本申請實施例公開了一種防火墻的策略配置方法和裝置，其中，所述方法包括：獲取預設通過時間內通過防火墻的各個數據包的會話信息；根據會話信息，確定各個數據包關于防火墻的策略配置標準；比較各個數據包的策略配置參數與策略配置標準，根據比較結果配置所述各個數據包的策略建議；根據所述會話信息包含的會話參數對各個數據包進行分類，將策略建議相同，并且會話參數相同的數據包分為一類，獲取其中的目標類型數據包；根據目標類型數據包的策略建議與會話參數，配置相應的防火墻策略。采用前述方法或裝置能夠在獲取會話信息后，根據會話信息配置相應的防火墻策略，提高了防火墻策略的配置效率。

技術領域

本申請涉及防火墻技術領域，尤其涉及一種防火墻的策略配置方法和裝置。

背景技術

防火墻是一種應用廣泛的網絡安全技術，通常部署在不同網域之間，參見圖1，為防火墻的應用場景示意圖。防火墻能夠根據預先配置的防火墻策略，對到達防火墻的各個數據包進行過濾。其中，如果防火墻策略中對某一數據包執行的動作是拒絕通過，就將該數據包攔截在防火墻之外，因此能夠濾除可疑數據包；如果防火墻策略中對某一數據包執行的動作是允許通過，就允許該數據包通過防火墻，因此能夠將合法數據包從防火墻處放行，從而達到保護網絡和用戶資源的目的。

另外，在網絡環境的日常運維中，如果需要在兩個網域之間，如在局域網和因特網之間部署新的防火墻，則需要為該防火墻配置防火墻策略。在現有的防火墻策略配置方法中，管理員往往首先設定該防火墻的防火墻策略為拒絕所有數據包通過防火墻，當根據業務需求，確定某一數據包需要通過該防火墻時，管理員再根據這一業務需求手動添加允許該數據包通過的防火墻策略，并將該防火墻策略配置于防火墻，從而使該數據包能夠通過防火墻。例如，在局域網與因特網之間部署有防火墻，管理員得知有訪問局域網的業務需求，如有來自源IP地址為1.1.*.*的數據包，需要對局域網內部進行訪問，根據該業務需求，管理員需要新增一條防火墻策略，如允許源IP地址為1.1.*.*的數據包通過防火墻，并將該防火墻策略配置于防火墻。

但是，發明人在本申請的研究過程中發現，當需要為防火墻配置防火墻策略時，現有的防火墻策略配置方法中，只有在管理員得知具體的業務需求，確定某一數據包需要通過防火墻后，才能根據該業務需求，為防火墻增加并配置新的防火墻策略，配置防火墻策略的效率較低。

發明內容

本申請提供了一種防火墻的策略配置方法和裝置，以解決現有的防火墻策略配置方法效率較低這一問題。

第一方面，本申請實施例部分提供了一種防火墻的策略配置方法，所述方法包括：

獲取預設通過時間內通過防火墻的各個數據包的會話信息；

根據所述各個數據包的會話信息，確定所述各個數據包關于所述防火墻的策略配置標準；

比較所述各個數據包的策略配置參數與所述策略配置標準，根據比較結果配置所述各個數據包的策略建議，其中，若所述數據包的策略配置參數不小于所述策略配置標準，確定所述數據包的策略建議為允許通過防火墻，若所述數據包的策略配置參數小于所述策略配置標準，確定所述數據包的策略建議為拒絕通過防火墻；

根據所述會話信息包含的會話參數對所述各個數據包進行分類，將策略建議相同，并且所述會話參數相同的數據包分為一類，獲取其中的目標類型數據包；

根據所述目標類型數據包的策略建議與所述會話參數，配置相應的防火墻策略。

結合第一方面，在一種實現方式中，根據所述各個數據包的會話信息，確定所述各個數據包的策略配置標準，包括：

根據所述各個數據包的會話信息，獲取所述各個數據包的會話信息中的上行流量和下行流量；

根據所述各個數據包的上行流量和下行流量，確定流量閾值，將所述流量閾值作為策略配置標準。