防火墙配置方法、装置、计算机设备及存储介质与流程

1.本发明涉及防火墙，更具体地说是指防火墙配置方法、装置、计算机设备及存储介质。


背景技术：

2.防火墙，特别是内网防火墙的策略配置和运维过程极其繁复，配置工作量极大。导致目前内网防火墙都以部分全通的访问策略进行配置，并没有实现精准防控；由于访问源和多数应用系统的访问目标不明确，访问策略也不确定等因素，导致运维人员无从下手，加上太过繁复的配置使人无法保持集中精力工作。最终放弃精准配置，以部分全通的访问策略简单放行了事，防火墙背板带宽远低于核心交换机的吞吐量的性能瓶颈问题，防火墙在内网核心网络上只能实现“心跳线”式的主备冗余效果，无法实现类似核心交换机的双机二层堆叠的双活冗余的可靠性和稳定性，如图1所示，由于防火墙配置过程太过繁复，访问源和访问目标不明确，访问策略不确定等导致运维人员最终放弃精准配置。无法实现运维人员自觉地、主动地、高效地执行实时精准防控。网络中在线的应用系统由各软件开发商研发，他们除了给出对应域名的web打开方式，基本不会明确告知要访问的ip地址和需要开放的服务端口。目前所有防火墙除了具备访问控制的功能外，都还有支持三层路由协议、nat地址翻译功能等，这些都消耗大量cpu的有效资源，从而降低了防火墙访问控制的基础性能，在内网应用中绝大多数是以双专线、双设备的架构来确保内网网络的可靠性和稳定性的，但是双设备架构中的双防火墙只能实现心跳线的双机主备冗余，无法实现类似双核心交换机的二层堆叠式的双机双活冗余效果。
3.综上所述，现有的防火墙配置方式存在配置繁琐，无效配置较多，无法实现类似双核心交换机的二层堆叠式的双机双活冗余效果。
4.因此，有必要设计一种新的方法，实现配置简单，精准，实现类似双核心交换机的二层堆叠式的双机双活冗余效果。


技术实现要素：

5.本发明的目的在于克服现有技术的缺陷，提供防火墙配置方法、装置、计算机设备及存储介质。
6.为实现上述目的，本发明采用以下技术方案：防火墙配置方法，包括：
7.对二层架构的可堆叠式新型防火墙接入网络后开机；
8.采用界面操作形式进行防火墙对象定义，以得到定义结果；
9.启动防火墙；
10.确认所述定义结果；
11.对防火墙进行白名单设定且以游戏化界面操作形式进行策略配置。
12.其进一步技术方案为：所述采用界面操作形式进行防火墙对象定义，以得到定义结果，包括：
13.选择源地址对象定义选项，以进行源地址对象的定义；
14.选择目标地址对象定义选项，以进行目标地址对象的定义；
15.选择目标端口对象定义选项，以进行目标端口对象的定义；
16.其中，所述定义结果包括定义后的源地址对象、目标地址对象以及目标端口对象。
17.其进一步技术方案为：所述选择源地址对象定义选项，以进行源地址对象的定义，包括：
18.根据流量数据包的解析结果抽取并弹出源地址；
19.根据字典或者默认值定义源地址的名称。
20.其进一步技术方案为：所述选择目标地址对象定义选项，以进行目标地址对象的定义，包括：
21.根据流量数据包的解析结果自动抽取并弹出目标地址；
22.根据字典或者默认值定义目标地址的名称。
23.其进一步技术方案为：所述选择目标端口对象定义选项，以进行目标端口对象的定义，包括：
24.根据流量数据包的解析结果自动抽取并弹出目标端口；
25.根据字典或者默认值定义目标端口的名称。
26.其进一步技术方案为：所述确认所述定义结果，包括：
27.以名称的形式弹出源地址，并请求访问目标地址和目标端口，确认所述请求。
28.其进一步技术方案为：所述对防火墙进行白名单设定且以游戏化界面操作形式进行策略配置，包括：
29.设置所述防火墙的白名单；
30.内网防火墙采用二层架构的可堆叠式新型防火墙。
31.本发明还提供了防火墙配置装置，包括：
32.网络处理单元，用于对二层架构的可堆叠式新型防火墙接入网络后开机；
33.定义单元，用于采用界面操作形式进行防火墙对象定义，以得到定义结果；
34.启动单元，用于启动防火墙；
35.结果确认单元，用于确认所述定义结果；
36.配置单元，用于对防火墙进行白名单设定且以游戏化界面操作形式进行策略配置。
37.本发明还提供了一种计算机设备，所述计算机设备包括存储器及处理器，所述存储器上存储有计算机程序，所述处理器执行所述计算机程序时实现上述的方法。
38.本发明还提供了一种存储介质，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时可实现上述的方法。
39.本发明与现有技术相比的有益效果是：本发明通过操作界面对防火墙对象进行定义，且设定白名单，以进行防火墙访问对象的精准把控，在配置策略时，也采用界面操作的方式进行，整个过程配置简单，对于内网防火墙采用二层架构的可堆叠式新型防火墙，实现双核心交换机的二层堆叠式的双机双活冗余效果，整个过程配置简单，精准配置防火墙。
40.下面结合附图和具体实施例对本发明作进一步描述。
附图说明
41.为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
42.图1为现有技术的主备模式的双专线和双设备网络的接线示意图；
43.图2为本发明实施例提供的防火墙配置方法的应用场景示意图；
44.图3为本发明实施例提供的防火墙配置方法的流程示意图；
45.图4为本发明实施例提供的防火墙配置方法的子流程示意图；
46.图5为本发明实施例提供的防火墙配置方法的子流程示意图；
47.图6为本发明实施例提供的防火墙配置方法的子流程示意图；
48.图7为本发明实施例提供的防火墙配置方法的子流程示意图；
49.图8为本发明实施例提供的防火墙配置方法的子流程示意图；
50.图9为本发明实施例提供的二层架构的可堆叠式新型防火墙的接线示意图；
51.图10为本发明实施例提供的防火墙配置装置的示意性框图；
52.图11为本发明实施例提供的防火墙配置装置的定义单元的示意性框图；
53.图12为本发明实施例提供的防火墙配置装置的源地址定义子单元的示意性框图；
54.图13为本发明实施例提供的防火墙配置装置的目标地址定义子单元的示意性框图；
55.图14为本发明实施例提供的防火墙配置装置的目标端口定义单元的示意性框图；
56.图15为本发明实施例提供的防火墙配置装置的配置单元的示意性框图；
57.图16为本发明实施例提供的计算机设备的示意性框图。
具体实施方式
58.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
59.应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
60.还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。
61.还应当进一步理解，在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。
62.请参阅图2和图3，图2为本发明实施例提供的防火墙配置方法的应用场景示意图。图3为本发明实施例提供的防火墙配置方法的示意性流程图。该防火墙配置方法应用于服务器中。该服务器带有操作界面，以用于对象定义和定义结果的确认，动漫闯关式进行防火墙的极简精准配置，把防火墙的配置过程游戏化，以类似玩“俄罗斯方块”式的游戏化过程
完成防火墙的配置。包括源地址和目标地址及目标端口等的对象定义和策略配置定义过程都进行简化。
63.图3是本发明实施例提供的防火墙配置方法的流程示意图。如图3所示，该方法包括以下步骤s110至s150。
64.s110、对二层架构的可堆叠式新型防火墙接入网络后开机。
65.在本实施例中，服务器将二层架构的可堆叠式新型防火墙接入网络后，进行服务器的开机，并且打开防火墙配置界面即操作界面，进入防火墙对象定义模块，以快速和简化的进行防火墙对象定义。二层架构的可堆叠式新型防火墙是指与交换机的二层架构一致的二层可堆叠式的新型防火墙设备。解决在双专线、双设备负载均衡的冗余架构中防火墙的接入主备模式升级替换为二层堆叠模式的问题。真正做到全程双活冗余效果。
66.s120、采用界面操作形式进行防火墙对象定义，以得到定义结果。
67.在本实施例中，定义结果包括定义后的源地址对象、目标地址对象以及目标端口对象。具体的，采用游戏化界面操作形式进行防火墙对象定义，以得到定义结果。
68.在一实施例中，请参阅图4，上述的步骤s120可包括步骤s121～s123。
69.s121、选择源地址对象定义选项，以进行源地址对象的定义。
70.在本实施例中，源地址是指发起访问的地址。
71.在一实施例中，请参阅图5，上述的步骤s121可包括步骤s1211～s1212。
72.s1211、根据流量数据包的解析结果抽取并弹出源地址。
73.在本实施例中，流量数据包是指发起访问的源地址所发起的访问中携带的流量数据包，根据对流量数据包进行解析，便可得到源地址。
74.s1212、根据字典或者默认值定义源地址的名称。
75.具体地，防火墙根据流量数据包的解析结果抽出并弹出源地址，防火墙根据字典或者默认值自动定义其名称，可进一步由网管员确认；或者网管员手动定义弹出的源地址名称并自动纳入字典。由于网络流量极大，每次弹出的源地址数可以根据网管员熟练程度自定义，以实现动漫闯关式的逐个处理直到完成。同时，一个源地址名称定义后，可以反过来定义源地址段、或者确认、添加多个源地址。
76.s122、选择目标地址对象定义选项，以进行目标地址对象的定义。
77.在本实施例中，目标地址是指所要访问的地址。
78.在一实施例中，请参阅图6，上述的步骤s122可包括步骤s1221～s1222。
79.s1221、根据流量数据包的解析结果自动抽取并弹出目标地址；
80.s1222、根据字典或者默认值定义目标地址的名称。
81.防火墙根据流量数据包的解析结果自动抽出并弹出目标地址，防火墙根据字典或者默认值自动定义其名称，可进一步由网管员确认；或者网管员手动定义弹出的目标地址名称并自动纳入字典。由于网络流量极大，每次弹出的目标地址数可以根据网管员熟练程度自定义。以实现动漫闯关式的逐个处理直到完成。同时，一个目标地址名称定义后，可以反过来定义目标地址段、或者确认、添加多个不同的目标地址。
82.s123、选择目标端口对象定义选项，以进行目标端口对象的定义。
83.在本实施例中，目标端口是指要访问目标地址时所要通过的端口。
84.在一实施例中，请参阅图7，上述的步骤s123可包括步骤s1231～s1232。
85.s1231、根据流量数据包的解析结果自动抽取并弹出目标端口；
86.s1232、根据字典或者默认值定义目标端口的名称。
87.防火墙根据流量数据包的解析结果自动抽出并弹出目标端口，防火墙根据字典或者默认值自动定义其名称，进一步由网管员确认；或者网管员手动定义弹出的目标端口名称并自动纳入字典，由于网络流量极大，每次弹出的目标端口数可以根据网管员熟练程度自定义，以实现动漫闯关式的逐个处理直到完成。
88.s130、启动防火墙。
89.当配置完成后，对防火墙进行开启，以进行防火墙策略配置界面，进入防火墙策略配置模块。
90.s140、确认所述定义结果。
91.在本实施例中，以名称的形式弹出源地址，并请求访问目标地址和目标端口，确认所述请求。具体的，采用动漫闯关的形式确认所述定义结果。
92.进入防火墙策略配置模块后，自动以名称的形式弹出带源端口的源地址请求访问目标地址和目标端口，可由网管员只需点击确认或者拒绝即可，若不操作，则默认为确认；由于网络流量极大，每次弹出的策略数量可以根据操作熟练程度调节，动漫闯关式的一批一批逐个确认，直到暂时不再出现新的访问请求为止。如果发现仍有源地址是ip地址形式的，可以再切换到对象定义模块操作，即进行防火墙的对象定义，完成后再返回防火墙策略配置模块，进行策略定义。
93.s150、对防火墙进行白名单设定且以游戏化界面操作形式进行策略配置。
94.防火墙，特别是内网防火墙必须真正实现精准防控的白名单制。精准到每个目标ip和相应的服务端口，精准到只有白名单上的才能被允许访问。具体地，对防火墙进行白名单设定且以游戏化界面操作形式进行动漫闯关式的策略配置。
95.在一实施例中，请参阅图8，上述的步骤s150可包括步骤s151～s152。
96.s151、设置所述防火墙的白名单。
97.在本实施例中，白名单是指防火墙的访问对象：源地址、目标地址和目标端口，这些都要字典化地被定义好。凡是非白名单即不在字典内的访问对象的数据包均被防火墙直接丢弃或者拒绝访问。
98.具体地，防火墙的访问对象即白名单可以预先以表格形式编辑好，再导入到防火墙，之后可以在对象定义功能模块中选用。如果有新的对象产生，需要补充编辑白名单。
99.s152、内网防火墙采用二层架构的可堆叠式新型防火墙。
100.二层架构的可堆叠式新型防火墙主要实现访问控制功能、对象内容的字典化白名单定义或编辑功能、对象名称的匹配、策略的匹配功能。二层架构的可堆叠式新型防火墙通过专用堆叠口和线缆实现二层堆叠，或者通过防火墙的多个业务网口捆绑连接实现二层堆叠，确保双机二层堆叠后实现一体化的双活效果，具体如图9所示。设置二层架构的可堆叠式新型防火墙可解决在双专线、双设备负载均衡的冗余架构中防火墙的接入主备模式替换为二层堆叠模式，真正做到全程双活冗余效果。
101.二层架构的可堆叠式新型防火墙是指与交换机的二层架构一致的二层可堆叠式的新型防火墙设备。解决在双专线、双设备负载均衡的冗余架构中防火墙的接入主备模式升级替换为二层堆叠模式的问题。真正做到全程双活冗余效果。通过专用堆叠口和线缆实
现二层堆叠，或者通过防火墙的多个业务网口捆绑连接实现二层堆叠。
102.本实施例可以实现极简的产品所带来高效和愉悦，让网管员从繁复的策略配置中解脱出来，进入防火墙界面，屏幕上自动跳出访问源和目标以及访问请求，点击确认或拒绝，就像玩“俄罗斯方块”一样，游戏防火墙是七分管理的有效保障，彻底规避防火墙，特别是内网防火墙的部分全通策略规则，可以随时实现防火墙策略配置的及时、精准落地；二层化的架构可以实现畅通，防火墙特别是内网防火墙要适应内网的万兆甚至更高带宽的场景，去除性能瓶颈实现畅通。只有去除三层路由和nat(网络地址转换，network address translation)地址翻译等功能，以二层化工作模式实现畅通，突破性能瓶颈。二层防火墙是万兆防火墙的性能再提升的突破口。防火墙作为一个成熟的产品，经过不断地迭代升级，其功能和性能瓶颈一直没有实现重大突破。如果去除防火墙常规的三层路由和nat地址翻译功能，把防火墙的cpu等全部资源都放在防火墙的精准防控上，即放在访问控制上，就能确保防火墙的自身处理性能，真正实现万兆及万兆以上的处理性能，二层化架构实现稳定可靠，只有防火墙实现二层化，才能真正配套、融合到内网的双专线、双设备的架构中，实现防火墙二层堆叠式的稳定性和可靠性的突破，自动精准锁定目标ip及其服务端口，无需软件开发商告知具体ip和服务端口；简单易用才能长久被用，大数据和ai技术智能匹配和定义访问源和目标ip及服务端口的对象名称，智能匹配和定义访问策略。能解决成千上万条访问策略的极简配置问题；避免部分全通式访问策略的无效配置问题，实现精准化；突破防火墙性能瓶颈，随时匹配核心交换机的网络带宽性能；在内网双专线、双设备网络架构中淘汰“心跳线”式主备冗余模式，实现二层堆叠双活冗余模式。
103.上述的防火墙配置方法，通过操作界面对防火墙对象进行定义，且设定白名单，以进行防火墙访问对象的精准把控，在配置策略时，也采用界面操作的方式进行，整个过程配置简单，对于内网防火墙采用二层的架构，实现双核心交换机的二层堆叠式的双机双活冗余效果，整个过程配置简单，精准配置防火墙。
104.图10是本发明实施例提供的一种防火墙配置装置300的示意性框图。如图10所示，对应于以上防火墙配置方法，本发明还提供一种防火墙配置装置300。该防火墙配置装置300包括用于执行上述防火墙配置方法的单元，该装置可以被配置于服务器中。具体地，请参阅图10，该防火墙配置装置300包括网络处理单元301、定义单元302、启动单元303、结果确认单元304以及配置单元305。
105.网络处理单元301，用于对二层架构的可堆叠式新型防火墙接入网络后开机；定义单元302，用于采用界面操作形式进行防火墙对象定义，以得到定义结果；启动单元303，用于启动防火墙；结果确认单元304，用于确认所述定义结果；配置单元305，用于对防火墙进行白名单设定且以游戏化界面操作形式进行策略配置。
106.在一实施例中，如图11所示，所述定义单元302包括源地址定义子单元3021、目标地址定义子单元3022以及目标端口定义子单元3023。
107.源地址定义子单元3021，用于选择源地址对象定义选项，以进行源地址对象的定义；目标地址定义子单元3022，用于选择目标地址对象定义选项，以进行目标地址对象的定义；目标端口定义子单元3023，用于选择目标端口对象定义选项，以进行目标端口对象的定义；其中，所述定义结果包括定义后的源地址对象、目标地址对象以及目标端口对象。
108.在一实施例中，如图12所示，所述源地址定义子单元3021包括第一弹出模块30211
以及第一定义模块30212。
109.第一弹出模块30211，用于根据流量数据包的解析结果抽取并弹出源地址；第一定义模块30212，用于根据字典或者默认值定义源地址的名称。
110.在一实施例中，如图13所示，所述目标地址定义子单元3022包括第二弹出模块30221以及第二定义模块30222。
111.第二弹出模块30221，用于根据流量数据包的解析结果自动抽取并弹出目标地址；第二定义模块30222，用于根据字典或者默认值定义目标地址的名称。
112.在一实施例中，如图14所示，所述目标端口定义单元3023包括第三弹出模块30231以及第三定义模块30232。
113.第三弹出模块30231，用于根据流量数据包的解析结果自动抽取并弹出目标端口；第三定义模块30232，用于根据字典或者默认值定义目标端口的名称。
114.在一实施例中，所述结果确认单元304，用于以名称的形式弹出源地址，并请求访问目标地址和目标端口，确认所述请求。
115.在一实施例中，如图15所示，所述配置单元305包括白名单设置子单元3051以及模式更改子单元3052。
116.白名单设置子单元3051，用于设置所述防火墙的白名单；模式更改子单元3052，用于内网防火墙采用二层架构的可堆叠式新型防火墙。
117.需要说明的是，所属领域的技术人员可以清楚地了解到，上述防火墙配置装置300和各单元的具体实现过程，可以参考前述方法实施例中的相应描述，为了描述的方便和简洁，在此不再赘述。
118.上述防火墙配置装置300可以实现为一种计算机程序的形式，该计算机程序可以在如图16所示的计算机设备上运行。
119.请参阅图16，图16是本技术实施例提供的一种计算机设备的示意性框图。该计算机设备500可以是服务器，其中，终端可以是智能手机、平板电脑、笔记本电脑、台式电脑、个人数字助理和穿戴式设备等具有通信功能的电子设备。服务器可以是独立的服务器，也可以是多个服务器组成的服务器集群。
120.参阅图16，该计算机设备500包括通过系统总线501连接的处理器502、存储器和网络接口505，其中，存储器可以包括非易失性存储介质503和内存储器504。
121.该非易失性存储介质503可存储操作系统5031和计算机程序5032。该计算机程序5032包括程序指令，该程序指令被执行时，可使得处理器502执行一种防火墙配置方法。
122.该处理器502用于提供计算和控制能力，以支撑整个计算机设备500的运行。
123.该内存储器504为非易失性存储介质503中的计算机程序5032的运行提供环境，该计算机程序5032被处理器502执行时，可使得处理器502执行一种防火墙配置方法。
124.该网络接口505用于与其它设备进行网络通信。本领域技术人员可以理解，图16中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备500的限定，具体的计算机设备500可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
125.其中，所述处理器502用于运行存储在存储器中的计算机程序5032，以实现如下步骤：
126.对二层架构的可堆叠式新型防火墙接入网络后开机；采用界面操作形式进行防火墙对象定义，以得到定义结果；启动防火墙；确认所述定义结果；对防火墙进行白名单设定且以游戏化界面操作形式进行策略配置。
127.在一实施例中，处理器502在实现所述采用界面操作形式进行防火墙对象定义，以得到定义结果步骤时，具体实现如下步骤：
128.选择源地址对象定义选项，以进行源地址对象的定义；选择目标地址对象定义选项，以进行目标地址对象的定义；选择目标端口对象定义选项，以进行目标端口对象的定义；其中，所述定义结果包括定义后的源地址对象、目标地址对象以及目标端口对象。
129.在一实施例中，处理器502在实现所述选择源地址对象定义选项，以进行源地址对象的定义步骤时，具体实现如下步骤：
130.根据流量数据包的解析结果抽取并弹出源地址；根据字典或者默认值定义源地址的名称。
131.在一实施例中，处理器502在实现所述选择目标地址对象定义选项，以进行目标地址对象的定义步骤时，具体实现如下步骤：
132.根据流量数据包的解析结果自动抽取并弹出目标地址；根据字典或者默认值定义目标地址的名称。
133.在一实施例中，处理器502在实现所述选择目标端口对象定义选项，以进行目标端口对象的定义步骤时，具体实现如下步骤：
134.根据流量数据包的解析结果自动抽取并弹出目标端口；根据字典或者默认值定义目标端口的名称。
135.在一实施例中，处理器502在实现所述确认所述定义结果步骤时，具体实现如下步骤：
136.以名称的形式弹出源地址，并请求访问目标地址和目标端口，确认所述请求。
137.在一实施例中，处理器502在实现所述对防火墙进行白名单设定且以游戏化界面操作形式进行策略配置步骤时，具体实现如下步骤：
138.设置所述防火墙的白名单；将内网防火墙采用二层架构的可堆叠式新型防火墙。
139.应当理解，在本技术实施例中，处理器502可以是中央处理单元(central processing unit，cpu)，该处理器502还可以是其他通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现成可编程门阵列(field
‑
programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中，通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
140.本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成。该计算机程序包括程序指令，计算机程序可存储于一存储介质中，该存储介质为计算机可读存储介质。该程序指令被该计算机系统中的至少一个处理器执行，以实现上述方法的实施例的流程步骤。
141.因此，本发明还提供一种存储介质。该存储介质可以为计算机可读存储介质。该存储介质存储有计算机程序，其中该计算机程序被处理器执行时使处理器执行如下步骤：
142.对二层架构的可堆叠式新型防火墙接入网络后开机；采用界面操作形式进行防火
墙对象定义，以得到定义结果；启动防火墙；确认所述定义结果；对防火墙进行白名单设定且以游戏化界面操作形式进行策略配置。
143.在一实施例中，所述处理器在执行所述计算机程序而实现所述采用界面操作形式进行防火墙对象定义，以得到定义结果步骤时，具体实现如下步骤：
144.选择源地址对象定义选项，以进行源地址对象的定义；选择目标地址对象定义选项，以进行目标地址对象的定义；选择目标端口对象定义选项，以进行目标端口对象的定义；其中，所述定义结果包括定义后的源地址对象、目标地址对象以及目标端口对象。
145.在一实施例中，所述处理器在执行所述计算机程序而实现所述选择源地址对象定义选项，以进行源地址对象的定义步骤时，具体实现如下步骤：
146.根据流量数据包的解析结果抽取并弹出源地址；根据字典或者默认值定义源地址的名称。
147.在一实施例中，所述处理器在执行所述计算机程序而实现所述选择目标地址对象定义选项，以进行目标地址对象的定义步骤时，具体实现如下步骤：
148.根据流量数据包的解析结果自动抽取并弹出目标地址；根据字典或者默认值定义目标地址的名称。
149.在一实施例中，所述处理器在执行所述计算机程序而实现所述选择目标端口对象定义选项，以进行目标端口对象的定义步骤时，具体实现如下步骤：
150.根据流量数据包的解析结果自动抽取并弹出目标端口；根据字典或者默认值定义目标端口的名称。
151.在一实施例中，所述处理器在执行所述计算机程序而实现所述确认所述定义结果步骤时，具体实现如下步骤：
152.以名称的形式弹出源地址，并请求访问目标地址和目标端口，确认所述请求。
153.在一实施例中，所述处理器在执行所述计算机程序而实现所述对防火墙进行白名单设定且以游戏化界面操作形式进行策略配置步骤时，具体实现如下步骤：
154.设置所述防火墙的白名单；将内网防火墙采用二层架构的可堆叠式新型防火墙。
155.所述存储介质可以是u盘、移动硬盘、只读存储器(read
‑
only memory，rom)、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。
156.本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。
157.在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的。例如，各个单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。
158.本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外，在本发明各个实施
例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。
159.该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，终端，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
160.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。