虚拟防火墙的策略查询方法及装置、电子设备和存储介质与流程

1.本公开涉及网络技术领域和金融领域，更具体地，涉及一种虚拟防火墙的策略查询方法及装置、电子设备、计算机可读存储介质和一种计算机程序产品。


背景技术：

2.随着网络技术的发展，为了及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，保障信息安全，防火墙技术应运而生。
3.在实现本公开构思的过程中，发明人发现相关技术中至少存在如下问题：由于虚拟防火墙中的安全策略，属于纯软件层面的端口表格模式，通常由人工进行策略配置，无法满足当存在大批量的风险问题时的及时处理。


技术实现要素：

4.有鉴于此，本公开提供了一种虚拟防火墙的策略查询方法及装置、电子设备、计算机可读存储介质和计算机程序产品。
5.根据本公开的第一个方面，提供了一种虚拟防火墙的策略查询方法，包括：
6.响应于接收到虚拟防火墙策略查询请求，根据上述虚拟防火墙策略查询请求，确定查询范围、查询精度和查询类别，其中，上述虚拟防火墙策略查询请求包括查询需求和查询条件，上述查询需求包括源地址信息和目的地址信息中的至少一个；
7.根据上述查询范围、上述查询精度和上述查询类别，在多个虚拟防火墙策略中查询目标策略；以及
8.响应于查询到目标策略，将上述目标策略进行展示。
9.根据本公开的实施例，其中，上述根据上述虚拟防火墙策略查询请求，确定查询范围、查询精度和查询类别包括：
10.在上述查询需求包括上述源地址信息或上述目的地址信息的情况下，确定上述查询类别为策略模糊查询；以及
11.在上述查询需求包括上述源地址信息和上述目的地址信息的情况下，确定上述源地址信息和上述目的地址信息是否一致；
12.在确定上述源地址信息和上述目的地址信息一致的情况下，确定上述查询类别为关系模糊查询。
13.根据本公开的实施例，上述虚拟防火墙的策略查询方法还包括：
14.在上述源地址信息和上述目的地址信息不一致的情况下，确定上述查询类别为关系精确查询。
15.根据本公开的实施例，上述虚拟防火墙的策略查询方法还包括：
16.响应于确定上述查询类别为上述关系精确查询，获取与上述虚拟防火墙对应的区域信息；
17.将上述源地址信息与上述区域信息进行匹配，得到第一匹配信息；
18.将上述目的地址信息和上述区域信息进行匹配，得到第二匹配信息；以及
19.响应于上述第一匹配信息和上述第二匹配信息不匹配，确定目标虚拟防火墙。
20.根据本公开的实施例，其中，上述根据上述查询范围、上述查询精度和上述查询类别，在多个虚拟防火墙策略中查询目标策略包括：
21.根据上述查询精度，确定匹配模式，其中，上述匹配模式包括精确匹配和模糊匹配；
22.根据上述查询范围和上述匹配模式，遍历地址定义表，得到匹配的地址信息和虚拟防火墙设备信息；
23.根据上述地址信息和上述虚拟防火墙设备信息，遍历地址组定义表，得到匹配的地址组信息；以及
24.根据上述地址组信息和上述查询类别，遍历上述多个虚拟防火墙策略，得到匹配的上述目标策略。
25.根据本公开的实施例，其中，上述根据上述地址组信息和上述查询类别，遍历上述多个虚拟防火墙策略，得到匹配的上述目标策略包括：
26.响应于上述查询类别确定为上述关系精确查询，根据上述地址组信息，遍历上述目标虚拟防火墙的策略表，得到匹配的上述目标策略。
27.根据本公开的实施例，还包括：
28.设置定时任务；
29.响应于触发上述定时任务，检测上述虚拟防火墙的当前策略配置；
30.响应于检测到策略配置发生更新，更新上述多个虚拟防火墙策略。
31.根据本公开的第二个方面，提供了一种虚拟防火墙的策略查询装置，包括：确定模块、查询模块和展示模块。
32.确定模块，用于响应于接收到虚拟防火墙策略查询请求，根据上述虚拟防火墙策略查询请求，确定查询范围、查询精度和查询类别，其中，上述虚拟防火墙策略查询请求包括查询需求和查询条件，上述查询需求包括源地址信息和目的地址信息中的至少一个；
33.查询模块，用于根据上述查询范围、上述查询精度和上述查询类别，在多个虚拟防火墙策略中查询目标策略；以及
34.展示模块，用于响应于查询到目标策略，将上述目标策略进行展示。
35.根据本公开的第三个方面，提供了一种电子设备，包括：
36.一个或多个处理器；
37.存储器，用于存储一个或多个指令，
38.其中，当上述一个或多个指令被上述一个或多个处理器执行时，使得上述一个或多个处理器实现如上所述的方法。
39.根据本公开的第四个方面，提供了一种计算机可读存储介质，其上存储有可执行指令，上述可执行指令被处理器执行时使处理器实现如上所述的方法。
40.根据本公开的第五个方面，提供了一种计算机程序产品，上述计算机程序产品包括计算机可执行指令，上述计算机可执行指令在被执行时用于实现如上所述的方法。
41.根据本公开的实施例，通过用户输入查询请求中的查询需求和查询条件，确定查询范围、查询精度和查询类别，然后在多个虚拟防火墙策略中查询目标策略并进行展示。通
过上述技术手段，至少部分地克服了相关技术中人工配置策略时，无法及时处理大批量风险问题的技术问题，实现了虚拟防火墙策略的自动查询，提高了策略配置的效率和准确性。
附图说明
42.通过以下参照附图对本公开实施例的描述，本公开的上述以及其他目的、特征和优点将更为清楚，在附图中：
43.图1示意性示出了根据本公开实施例的可以应用策略查询方法的系统架构图；
44.图2示意性示出了根据本公开实施例的虚拟防火墙的策略查询方法的流程图；
45.图3示意性示出了根据本公开实施例的确定目标虚拟防火墙的方法流程图；
46.图4示意性示出了根据本公开实施例的查询目标策略的方法流程图；
47.图5示意性示出了根据本公开实施例的更新虚拟防火墙策略的方法流程图；
48.图6示意性示出了根据本公开实施例的虚拟防火墙的策略查询装置的结构框图；以及
49.图7示意性示出了根据本公开实施例的适于实现虚拟防火墙的策略查询方法的电子设备的框图。
具体实施方式
50.以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。
51.在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
52.在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。
53.在使用类似于“a、b和c等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有a、b和c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。在使用类似于“a、b或c等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有a、b或c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。
54.在本公开的技术方案中，所涉及的用户个人信息的获取，存储和应用等，均符合相关法律法规的规定，采取了必要保密措施，且不违背公序良俗。在本公开的技术方案中，在获取或采集用户个人信息之前，均获取了用户的授权或同意。
55.随着网络技术的发展，为了及时发现并处理计算机网络运行时可能存在的安全风
险、数据传输等问题，从而保障信息安全，防火墙技术应运而生。
56.传统防火墙通常是通过有机结合各类可以用于安全管理与筛选的硬件设备，可以帮助计算机网络在内网和外网之间构建一道相对隔绝的保护屏障，从而保障信息安全。
57.但是，传统防火墙需要划分较多的部分，企业需要部署多台独立防火墙，导致维护成本较高，同时多台独立防火墙可能会占用较多的机架空间，还增加了网络管理的复杂度。
58.虚拟防火墙(virtual firewall，简称vfw)采用通用服务器部署软件网元的方式，vfw复制了物理防火墙的功能，运行在与所保护工作负载相同的虚拟环境中，可以对通过物理网络的流量应用安全策略，在实现安全性又不影响灵活性。
59.尽管如此，由于虚拟防火墙中的安全策略，属于纯软件层面的端口表格模式，通常由人工进行策略配置，增加了运维成本，降低了运维效率，同时无法满足当存在大批量的风险问题时的及时处理，也无法保障防火墙策略配置的准确性。
60.为了至少部分地解决相关技术中存在的技术问题，本公开提供了一种虚拟防火墙的策略查询方法及装置、电子设备和计算机可读存储介质，可以应用于网络技术领域和金融领域。该虚拟防火墙的策略查询方法包括：响应于接收到虚拟防火墙策略查询请求，根据虚拟防火墙策略查询请求，确定查询范围、查询精度和查询类别，其中，虚拟防火墙策略查询请求包括查询需求和查询条件，查询需求包括源地址信息和目的地址信息中的至少一个；根据查询范围、查询精度和查询类别，在多个虚拟防火墙策略中查询目标策略；以及响应于查询到目标策略，将目标策略进行展示。
61.需要说明的是，本公开实施例提供的虚拟防火墙的策略查询方法和装置可用于网络技术领域和金融领域，例如各个银行网点进行虚拟防火墙策略查询。本公开实施例提供的虚拟防火墙的策略查询方法和装置也可用于除网络技术领域和金融领域之外的任意领域，例如对数据中心的信息安全进行监控和维护。本公开实施例提供的虚拟防火墙的策略查询方法和装置的应用领域不做限定。
62.图1示意性示出了根据本公开实施例的可以应用虚拟防火墙的策略查询方法的系统架构。需要注意的是，图1所示仅为可以应用本公开实施例的系统架构的示例，以帮助本领域技术人员理解本公开的技术内容，但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
63.如图1所示，根据该实施例的系统架构100可以包括终端设备101、102、103，服务器104和虚拟防火墙105。终端设备101、102、103和服务器104之间、服务器104和虚拟防火墙105之间，可以通过有线和/或无线通信链路进行连接。
64.用户可以使用终端设备101、102、103与服务器104交互，以接收或发送消息等。
65.终端设备101、102、103可以是具有显示屏的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
66.服务器104可以是提供各种服务的服务器，例如对用户利用终端设备101、102、103所输入的查询请求提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理，然后利用处理后的数据在虚拟防火墙105中进行查询，并将查询结果(例如根据用户请求获取或生成的信息或数据等)反馈给终端设备。
67.虚拟防火墙105可以是将一台防火墙实体设备在逻辑上划分成多台虚拟的防火墙。虚拟防火墙105可以基于服务器104处理后的数据查询目标策略，将查询结果反馈给服
务器104。
68.需要说明的是，本公开实施例所提供的虚拟防火墙的策略查询方法一般可以由服务器104执行。相应地，本公开实施例所提供的虚拟防火墙的策略查询装置一般可以设置于服务器104中。本公开实施例所提供的虚拟防火墙的策略查询方法也可以由不同于服务器104且能够与终端设备101、102、103和/或服务器104通信的服务器或服务器集群执行。相应地，本公开实施例所提供的虚拟防火墙的策略查询装置也可以设置于不同于服务器104且能够与终端设备101、102、103和/或服务器104通信的服务器或服务器集群中。
69.例如，查询需求和查询条件可以由用户利用终端设备101、102、或103中的任意一个(例如，终端设备101，但不限于此)输入，终端设备101可以根据查询需求和查询条件向服务器104发送查询请求。然后，服务器104可以执行本公开实施例所提供的虚拟防火墙的策略查询方法，或者将查询请求发送到其他服务器或服务器集群，并由接收该查询请求的其他服务器或服务器集群来执行本公开实施例所提供的虚拟防火墙的策略查询方法。
70.应该理解，图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。
71.图2示意性示出了根据本公开实施例的虚拟防火墙的策略查询方法的流程图。
72.如图2所示，该拟防火墙的策略查询方法包括操作s201～s203。
73.在操作s201，响应于接收到虚拟防火墙策略查询请求，根据虚拟防火墙策略查询请求，确定查询范围、查询精度和查询类别，其中，虚拟防火墙策略查询请求包括查询需求和查询条件，查询需求包括源地址信息和目的地址信息中的至少一个。
74.根据本公开的实施例，查询条件例如可以包括查询所属机构、是否查询地址明细等。
75.根据本公开的实施例，查询所属机构例如可以包括数据中心、园区a、园区b、园区c等。
76.根据本公开的实施例，查询需求还可以包括协议类型和目的端口等。
77.根据本公开的实施例，查询范围、查询精度和查询类别可以根据源地址信息和/或目的地址信息确定。
78.根据本公开的实施例，源地址信息可以包括数据来源的内存地址。
79.根据本公开的实施例，目的地址信息可以包括存放数据的内存地址。
80.在操作s202，根据查询范围、查询精度和查询类别，在多个虚拟防火墙策略中查询目标策略。
81.根据本公开的实施例，可以预先设置多个虚拟防火墙，多个虚拟防火墙中的每一个虚拟防火墙可以包括多个策略，可以根据查询范围、查询精度和查询类别，在多个策略中确定目标策略。
82.在操作s203，响应于查询到目标策略，将目标策略进行展示。
83.根据本公开的实施例，可以通过解析目标策略的明细服务端口和明细地址，得到查询到的所有目标策略的详情，然后可以通过短信、邮件等方式进行页面展示。
84.根据本公开的实施例，通过用户输入查询请求中的查询需求和查询条件，确定查询范围、查询精度和查询类别，然后在多个虚拟防火墙策略中查询目标策略并进行展示。通过上述技术手段，至少部分地克服了相关技术中人工配置策略时，无法及时处理大批量风
险问题的技术问题，实现了虚拟防火墙策略的自动查询，提高了策略配置的效率和准确性。
85.下面参考图3～图5，结合具体实施例对图2所示的方法做进一步说明。
86.根据本公开的实施例，用户还可以通过设置应用名称和应用节点，自动关联相关的源地址信息和/或目的地址信息。
87.根据本公开的实施例，可以根据用户输入的源地址信息和/或目的地址信息的格式和是否查询地址明细，梳理整合地址信息，确定策略的查询范围和查询精度。
88.根据本公开的实施例，根据虚拟防火墙策略查询请求，确定查询范围、查询精度和查询类别包括：
89.在查询需求包括源地址信息或目的地址信息的情况下，确定查询类别为策略模糊查询；在查询需求包括源地址信息和目的地址信息的情况下，确定源地址信息和目的地址信息是否一致；在确定源地址信息和目的地址信息一致的情况下，确定查询类别为关系模糊查询。
90.根据本公开的实施例，如果用户输入的是源地址信息或目的地址信息，则可以对应策略模糊查询，可以对源地址信息或目的地址信息进行单一方向的策略查询。
91.根据本公开的实施例，如果用户输入的是源地址信息和目的地址信息，且源地址信息和目的地址信息内容一致，则可以对应访问关系模糊查询场景，可以针对待查询ip地址为源地址信息和目的地址信息时，各自进行一次策略查询，并可以将查询结果进行整合。
92.根据本公开的实施例，在源地址信息和目的地址信息不一致的情况下，确定查询类别为关系精确查询。
93.根据本公开的实施例，如果用户输入的是源地址信息和目的地址信息，且源地址信息和目的地址信息内容不一致，则可以对应访问关系精确查询场景，可以根据源地址信息和目的地址信息的访问关系，进一步判断数据流，以便可以精确策略需要查询的虚拟防火墙设备。
94.根据本公开的实施例，可以通过用户输入的源地址信息和/或目的地址信息的内容，确定查询请求的查询类别，使得后续能够根据不同的查询类别，进行目标策略的查询。
95.图3示意性示出了根据本公开实施例的确定目标虚拟防火墙的方法流程图。
96.如图3所示，该确定目标虚拟防火墙的方法包括操作s301～s304。
97.在操作s301，响应于确定查询类别为关系精确查询，获取与虚拟防火墙对应的区域信息。
98.根据本公开的实施例，可以在确定查询类别为关系精确查询时，获取当前所有虚拟防火墙的区域信息，其中，区域信息也可以表示为zone信息。
99.在操作s302，将源地址信息与区域信息进行匹配，得到第一匹配信息。
100.根据本公开的实施例，可以根据源地址信息，匹配某一个虚拟防火墙的所有区域信息，第一匹配信息可以包括源地址信息与区域信息的交集。
101.在操作s303，将目的地址信息和区域信息进行匹配，得到第二匹配信息。
102.根据本公开的实施例，可以根据目的地址信息，匹配同一台防火墙所有区域信息，第二匹配信息可以包括目的地址信息与区域信息的交集。
103.在操作s304，响应于第一匹配信息和第二匹配信息不匹配，确定目标虚拟防火墙。
104.根据本公开的实施例，可以通过匹配第一匹配信息和第二匹配信息，判断两个交
集是否属于同一个区域。
105.根据本公开的实施例，如果第一匹配信息和第二匹配信息匹配，则可以继续匹配下一个虚拟防火墙的区域信息。
106.根据本公开的实施例，如果第一匹配信息和第二匹配信息不匹配，可以认为两个交集属于不同的区域，从而可以确认该数据流经该虚拟防火墙，以便确定出目标虚拟防火墙。
107.根据本公开的实施例，通过在查询类别为关系精确查询时，分别确定源地址信息与区域信息、目的地址信息与区域信息的匹配信息，并比较两个匹配信息之间的匹配情况，可以自动判断数据流经过的目标虚拟防火墙，从而提升策略查询的精度和效率。
108.图4示意性示出了根据本公开实施例的查询目标策略的方法流程图。
109.如图4所示，该查询目标策略的方法包括操作s401～s404。
110.在操作s401，根据查询精度，确定匹配模式，其中，匹配模式包括精确匹配和模糊匹配。
111.根据本公开的实施例，可以根据是否查询地址明细，确定查询精度。
112.根据本公开的实施例，精确匹配可以包括严格匹配源地址信息和/或目的地址信息。
113.根据本公开的实施例，模糊匹配可以包括匹配源地址信息和/或目的地址信息及其子集。
114.在操作s402，根据查询范围和匹配模式，遍历地址定义表，得到匹配的地址信息和虚拟防火墙设备信息。
115.根据本公开的实施例，可以通过获取源地址信息和/或目的地址信息的最小值和最大值，确定查询范围。
116.根据本公开的实施例，可以根据查询范围和匹配模式，遍历数据库中的地址定义表，以便获取匹配的地址信息和虚拟防火墙设备信息。
117.在操作s403，根据地址信息和虚拟防火墙设备信息，遍历地址组定义表，得到匹配的地址组信息。
118.根据本公开的实施例，可以根据地址信息和虚拟防火墙设备信息，遍历数据库中的地址组定义表，从而获取匹配的地址组信息。
119.在操作s404，根据地址组信息和查询类别，遍历多个虚拟防火墙策略，得到匹配的目标策略。
120.根据本公开的实施例，可以通过区分上述查询类别，分别以源地址信息、以目的地址信息、以源地址信息和目的地址信息作为条件，根据地址组信息，遍历数据库中的策略表，从而获取匹配的目标策略。
121.根据本公开的实施例，根据地址组信息和查询类别，遍历多个虚拟防火墙策略，得到匹配的目标策略包括：
122.响应于查询类别确定为关系精确查询，根据地址组信息，遍历目标虚拟防火墙的策略表，得到匹配的目标策略。
123.根据本公开的实施例，可以根据通过依次遍历地址定义表、地址组定义表和虚拟防火墙策略，得到匹配的目标策略，从而实现了虚拟防火墙策略的自动查询，减轻了运维人
员的压力，同时提高了策略查询的效率和准确度。
124.图5示意性示出了根据本公开实施例的更新虚拟防火墙策略的方法流程图。
125.如图5所示，该更新虚拟防火墙策略的方法包括操作s501～s503。
126.在操作s501，设置定时任务。
127.根据本公开的实施例，定时任务可以通过timer、scheduled executor service、spring task、quartz等进行设置。
128.根据本公开的实施例，定时任务的时间的具体数值可以由本领域技术人员根据实际应用情况而灵活设置，本公开实施例不对定时任务的时间的具体数值进行限定。
129.在操作s502，响应于触发定时任务，检测虚拟防火墙的当前策略配置。
130.根据本公开的实施例，可以通过设置定时任务，自动检测是否有虚拟防火墙的配置变动。
131.在操作s503，响应于检测到策略配置发生更新，更新多个虚拟防火墙策略。
132.根据本公开的实施例，可以在检测到策略配置发生更新时，通过接口对相关的虚拟防火墙进行配置抓取，将抓取的配置进行解析，并存储至虚拟防火墙策略数据库。
133.根据本公开的实施例，可以通过设置定时任务自动检测虚拟防火墙策略配置的更新情况，从而可以实时维持虚拟防火墙策略数据库的数据保鲜，推送减轻服务器压力。
134.图6示意性示出了根据本公开的实施例的虚拟防火墙的策略查询装置的框图。
135.如图6所示，虚拟防火墙的策略查询装置600包括：确定模块601、查询模块602和展示模块603。
136.确定模块601，用于响应于接收到虚拟防火墙策略查询请求，根据虚拟防火墙策略查询请求，确定查询范围、查询精度和查询类别，其中，虚拟防火墙策略查询请求包括查询需求和查询条件，查询需求包括源地址信息和目的地址信息中的至少一个。
137.查询模块602，用于根据查询范围、查询精度和查询类别，在多个虚拟防火墙策略中查询目标策略。
138.展示模块603，用于响应于查询到目标策略，将目标策略进行展示。
139.根据本公开的实施例，通过用户输入查询请求中的查询需求和查询条件，确定查询范围、查询精度和查询类别，然后在多个虚拟防火墙策略中查询目标策略并进行展示。通过上述技术手段，至少部分地克服了相关技术中人工配置策略时，无法及时处理大批量风险问题的技术问题，实现了虚拟防火墙策略的自动查询，提高了策略配置的效率和准确性。
140.根据本公开的实施例，确定模块601包括：第一确定单元、第二确定单元和第三确定单元。
141.第一确定单元，用于在查询需求包括源地址信息或目的地址信息的情况下，确定查询类别为策略模糊查询。
142.第二确定单元，用于在查询需求包括源地址信息和目的地址信息的情况下，确定源地址信息和目的地址信息是否一致。
143.第三确定单元，用于在确定源地址信息和目的地址信息一致的情况下，确定查询类别为关系模糊查询。
144.根据本公开的实施例，确定模块601还包括：第四确定单元。
145.第四确定单元，用于在源地址信息和目的地址信息不一致的情况下，确定查询类
别为关系精确查询。
146.根据本公开的实施例，确定模块601还包括：获取单元、第一匹配单元、第二匹配单元和第五确定单元。
147.获取单元，用于响应于确定查询类别为关系精确查询，获取与虚拟防火墙对应的区域信息。
148.第一匹配单元，用于将源地址信息与区域信息进行匹配，得到第一匹配信息。
149.第二匹配单元，用于将目的地址信息和区域信息进行匹配，得到第二匹配信息。
150.第五确定单元，用于响应于第一匹配信息和第二匹配信息不匹配，确定目标虚拟防火墙。
151.根据本公开的实施例，查询模块602包括：第六确定单元、第一遍历单元、第二遍历单元和第三遍历单元。
152.第六确定单元，用于根据查询精度，确定匹配模式，其中，匹配模式包括精确匹配和模糊匹配。
153.第一遍历单元，用于根据查询范围和匹配模式，遍历地址定义表，得到匹配的地址信息和虚拟防火墙设备信息。
154.第二遍历单元，用于根据地址信息和虚拟防火墙设备信息，遍历地址组定义表，得到匹配的地址组信息。
155.第三遍历单元，用于根据地址组信息和查询类别，遍历多个虚拟防火墙策略，得到匹配的目标策略。
156.根据本公开的实施例，第三遍历单元包括：遍历子单元。
157.遍历子单元，用于响应于查询类别确定为关系精确查询，根据地址组信息，遍历目标虚拟防火墙的策略表，得到匹配的目标策略。
158.根据本公开的实施例，虚拟防火墙的策略查询装置600还包括：设置模块、检测模块和更新模块。
159.设置模块，用于设置定时任务。
160.检测模块，用于响应于触发定时任务，检测虚拟防火墙的当前策略配置。
161.更新模块，用于响应于检测到策略配置发生更新，更新多个虚拟防火墙策略。
162.根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或同件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。
163.例如，确定模块601、查询模块602和展示模块603中的任意多个可以合并在一个模块/单元/子单元中实现，或者其中的任意一个模块/单元/子单元可以被拆分成多个模块/单元/子单元。或者，这些模块/单元/子单元中的一个或多个模块/单元/子单元的至少部分
功能可以与其他模块/单元/子单元的至少部分功能相结合，并在一个模块/单元/子单元中实现。根据本公开的实施例，确定模块601、查询模块602和展示模块603中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，确定模块601、查询模块602和展示模块603中的至少一个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。
164.需要说明的是，本公开的实施例中虚拟防火墙的策略查询装置部分与本公开的实施例中虚拟防火墙的策略查询方法部分是相对应的，虚拟防火墙的策略查询装置部分的描述具体参考虚拟防火墙的策略查询方法部分，在此不再赘述。
165.图7示意性示出了根据本公开实施例的适于实现虚拟防火墙的策略查询方法的电子设备的框图。图7示出的电子设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。
166.如图7所示，根据本公开实施例的计算机电子设备700包括处理器701，其可以根据存储在只读存储器(rom)702中的程序或者从存储部分708加载到随机访问存储器(ram)703中的程序而执行各种适当的动作和处理。处理器701例如可以包括通用微处理器(例如cpu)、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(asic))，等等。处理器701还可以包括用于缓存用途的板载存储器。处理器701可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
167.在ram 703中，存储有电子设备700操作所需的各种程序和数据。处理器701、rom 702以及ram 703通过总线704彼此相连。处理器701通过执行rom 702和/或ram 703中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意，所述程序也可以存储在除rom 702和ram 703以外的一个或多个存储器中。处理器701也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
168.根据本公开的实施例，电子设备700还可以包括输入/输出(i/o)接口705，输入/输出(i/o)接口705也连接至总线704。电子设备700还可以包括连接至i/o接口705的以下部件中的一项或多项：包括键盘、鼠标等的输入部分706；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分707；包括硬盘等的存储部分708；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至i/o接口705。可拆卸介质711，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器710上，以便于从其上读出的计算机程序根据需要被安装入存储部分708。
169.根据本公开的实施例，根据本公开实施例的方法流程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读存储介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分709从网络上被下载和安装，和/或从可拆卸介质711被安装。在该计算机程序被处理器701执行时，执行本公开实施例的系统中限定的上述功能。根据本公开的实施例，上文描述的系统、设备、装置、模块、单元等可以通过计算机程序
模块来实现。
170.本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的方法。
171.根据本公开的实施例，计算机可读存储介质可以是非易失性的计算机可读存储介质。例如可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
172.例如，根据本公开的实施例，计算机可读存储介质可以包括上文描述的rom 702和/或ram 703和/或rom 702和ram 703以外的一个或多个存储器。
173.本公开的实施例还包括一种计算机程序产品，其包括计算机程序，该计算机程序包含用于执行本公开实施例所提供的方法的程序代码，当计算机程序产品在电子设备上运行时，该程序代码用于使电子设备实现本公开实施例所提供的虚拟防火墙的策略查询方法。
174.在该计算机程序被处理器701执行时，执行本公开实施例的系统/装置中限定的上述功能。根据本公开的实施例，上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。
175.在一种实施例中，该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中，该计算机程序也可以在网络介质上以信号的形式进行传输、分发，并通过通信部分709被下载和安装，和/或从可拆卸介质711被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。
176.根据本公开的实施例，可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码，具体地，可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如java，c++，python，“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
177.附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要
注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。本领域技术人员可以理解，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合，即使这样的组合或结合没有明确记载于本公开中。特别地，在不脱离本公开精神和教导的情况下，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
178.以上对本公开的实施例进行了描述。但是，这些实施例仅仅是为了说明的目的，而并非为了限制本公开的范围。尽管在以上分别描述了各实施例，但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围，本领域技术人员可以做出多种替代和修改，这些替代和修改都应落在本公开的范围之内。