本發明實施例提供了一種安全策略配置方法、系統、域控服務器及防火墻設備，其中，安全策略配置方法包括：域控服務器在對用戶端認證通過后，基于用戶端的身份信息，在已配置的預設安全策略中查找用戶端對應的第一安全策略，預設安全策略為基于各用戶端的身份信息配置的安全策略；域控服務器將用戶端的身份信息及第一安全策略發送至防火墻設備，以使防火墻設備根據用戶端的身份信息及第一安全策略，配置用戶端的安全策略為第一安全策略。通過本方案可以提高防火墻設備中安全策略的配置效率。

技術領域

本發明涉及安全防御技術領域，特別是涉及一種安全策略配置方法、系統、域控服務器及防火墻設備。

背景技術

目前，很多企業網絡部署了身份認證機制，企業用戶在登錄企業內部網絡時，需要由企業網絡的域控服務器對登錄信息(包括登錄用戶名和登錄密碼)進行身份認證，身份認證通過后企業用戶方可登錄企業內部網絡。如果企業用戶在登錄企業內部網絡后，需要訪問外部網絡，防火墻需要對企業用戶再進行一次防火墻認證，在通過防火墻認證通過后，企業用戶方可訪問外部網絡。由此可見，企業用戶在進行外部網絡的訪問時，需要進行多次認證。

為了減少企業用戶在訪問外部網絡過程中的認證次數，相應的提出了單點登錄方式。域控服務器在對企業用戶的登錄信息認證通過后，將企業用戶的身份信息(例如用戶名、IP地址等)同步給防火墻設備，由于防火墻設備已經配置有針對各企業用戶的安全策略，防火墻設備可以根據接收到的身份信息，從已配置的安全策略中確定企業用戶的訪問權限。

但是，隨著網絡技術的不斷發展，網絡系統越來越大，網絡系統中防火墻設備的數量也不斷增多，當防火墻設備的數量巨大時，需要預先對每個防火墻設備進行配置，且在每個防火墻設備中均需要配置各企業用戶的安全策略，配置的工作量巨大，導致防火墻設備中安全策略的配置效率較低。

發明內容

本發明實施例的目的在于提供一種安全策略配置方法、系統、域控服務器及防火墻設備，以提高防火墻設備中安全策略的配置效率。具體技術方案如下：

第一方面，本發明實施例提供了一種安全策略配置方法，應用于域控服務器，所述方法包括：

在對用戶端認證通過后，基于所述用戶端的身份信息，在已配置的預設安全策略中查找所述用戶端對應的第一安全策略，其中，所述預設安全策略為基于各用戶端的身份信息配置的安全策略；

將所述用戶端的身份信息及所述第一安全策略發送至防火墻設備，以使所述防火墻設備根據所述用戶端的身份信息及所述第一安全策略，配置所述用戶端的安全策略為所述第一安全策略。

第二方面，本發明實施例提供了一種安全策略配置方法，應用于防火墻設備，所述方法包括：

接收域控服務器發送的已認證通過的用戶端的身份信息及所述用戶端對應的第一安全策略；

根據所述用戶端的身份信息及所述第一安全策略，配置所述用戶端的安全策略為所述第一安全策略。

第三方面，本發明實施例提供了一種安全策略配置裝置，應用于域控服務器，所述裝置包括：

查找模塊，用于在對用戶端認證通過后，基于所述用戶端的身份信息，在已配置的預設安全策略中查找所述用戶端對應的第一安全策略，其中，所述預設安全策略為基于各用戶端的身份信息配置的安全策略；

發送模塊，用于將所述用戶端的身份信息及所述第一安全策略發送至防火墻設備，以使所述防火墻設備根據所述用戶端的身份信息及所述第一安全策略，配置所述用戶端的安全策略為所述第一安全策略。

第四方面，本發明實施例提供了一種安全策略配置裝置，應用于防火墻設備，所述裝置包括：

接收模塊，用于接收域控服務器發送的已認證通過的用戶端的身份信息及所述用戶端對應的第一安全策略；