元组信息至少一个元素信息相同的情况下对应的安全策略;
示例性的,网络架构关系是指防火墙对应的路由之间的硬件连接关系以及防火墙之间内在逻辑关系。历史安全策略是指在防火墙未更新上述安全更新策略时的与上述安全更新策略的五元组信息至少一个元素信息相同的情况下对应的安全策略,换而言之,历史安全策略的源IP地址,源端口,目的IP地址,目的端口和传输层协议至少有一个与安全更新策略相同。
S130、对上述历史安全策略进行删减以获取网络会话监控信息;
示例性的,对安全策略进行删减,获取删减之后的网络会话监控信息。需要说明的是,当历史安全策略包括多个的情况下,可以分别单独对历史安全策略进行删减后再获取网络会话监控信息,或者是对多个历史安全策略同时进行删除后在获取网络会话监控信息。网络会话监控信息可以包括网络会话的数量和网络会话的流量变化信息,流量变化信息包括流量总量变化信息和流量流速变化信息,即通过监控网络会话的方式,确定删减对应的一个历史安全策略或多个历史安全策略后网络会话是否会发生影响。
S140、根据上述网络会话监控信息确定防火墙安全策略的优化方案。
示例性的,根据网络会话监控信息确定防火墙策略的优化方案,如果网络会话监控信息在删减某些历史安全策略后不会发生变化,那么在加载安全更新策略后,可以对上述历史安全策略进行删除。如果网络会话的数量和/或网络会话的流量信息发生变化,那么该历史安全策略则不能进行删除,否则会影响正常的网络会话。
综上,本申请实施例提供的防火墙安全策略优化方法,通过五元组信息确定与安全更新策略关联的历史安全策略,对历史安全策略进行删减,并获取删减后实际业务的访问流量和/或对话数量,自动判断防火墙历史安全策略在进行清理后是否会影响现有网络中实际业务的访问,在做到为防火墙瘦身的同时,可以提前规避防火墙安全策略在清理优化时所产生的网络安全风险。
在一些示例中,上述方法还包括:
获取目标防火墙和目标交互网络设备的配置信息;
获取目标交互网络的业务流量信息;
根据上述配置信息和业务流量信息构建上述网络架构关系。
示例性的,防火墙是由防火墙软件系统和支持其软件系统的网络交互设备构成的,通过获取软件系统和交互网络设备的配置信息以及网络中的流量信息,可以确定各个网络设备之间以及防火墙软件系统之间的逻辑关系,从而建立网络构架关系。
在一些示例中,上述网络会话监控信息包括网络会话数量信息;
上述根据上述网络会话监控信息确定防火墙安全策略的优化方案,包括:
在将上述历史安全策略进行删减后,上述网络会话数量信息未发生变化的情况下,将上述历史安全策略删减以优化防火墙安全策略。
示例性的,网络会话监控信息包括网络会话数量信息,在防火墙的配置策略中可能包括着某种网络服务的白名单,只有在白名单之中的客户端才能对应完成网络会话,而如果将存有该白名单的历史安全策略删减后,而更新的安全策略中又不包括相应的白名单,则会导致该白名单对应的客户端不能完成对应的网络会话服务,则网络会话数量就会发生减少。防火墙配置策略中可以能还包括黑名单,当历史安全策略中的黑名单被删除,而更新的安全策略中不包括此黑名单,则会导致非法的网络会话访问量大幅增多。只有在网络会话数量信息为发生变化的情况下,删减的历史安全策略才是优化防火墙安全策略时需要清理的安全策略。
综上,本申请实施例提供的防火墙安全策略优化方法,可以通过监控网络会话的数量,判断历史安全策略删减是否合理,从而确定合理的防火墙安全策略。
在一些示例中,上述网络会话监控信息包括网络会话流量信息;
上述根据上述网络会话监控信息确定防火墙安全策略的优化方案,包括:
在将上述历史安全策略进行删减后,上述网络会话流量信息对应的变化值小于预设阈值的情况下,将将上述历史安全策略删减以优化防火墙安全策略。
示例性的,网络会话监控信息还包括网络会话流量信息,当删减某项历史安全策略后,如果网络会话流量的变化值不大,即小于预设阈值的情况下,则说明删减该历史安全策略不会对当前的网络交换状态造成影响,删减掉的历史安全策略合理。
在一些示例中,上述方法还包括:
在上述历史安全策略为至少两个的情况下,获取每个历史安全策略与上述安全更新策略的第一关联程度,其中,上述第一关联程度是基于上述历史安全策略与上述安全更新策略五元组信息的重合度确定的;
获取单独删除一个历史安全策略后的第一网络会话监控信息;
根据上述第一关联程度和上述第一网络会话监控信息确定每个历史安全策略删除后的网络影响程度;
根据上述网络影响程度确定防火墙安全策略的优化方案。
示例性的,在上述的实施例中确定的历史安全策略是与安全更新策略五元组信息至少有一个相同的安全策略。在历史安全策略中可能会存在与安全更新策略具有多个相同的五元组信息,因此根据历史安全策略与上述安全更新策略五元组信息的重合度确定第一关联程度,关联程度越高,删除之后带来网络波动的风险可能越低,则根据第一关联程度由低到高逐个单独删除相应的历史安全策略,并获取删除后的第一网络会话监控信息,直至第一网络会话监控信息的变化超出预设范围后,停止删除历史安全策略的工作,将第一网络会话监控信息的变化未超出预设范围的历史安全策略删除,定为当前的优化方案,此时可以不会影响网络会话的正常进行,并对防火墙的安全策略进行了精简化处理。
在一些示例中,上述方法还包括:
在上述历史安全策略为至少三个的情况下,获取多个历史安全策略之间的第二关联程度;
分别将每个第二关联程度对应的历史安全策略删除以获取第二网络会话监控信息;
根据上述第一关联程度、上述第二关联程度和上述第二网络会话监控信息确定每组历史安全策略删除后的网络影响程度。
示例性的,当历史安全策略为多个的情况下,多个历史安全策略之间会存在着第二联程度,即多个历史安全策略五元组信息之间的联系,第二关联程度越高的多个历史安全策略一起进行删除对网络影响程度可能会更大,而由上述实施例可知,历史安全策略与上述安全更新策略五元组信息的重合度确定第一关联程度,关联程度越高,删除之后带来网络波动的风险可能越低。因此,在有进行删除历史安全策略时,根据第一关联程度由低到高,并按照第二关联程度由高到底对多个历史安全策略删除从而获取第二网络会话监控信息,并获取删除后的第二网络会话监控信息,直至第二网络会话监控信息的变化超出预设范围后,停止删除历史安全策略的工作,将第二网络会话监控信息的变化未超出预设范围的历史安全策略删除,定为当前的优化方案。
在一些示例中,上述方法还包括:
上述第二网络会话监控信息包括第二网络会话数量信息和第二网络会话流量信息,上述第二网络会话数量信息对应第一权重,上述第二网络会话流量信息对应第二权重,上述第一权重大于上述第二权重;
上述根据上述第一关联程度、上述第二关联程度和上述第二网络会话监控信息确定每组历史安全策略删除后的网络影响程度,包括:
根据上述第一关联程度、上述第二关联程度、上述第二网络会话数量信息、上述第二网络会话流量信息、上述第一权重和上述第二权重确定每组历史安全策略删除后的网络影响程度。
示例性的,第二网络会话监控信息中包括第二网络会话数量信息和第二网络5会话流量信息,且保证会话数量的重要程度要高于流量的要求。本实施例在根据第一关联程度由低到高,并按照第二关联程度由高到底对多个历史安全策略删除从而获取第二网络会话监控信息过程中考虑第二网络会话数量信息对应第一权重,和第二网络会话流量信息对应的第二权重对第二网络会话监控信息进行加权评分,
从而可以获取在同时删除多个历史安全策略时,对网络会话数量和网络会话流量0的综合影响,从而得出的每组历史安全策略删除后的网络影响程度更为客观精确。
请参阅图2,本申请实施例中防火墙安全策略优化装置的一个实施例,可以包括:
第一获取单元21,用于获取安全更新策略对应的五元组信息;
第一确定单元22,用于根据上述五元组信息和网络构架关系确定与上述安全5更新策略对应的历史安全策略,其中,上述历史安全策略为与上述安全更新策略的五元组信息至少一个元素信息相同的情况下对应的安全策略;
第二获取单元23,用于对上述历史安全策略进行删减以获取网络会话监控信息;
第二确定单元24,用于根据上述网络会话监控信息确定防火墙安全策略的优0化方案。
如图3所示,本申请实施例还提供一种电子设备300,包括存储器310、处理器320及存储在存储器320上并可在处理器上运行的计算机程序311,处理器320执行计算机程序311时实现上述防火墙安全策略优化的任一方法的步骤。
由于本实施例所介绍的电子设备为实施本申请实施例中一种防火墙安全策略优化装置所采用的设备,故而基于本申请实施例中所介绍的方法,本领域所属技
术人员能够了解本实施例的电子设备的具体实施方式以及其各种变化形式,所以5在此对于该电子设备如何实现本申请实施例中的方法不再详细介绍,只要本领域所属技术人员实施本申请实施例中的方法所采用的设备,都属于本申请所欲保护的范围。
在具体实施过程中,该计算机程序311被处理器执行时可以实现图1对应的实施例中任一实施方式。
0需要说明的是,在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详细描述的部分,可以参见其它实施例的相关描述。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软
件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计5算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供0这些计算机程序指令到通用计算机、专用计算机、嵌入式计算机或者其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以5特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本申请实施例还提供了一种计算机程序产品,该计算机程序产品包括计算机软件指令,当计算机软件指令在处理设备上运行时,使得处理设备执行对应实施例中的防火墙安全策略优化的流程,包括:
获取安全更新策略对应的五元组信息;
根据上述五元组信息和网络构架关系确定与上述安全更新策略对应的历史安全策略,其中,上述历史安全策略为与上述安全更新策略的五元组信息至少一个元素信息相同的情况下对应的安全策略;
对上述历史安全策略进行删减以获取网络会话监控信息;
根据上述网络会话监控信息确定防火墙安全策略的优化方案。
在一些实施方式中,上述方法还包括:
获取目标防火墙和目标交互网络设备的配置信息;
获取目标交互网络的业务流量信息;
根据上述配置信息和业务流量信息构建上述网络架构关系。
在一些实施方式中,上述网络会话监控信息包括网络会话数量信息;
上述根据上述网络会话监控信息确定防火墙安全策略的优化方案,包括:
在将上述历史安全策略进行删减后,上述网络会话数量信息未发生变化的情况下,将上述历史安全策略删减以优化防火墙安全策略。
在一些实施方式中,上述网络会话监控信息包括网络会话流量信息;
上述根据上述网络会话监控信息确定防火墙安全策略的优化方案,包括:
在将上述历史安全策略进行删减后,上述网络会话流量信息对应的变化值小于预设阈值的情况下,将将上述历史安全策略删减以优化防火墙安全策略。
在一些实施方式中,上述方法还包括:
在上述历史安全策略为至少两个的情况下,获取每个历史安全策略与上述安全更新策略的第一关联程度,其中,上述第一关联程度是基于上述历史安全策略与上述安全更新策略五元组信息的重合度确定的;
获取单独删除一个历史安全策略后的第一网络会话监控信息;
根据上述第一关联程度和上述第一网络会话监控信息确定每个历史安全策略删除后的网络影响程度;
根据上述网络影响程度确定防火墙安全策略的优化方案。
在一些实施方式中,上述方法还包括:
在上述历史安全策略为至少三个的情况下,获取多个历史安全策略之间的第二关联程度;
分别将每个第二关联程度对应的历史安全策略删除以获取第二网络会话监控信息;
根据上述第一关联程度、上述第二关联程度和上述第二网络会话监控信息确定每组历史安全策略删除后的网络影响程度。
在一些实施方式中,上述方法还包括:
上述第二网络会话监控信息包括第二网络会话数量信息和第二网络会话流量信息,上述第二网络会话数量信息对应第一权重,上述第二网络会话流量信息对应第二权重,上述第一权重大于上述第二权重;
上述根据上述第一关联程度、上述第二关联程度和上述第二网络会话监控信息确定每组历史安全策略删除后的网络影响程度,包括:
根据上述第一关联程度、上述第二关联程度、上述第二网络会话数量信息、上述第二网络会话流量信息、上述第一权重和上述第二权重确定每组历史安全策略删除后的网络影响程度。
计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
- 一种防火墙安全策略的配置方法、装置及电子设备
- 一种安全策略配置方法、系统、域控服务器及防火墙设备