防火墙策略下发方法、装置、计算机设备和存储介质

技术领域

本发明涉及网络安全技术领域，特别涉及一种防火墙策略下发方法、装置、计算机设备和存储介质。

背景技术

防火墙是用于安全管理的硬件设备，帮助企业网络于其内、外网之间构建一道隔离的设施，以保护资料与信息安全性的一种技术，一个防火墙能极大地提高内部网络的安全性，并通过过滤不安全的服务而降低风险。

目前防火墙策略的下发多依靠人工进行管理，通过网络管理员根据实际网络需求制定防火墙策略，依靠个人经验查看网络拓扑，评估需要在哪些防火墙上执行防火墙策略，并对防火墙策略进行相应的处理。但是，随着网络规模的扩大和对外接口的增加，采用人工定位防火墙进行下发防火墙策略的方式，存在防火墙策略处理效率低下且容易出错的问题。

发明内容

本发明目的在于提供一种防火墙策略下发方法、装置、计算机设备和存储介质，用以解决目前采用人工定位防火墙进行下发防火墙策略的方式，存在防火墙策略处理效率低下且容易出错的问题。

第一方面，提供了一种防火墙策略下发方法，所述方法包括：

获取待下发的目标策略；

在预先设定的静态路由表中查找出与所述目标策略中的目的地址相匹配的静态路由，并根据所述静态路由查询出对应的物理防火墙；

确定所述物理防火墙上每个虚拟防火墙的路由表；

对所述目标策略中的源地址及目的地址在每个所述虚拟防火墙的路由表中匹配，确定所述源地址匹配到的第一接口及所述目的地址匹配到的第二接口；

当在同一个所述虚拟防火墙的路由表中匹配到的所述第一接口不同于所述第二接口时，则将所述目标策略下发到所述虚拟防火墙上。

进一步地，所述获取待下发的目标策略，包括：

获取待下发的防火墙策略列表，所述防火墙策略列表包括至少一个策略；

按照预设的地址合并参数对各个所述策略中的地址进行合并，得到所述防火墙策略列表对应的地址集，所述地址合并参数为源地址或者目的地址；

将所述防火墙策略列表对应的地址集拆分成单个地址，得到所述目标策略。

进一步地，所述在预先设定的静态路由表中查找出与所述目标策略中的目的地址相匹配的静态路由，包括：

在所述静态路由表中，对所述目标策略中的目的地址按照最长掩码匹配进行查找，得到与所述目标策略中的目的地址相匹配的静态路由。

进一步地，所述在预先设定的静态路由表中查找出与所述目标策略中的目的地址相匹配的静态路由，包括：

对所述目标策略中的目的地址转换为对应的第一整数值，并对所述静态路由表中的各个路由的目的地址分别转换为对应的第二整数值；

对所述第一整数值分别与各所述第二整数值进行匹配，将匹配到的最大的第二整数值对应的路由确定为所述目标策略中的目的地址相匹配的静态路由。

进一步地，所述将所述目标策略下发到所述虚拟防火墙上，包括：

遍历所述虚拟防火墙的策略列表，所述防火墙策略列表中包括至少一个已下发策略；

对所述目标策略与当前遍历到的所述已下发策略比较，得到比较结果；

当所述比较结果指示所述目标策略中的源地址或目的地址包含在当前遍历到的所述已下发策略中，且所述已下发策略中的动作类型为拒绝时，将所述目标策略下发到所述虚拟防火墙上；

当所述比较结果指示所述目标策略中的目的地址包含在当前遍历到的所述已下发策略中，且所述已下发策略中的动作类型为允许，则将所述目标策略中的源地址追加到当前遍历到的所述已下发策略中；

当所述目标策略中的源地址与目的地址均不包含在遍历到的每一个所述已下发策略时，将所述目标策略下发到所述虚拟防火墙上。

进一步地，所述方法还包括：

将下发到所述虚拟防火墙上的所述目标策略更新至所述虚拟防火墙的策略列表中。

进一步地，所述将下发到所述虚拟防火墙上的所述目标策略更新至所述虚拟防火墙的策略列表中，包括：

确定所述虚拟防火墙的策略列表中的动作类型为拒绝的已下发策略，将所述目标策略添加到所述动作类型为拒绝的已下发策略的前面。

第二方面，提供了一种防火墙策略下发装置，所述装置包括：

获取模块，用于获取待下发的目标策略；

查找模块，用于在预先设定的静态路由表中查找出与所述目标策略中的目的地址相匹配的静态路由，并根据所述静态路由查询出对应的物理防火墙；

确定模块，用于所述物理防火墙上每个虚拟防火墙的路由表；

匹配模块，用于对所述目标策略中的源地址及目的地址在每个所述虚拟防火墙的路由表中匹配，确定所述源地址匹配到的第一接口及所述目的地址匹配到的第二接口；

下发模块，用于当在同一个所述虚拟防火墙的路由表中匹配到的所述第一接口不同于所述第二接口时，则将所述目标策略下发到所述虚拟防火墙上。

进一步地，所述获取模块具体用于：

获取待下发的防火墙策略列表，所述防火墙策略列表包括至少一个策略；

按照预设的地址合并参数对各个所述策略中的地址进行合并，得到所述防火墙策略列表对应的地址集，所述地址合并参数为源地址或者目的地址；

将所述防火墙策略列表对应的地址集拆分成单个地址，得到所述目标策略。

进一步地，所述查找模块具体用于：

在所述静态路由表中，对所述目标策略中的目的地址按照最长掩码匹配进行查找，得到与所述目标策略中的目的地址相匹配的静态路由。

进一步地，所述查找模块具体用于：

对所述目标策略中的目的地址转换为对应的第一整数值，并对所述静态路由表中的各个路由的目的地址分别转换为对应的第二整数值；

对所述第一整数值分别与各所述第二整数值进行匹配，将匹配到的最大的第二整数值对应的路由确定为所述目标策略中的目的地址相匹配的静态路由。

进一步地，所述下发模块具体用于：

遍历所述虚拟防火墙的策略列表，所述防火墙策略列表中包括至少一个已下发策略；

对所述目标策略与当前遍历到的所述已下发策略比较，得到比较结果；

当所述比较结果指示所述目标策略中的源地址或目的地址包含在当前遍历到的所述已下发策略中，且所述已下发策略中的动作类型为拒绝时，将所述目标策略下发到所述虚拟防火墙上；

当所述比较结果指示所述目标策略中的目的地址包含在当前遍历到的所述已下发策略中，且所述已下发策略中的动作类型为允许，则将所述目标策略中的源地址追加到当前遍历到的所述已下发策略中；

当所述目标策略中的源地址与目的地址均不包含在遍历到的每一个所述已下发策略时，将所述目标策略下发到所述虚拟防火墙上。

进一步地，所述装置还包括更新模块，所述更新模块具体用于：

将下发到所述虚拟防火墙上的所述目标策略更新至所述虚拟防火墙的策略列表中。

进一步地，所述更新模块具体用于：

确定所述虚拟防火墙的策略列表中的动作类型为拒绝的已下发策略，将所述目标策略添加到所述动作类型为拒绝的已下发策略的前面。

第三方面，提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如下步骤：

获取待下发的目标策略；

在预先设定的静态路由表中查找出与所述目标策略中的目的地址相匹配的静态路由，并根据所述静态路由查询出对应的物理防火墙；

确定所述物理防火墙上每个虚拟防火墙的路由表；

对所述目标策略中的源地址及目的地址在每个所述虚拟防火墙的路由表中匹配，确定所述源地址匹配到的第一接口及所述目的地址匹配到的第二接口；

当在同一个所述虚拟防火墙的路由表中匹配到的所述第一接口不同于所述第二接口时，则将所述目标策略下发到所述虚拟防火墙上。

第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如下步骤：

获取待下发的目标策略；

在预先设定的静态路由表中查找出与所述目标策略中的目的地址相匹配的静态路由，并根据所述静态路由查询出对应的物理防火墙；

确定所述物理防火墙上每个虚拟防火墙的路由表；

对所述目标策略中的源地址及目的地址在每个所述虚拟防火墙的路由表中匹配，确定所述源地址匹配到的第一接口及所述目的地址匹配到的第二接口；

当在同一个所述虚拟防火墙的路由表中匹配到的所述第一接口不同于所述第二接口时，则将所述目标策略下发到所述虚拟防火墙上。

本发明实施例提供一种防火墙策略下发方法、装置、计算机设备和存储介质，通过获取待下发的目标策略，在预先设定的静态路由表中查找出与待下发的目标策略中的目的地址相匹配的静态路由，并根据静态路由查询出对应的物理防火墙；确定物理防火墙上每个虚拟防火墙的路由表；对待下发的目标策略中的源地址及目的地址在每个虚拟防火墙的路由表中匹配，确定源地址匹配到的第一接口及目的地址匹配到的第二接口；当在同一个虚拟防火墙的路由表中匹配到的第一接口不同于第二接口时，则将待下发的目标策略下发到虚拟防火墙上，通过这种方法，能够实现防火墙自动定位和防火墙策略的自动下发，提高了防火墙策略下发效率，降低了策略开通过程中的出错率。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种防火墙策略下发方法的流程示意图；

图2为本发明实施例提供的一种防火墙策略下发装置的结构示意图；

图3为本发明实施例提供的一种计算机设备的内部结构图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，除非上下文明确要求，否则整个说明书和权利要求书中的“包括”、“包含”等类似词语应当解释为包含的含义而不是排他或穷举的含义；也就是说，是“包括但不限于”的含义。

此外，在本发明的描述中，需要理解的是，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。此外，在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。

如前述背景技术所述，随着网络规模的扩大和对外接口的增加，现有技术中采用人工定位防火墙进行下发防火墙策略的方式，存在防火墙策略处理效率低下且容易出错的问题。为此，本申请提供一种防火墙策略下发方法，该方法能够实现防火墙自动定位和防火墙策略的自动下发，提高了防火墙策略下发效率，降低了策略开通过程中的出错率。

在一个实施例中，提供了一种防火墙策略下发方法，该方法可以应用于计算机设备，计算机设备可以用独立的服务器或者是多个服务器组成的服务器集群来实现，参见图1，该方法具体可以包括以下步骤：

101，获取待下发的目标策略。

其中，待下发的目标策略即待下发的防火墙策略，目标策略中包括源地址及目的地址以及动作类型，源地址具体为源IP地址，目的地址具体为目的IP地址，此外，待下发的目标策略中还可以包括端口信息、服务信息以及生效时间等。

其中，服务器可以接收来自客户端的防火墙策略下发请求，防火墙策略下发请求携带有待下发的目标策略。其中用户可以在客户端提供的策略下发界面进行待下发防火墙策略的配置，并将配置好的待下发防火墙策略发送至服务器。

102，在预先设定的静态路由表中查找出与目标策略中的目的地址相匹配的静态路由，并根据静态路由查询出对应的物理防火墙。

其中，静态路由表中预设有目的地址段以及目的地址段、掩码以及静态路由(以网关地址的形式表示)，可以对待下发的目标策略中的目的地址与静态路由表中的目的地址段进行匹配，将匹配出的目标地址段对应的静态路由确定为待下发的目标策略中的目的地址相匹配的静态路由，根据静态路由的路由ID查询出对应的物理防火墙。

103，确定物理防火墙上每个虚拟防火墙的路由表。

其中，每个物理防火墙上可以运行一个或多个虚拟防火墙，虚拟防火墙的路由表中包括虚拟防火墙的路由地址信息以及该路由地址信息对应的接口，路由地址信息包括虚拟防火墙的源地址以及目的地址。

104，对目标策略中的源地址及目的地址在每个虚拟防火墙的路由表中匹配，确定源地址匹配到的第一接口及目的地址匹配到的第二接口。

具体地，针对每一个虚拟防火墙，对目标策略中的源地址与该虚拟防火墙的路由表中的源地址进行比较，若一致，则将该虚拟防火墙的路由表中的源地址对应的接口确定为待下发的目标策略中的源地址匹配到的第一接口；以及对目标策略中的目的地址与该虚拟防火墙的路由表中的目的地址进行比较，若一致，则将该虚拟防火墙的路由表中的目的地址对应的接口确定为待下发的目标策略中的目的地址匹配到的第二接口。

105，当在同一个虚拟防火墙的路由表中匹配到的第一接口不同于第二接口时，则将目标策略下发到虚拟防火墙上。

具体地，判断同一个虚拟防火墙的路由表中匹配到的第一接口与第二接口是否相同，若相同，则确定待下发的目标策略不经过该虚拟防火墙，若不相同，则将目标策略下发到虚拟防火墙上。

本发明实施例提供一种防火墙策略下发方法，通过获取待下发的目标策略，在预先设定的静态路由表中查找出与待下发的目标策略中的目的地址相匹配的静态路由，并根据静态路由查询出对应的物理防火墙；确定物理防火墙上每个虚拟防火墙的路由表；对待下发的目标策略中的源地址及目的地址在每个虚拟防火墙的路由表中匹配，确定源地址匹配到的第一接口及目的地址匹配到的第二接口；当在同一个虚拟防火墙的路由表中匹配到的第一接口不同于第二接口时，则将待下发的目标策略下发到虚拟防火墙上，通过这种方法，能够实现防火墙自动定位和防火墙策略的自动下发，提高了防火墙策略下发效率，降低了策略开通过程中的出错率。

在一个实施例中，上述步骤101获取待下发的目标策略，该过程可以包括：

获取待下发的防火墙策略列表，防火墙策略列表包括至少一个策略；

按照预设的地址合并参数对各个策略中的地址进行合并，得到防火墙策略列表对应的地址集，地址合并参数为源地址或者目的地址；

将防火墙策略列表对应的地址集拆分成单个地址，得到目标策略，其中，目标策略为地址集拆分后的防火墙策略列表中的任意一个策略。

具体来说，客户端可以对待下发的防火墙策略列表生成任务，通过SSH远程连接或者API接口对待下发的一个或多个防火墙策略发送至服务器，服务器在对接收到的待下发的各个防火墙策略进行下发前，以源地址或目的地址作为地址合并参数，对策略列表中的各个策略的地址进行合并得到防火墙策略列表对应的地址集，服务器接收到待下发的防火墙策略列表对应的地址集后，会将防火墙策略列表对应的地址集按照拆分规则进行拆分成单个地址，得到目标策略。

其中，拆分规则可以包括：如果防火墙策略列表对应的地址集是以“，”分隔的多个源IP地址(例如：168.1.3，192.168.1.33，192.168.3.44)，则进行拆分成多个IP的列表；如果防火墙策略列表对应的地址集是是以“，”分隔的多个目的IP地址，则进行拆分成多个目的IP地址的列表。

在一个实施例中，上述步骤102在预先设定的静态路由表中查找出与目标策略中的目的地址相匹配的静态路由，该过程可以包括：

在静态路由表中，对目标策略中的目的地址按照最长掩码匹配进行查找，得到与目标策略中的目的地址相匹配的静态路由。

具体地，对目标策略中的目的地址在静态路由表中进行匹配，确定出哪些静态路由的前缀包含给定的目标策略中的目的地址。然后从这些路由前缀中匹配哪个前缀的掩码最长，即得到最终匹配的静态路由。

可以理解的是，如果在静态路由表中没有对目标策略中的目的地址匹配到静态路由，则不处理该目标策略。

在一个实施例中，上述步骤102在预先设定的静态路由表中查找出与目标策略中的目的地址相匹配的静态路由，该过程可以包括：

对目标策略中的目的地址转换为对应的第一整数值，并对静态路由表中的各个路由的目的地址分别转换为对应的第二整数值；

对第一整数值分别与各第二整数值进行匹配，将匹配到的最大的第二整数值对应的路由确定为目标策略中的目的地址相匹配的静态路由。

具体地，可以把目标策略中的目的地址按照预设的转换规则转换为对应的第一整数值，例如IP地址：10.200.10.22转换成[180881942]，IP地址：10.200.10.55转换成[180881975]。同样地，把静态路由表中的各个路由的目的地址(路由dst)分别转换为对应的第二整数值，对第一整数值分别与各第二整数值进行匹配，将匹配到的最大的第二整数值对应的路由确定为目标策略中的目的地址相匹配的静态路由。

可以理解的是，如果在静态路由表中没有对目标策略中的目的地址匹配到静态路由，则不处理该目标策略。

在一个实施例中，上述步骤105中将目标策略下发到虚拟防火墙上，该过程可以包括：

遍历虚拟防火墙的策略列表，策略列表中包括至少一个已下发策略；

对目标策略与当前遍历到的已下发策略比较，得到比较结果；

当比较结果指示目标策略中的源地址或目的地址包含在当前遍历到的已下发策略中，且已下发策略中的动作类型为拒绝时，将目标策略下发到虚拟防火墙上；

当比较结果指示目标策略中的目的地址包含在当前遍历到的已下发策略中，且已下发策略中的动作类型为允许，则将目标策略中的源地址追加到当前遍历到的已下发策略中；

当目标策略中的源地址与目的地址均不包含在遍历到的每一个已下发策略时，将目标策略下发到虚拟防火墙上。

其中，虚拟防火墙的防火墙策略可以由五元组和动作组成，五元组包括：协议、源IP地址、源端口、目的IP地址、目的端口。动作类型可以取值为accept或deny，accept表示对该条策略的数据包放行，deny表示对该条策略的数据包拦截。

其中，虚拟防火墙的策略列表可以预设存储在redis中，服务器将待下发的目标策略下发到虚拟防火墙上时，会从redis中获取该虚拟防火墙的策略列表，并遍历该虚拟防火墙的策略列表中的所有策略，记录第一条动作类型为拒绝(deny)的策略，所有新增策略都要移到这条策略之前。

具体来说，对待下发的目标策略在该虚拟防火墙的策略列表进行查找，以判断目标策略是否存在(相等或被包含)该虚拟防火墙的策略列表中，或者目标策略中的源地址或目标地址是否被虚拟防火墙的策略列表中的某个策略包含，即部分存在。如果遍历到的当前策略的动作类型是accept，且待下发的目标策略中的目标地址与当前遍历到的已下发策略中的目标地址一致，且待下发的目标策略中的端口与该已下发策略中的端口一致，则可以根据待下发的目标策略中的源地址对该已下发策略进行append地址对象操作，不需要重新创建策略。如果目标策略中的源地址包含在当前遍历到的已下发策略中，且该已下发策略的动作类型为deny，则将说明要新增策略，并记录该已下发策略的策略ID。如果动作直接就是deny的，则说明目标地址被deny，需要新增策略，并记录拒绝策略的策略ID。如果目标策略中的源地址包含在当前遍历到的已下发策略中，且该已下发策略的动作类型为允许(accept)，说明目标策略已存在于虚拟防火墙的策略列表中，则不需要重新创建策略。

此外，如果存在如下情形之一，则对待下发的目标策略不做处理，包括：

待下发的目标策略中的生效期限与该虚拟防火墙中的策略生效期限不一致；

该虚拟防火墙中的策略状态为不可用状态；

待下发的目标策略中的端口与该虚拟防火墙中的策略端口不一致；

待下发的目标策略中的目的地址与该虚拟防火墙中的已下发策略中的目的地址没有包含关系。

本实施例中，通过对目标策略与虚拟防火墙的策略列表中的每个已下发策略比较，得到比较结果，根据比较结果将目标策略下发到虚拟防火墙上，能够避免虚拟防火墙策略下发时产生的策略冲突，避免重复下发，能够提高防火墙策略下发的准确性。

在一个实施例中，方法还包括：

将下发到虚拟防火墙上的目标策略更新至虚拟防火墙的策略列表中。

具体地，该过程可以包括：

确定虚拟防火墙的策略列表中的动作类型为拒绝的已下发策略，将目标策略添加到动作类型为拒绝的已下发策略的前面。

其中，防火墙策略之间是存在匹配顺序的，防火墙会按照从上到下的顺序逐条查找相应防火墙策略。如果经过该防火墙的报文命中了某一条防火墙策略，就会执行该策略的动作，不会再继续向下查找；如果报文没有命中某一条安全策略，则会继续向下查找。其中，策略列表中排位越靠前的策略的优先级越高。通过对经过防火墙的报文与动作类型为允许类型的策略进行优先匹配，能够有利于提高防火墙效率以及性能。

在一个实施例中，提供了一种防火墙策略下发装置，如图2所示，装置包括：

获取模块201，用于获取待下发的目标策略；

查找模块202，用于在预先设定的静态路由表中查找出与目标策略中的目的地址相匹配的静态路由，并根据静态路由查询出对应的物理防火墙；

确定模块203，用于物理防火墙上每个虚拟防火墙的路由表；

匹配模块204，用于对目标策略中的源地址及目的地址在每个虚拟防火墙的路由表中匹配，确定源地址匹配到的第一接口及目的地址匹配到的第二接口；

下发模块205，用于当在同一个虚拟防火墙的路由表中匹配到的第一接口不同于第二接口时，则将目标策略下发到虚拟防火墙上。

在一个实施例中，获取模块201具体用于：

获取待下发的防火墙策略列表，防火墙策略列表包括至少一个策略；

按照预设的地址合并参数对各个策略中的地址进行合并，得到防火墙策略列表对应的地址集，地址合并参数为源地址或者目的地址；

将防火墙策略列表对应的地址集拆分成单个地址，得到目标策略。

在一个实施例中，查找模块202具体用于：

在静态路由表中，对目标策略中的目的地址按照最长掩码匹配进行查找，得到与目标策略中的目的地址相匹配的静态路由。

在一个实施例中，查找模块202具体用于：

对目标策略中的目的地址转换为对应的第一整数值，并对静态路由表中的各个路由的目的地址分别转换为对应的第二整数值；

对第一整数值分别与各第二整数值进行匹配，将匹配到的最大的第二整数值对应的路由确定为目标策略中的目的地址相匹配的静态路由。

在一个实施例中，下发模块205具体用于：

遍历虚拟防火墙的策略列表，防火墙策略列表中包括至少一个已下发策略；

对目标策略与当前遍历到的已下发策略比较，得到比较结果；

当比较结果指示目标策略中的源地址或目的地址包含在当前遍历到的已下发策略中，且已下发策略中的动作类型为拒绝时，将目标策略下发到虚拟防火墙上；

当比较结果指示目标策略中的目的地址包含在当前遍历到的已下发策略中，且已下发策略中的动作类型为允许，则将目标策略中的源地址追加到当前遍历到的已下发策略中；

当目标策略中的源地址与目的地址均不包含在遍历到的每一个已下发策略时，将目标策略下发到虚拟防火墙上。

在一个实施例中，装置还包括更新模块，更新模块具体用于：

将下发到虚拟防火墙上的目标策略更新至虚拟防火墙的策略列表中。

在一个实施例中，更新模块具体用于：

确定虚拟防火墙的策略列表中的动作类型为拒绝的已下发策略，将目标策略添加到动作类型为拒绝的已下发策略的前面。

本实施例提供的防火墙策略下发装置，与本发明实施例所提供的防火墙策略下发方法属于同一发明构思，可执行本发明任意实施例所提供的防火墙策略下发方法，具备执行防火墙策略下发方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节，可参见本发明实施例提供的防火墙策略下发方法，此处不再加以赘述。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图3所示。该服务器包括通过系统总线连接的处理器、存储器、网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与其他设备通过网络连接通信。该计算机程序被处理器执行时以实现一种防火墙策略下发方法。

本领域技术人员可以理解，图3中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现以下步骤：

获取待下发的目标策略；

在预先设定的静态路由表中查找出与目标策略中的目的地址相匹配的静态路由，并根据静态路由查询出对应的物理防火墙；

确定物理防火墙上每个虚拟防火墙的路由表；

对目标策略中的源地址及目的地址在每个虚拟防火墙的路由表中匹配，确定源地址匹配到的第一接口及目的地址匹配到的第二接口；

当在同一个虚拟防火墙的路由表中匹配到的第一接口不同于第二接口时，则将目标策略下发到虚拟防火墙上。

在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：

获取待下发的目标策略；

在预先设定的静态路由表中查找出与目标策略中的目的地址相匹配的静态路由，并根据静态路由查询出对应的物理防火墙；

确定物理防火墙上每个虚拟防火墙的路由表；

对目标策略中的源地址及目的地址在每个虚拟防火墙的路由表中匹配，确定源地址匹配到的第一接口及目的地址匹配到的第二接口；

当在同一个虚拟防火墙的路由表中匹配到的第一接口不同于第二接口时，则将目标策略下发到虚拟防火墙上。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限，RAM以多种形式可得，诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。