一种生成访问控制列表规则的方法、装置及系统与流程

本发明涉及通信领域，尤其涉及一种生成访问控制列表规则的方法、装置及系统。

背景技术：

在现代通信系统中，为了保证数据的安全传输，通常在内部网络与外部网路之间加入防火墙，此防火墙允许合法数据包通过，禁止不合法数据包通过，从而实现数据的安全传输。防火墙技术的主要工作原理是采用ACL(Access Control List，访问控制列表)来实现数据的安全传输。其中，ACL中记录有多个ACL规则以便防火墙通过ACL规则确定接收到的数据包是否能够通过防火墙，从而实现数据的安全传输。

在现有技术中，具体生成ACL规则的过程为：防火墙在监测到网络安全威胁时，根据网络安全威胁来生成ACL规则，进而将生成的ACL规则进行生效设置，并将生效后的ACL规则记录至ACL中，更新ACL。并根据更新后的ACL记录的多个ACL规则进行网络安全保护。

在实现上述ACL规则生成的过程中，每个防火墙只能根据自身监测到的网络安全威胁来生成ACL规则，即生成的ACL规则只能防备自身遇到的网络安全威胁，而不能防备其他防火墙遇到的网络安全威胁。也就是说，每个防火墙均不能防备整个网络系统遇到的所有网络安全威胁，从而降低了整个网络系统的安全性。

技术实现要素：

本发明的实施例提供了一种生成访问控制列表规则的方法、装置及系统，用于防备整个网络系统遇到的所有网络安全威胁，从而提高整个网络系统的安全性。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，本发明实施例提供了一种服务器，包括：获取单元，用于获取网络安全威胁信息及安全策略信息；生成单元，用于根据所述获取单元获取的所述网络安全威胁信息及所述安全策略信息生成访问控制列表ACL规则；发送单元，用于将所述生成单元生成的所述ACL规则发送至至少一个防火墙系统。

在第一方面的第一种可能的实现方式中，所述安全策略信息包括：支持安全等级划分的安全策略信息；所述生成单元，具体用于根据所述获取单元获取的所述网络安全威胁信息及所述支持安全等级划分的安全策略信息生成不同安全等级的ACL规则；所述发送单元，具体用于将所述生成单元生成的所述不同安全等级的ACL规则发送至与安全等级对应的防火墙系统。

在第一方面的第二种可能的实现方式中，所述安全策略信息包括：支持区域划分的安全策略信息；所述生成单元，具体用于根据所述获取单元获取的所述网络安全威胁信息及所述支持区域划分的安全策略信息生成不同区域的ACL规则；所述发送单元，具体用于将所述生成单元生成的所述不同区域的ACL规则发送至与区域对应的防火墙系统。

在第一方面的第三种可能的实现方式中，所述安全策略信息包括：支持安全等级划分且支持区域划分的安全策略信息；所述生成单元，具体用于根据所述获取单元获取的所述网络安全威胁信息及所述支持安全等级划分且支持区域划分的安全策略信息生成不同区域的不同安全等级的ACL规则；所述发送单元，具体用于将所述生成单元生成的所述不同区域的不同安全等级的ACL规则发送至与所述区域对应的防火墙系统。

结合第一方面，或第一方面的第一至第三任一种可能的实现方式，在第一方面的第四种可能的实现方式中，所述获取单元，还用于获取第一信息；其中，所述第一信息包括第一ACL规划信息和/或用户使用需求信息；所述生成单元，具体用于在所述第一信息包括所述第一ACL规划信息的情况下，根据所述第一ACL规划信息、所述网络安全威胁信息及所述安全策略信息生成所述ACL规则；所述生成单元，具体用于在所述第一信息包括所述用户使用需求信息的情况下，根据所述用户使用需求信息，所述网络安全威胁信息及所述安全策略信息生成所述ACL规则；所述生成单元，具体用于在所述第一信息包括所述第一ACL规划信息及所述用户使用需求信息的情况下，根据所述第一ACL规划信息，所述用户使用需求信息，所述网络安全威胁信息及所述安全策略信息生成所述ACL规则。

结合第一方面的第四种可能的实现方式，在第一方面的第五种可能的实现方式中，所述生成单元，具体用于根据第一ACL规则，所述获取单元获取的所述网络安全威胁信息及所述安全策略信息生成所述ACL规则；或者，所述生成单元，具体用于根据第一ACL规则，所述获取单元获取的所述网络安全威胁信息，所述安全策略信息及所述第一信息生成所述ACL规则。

第二方面，本发明实施例提供了一种防火墙系统，包括：获取单元，用于获取访问控制列表ACL规则；处理单元，用于生效所述获取单元获取的所述ACL规则；所述处理单元，还用于根据生效后的所述ACL规则对第一节点进行安全保护；其中，所述第一节点为所述防火墙系统保护的节点。

在第二方面的第一种可能的实现方式中，还包括：接收单元；所述获取单元，具体用于触发所述接收单元接收服务器发送的ACL规则；或者，所述获取单元，具体用于获取用户配置的ACL规则。

结合第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，所述获取单元，具体用于触发所述接收单元接收所述服务器发送的与安全等级对应的所述ACL规则；或者，所述获取单元，具体用于触发所述接收单元接收所述服务器发送的与区域对应的所述ACL规则。

结合第二方面的第一或第二种可能的实现方式，在第二方面的第三种可能的实现方式中，还包括：发送单元；所述处理单元，具体用于触发所述接收单元接收外部网络发送的数据包；所述处理单元，具体用于根据生效后的ACL规则，确定所述接收单元接收到的所述数据包是否为安全数据包；所述处理单元，具体用于在根据所述生效后的ACL规则确定所述接收单元接收到的所述数据包为安全数据包时，触发所述发送单元将所述数据包发送至所述第一节点；所述处理单元，具体用于在根据所述生效后的ACL规则确定所述接收单元接收到的所述数据包为不安全数据包时，确定所述数据包是否为网络安全威胁信息；所述处理单元，具体用于在确定所述数据包为所述网络安全威胁信息时，触发所述发送单元将所述数据包作为所述网络安全威胁信息发送至所述服务器。

结合第二方面的第三种可能的实现方式，在第二方面的第四种可能的实现方式中，所述接收单元，还用于接收所述第一节点发送的网络安全威胁信息；所述发送单元，还用于将所述接收单元接收到的所述网络安全威胁信息发送至所述服务器。

结合第二方面，或第二方面的第一至第四任一种可能的实现方式，在第二方面的第五种可能的实现方式中，所述获取单元，还用于获取用户使用需求信息；所述发送单元，还用于将所述获取单元获取到的所述用户使用需求信息发送至所述服务器。

第三方面，本发明实施例提供了一种生成访问控制列表规则的方法，包括：服务器获取网络安全威胁信息及安全策略信息；所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成访问控制列表ACL规则；所述服务器将生成的所述ACL规则发送至至少一个防火墙系统。

在第三方面的第一种可能的实现方式中，所述安全策略信息包括：支持安全等级划分的安全策略信息；所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成所述ACL规则包括：所述服务器根据获取的所述网络安全威胁信息及所述支持安全等级划分的安全策略信息生成不同安全等级的ACL规则；所述服务器将生成的所述ACL规则发送至至少一个防火墙系统包括：所述服务器将生成的所述不同安全等级的ACL规则发送至与安全等级对应的防火墙系统。

在第三方面的第二种可能的实现方式中，所述安全策略信息包括：支持区域划分的安全策略信息；所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成所述ACL规则包括：所述服务器根据获取的所述网络安全威胁信息及所述支持区域划分的安全策略信息生成不同区域的ACL规则；所述服务器将生成的所述ACL规则发送至至少一个防火墙系统包括：所述服务器将生成的所述不同区域的ACL规则发送至与区域对应的防火墙系统。

在第三方面的第三种可能的实现方式中，所述安全策略信息包括：支持安全等级划分且支持区域划分的安全策略信息；所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成所述ACL规则包括：所述服务器根据获取的所述网络安全威胁信息及所述支持安全等级划分且支持区域划分的安全策略信息生成不同区域的不同安全等级的ACL规则；所述服务器将生成的所述ACL规则发送至至少一个防火墙系统包括：所述服务器将所述不同区域的不同安全等级的ACL规则发送至与所述区域对应的防火墙系统。

结合第三方面，或第三方面的第一至第三任一种可能的实现方式，在第三方面的第四种可能的实现方式中，在所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成所述ACL规则之前，还包括：所述服务器获取第一信息；其中，所述第一信息包括第一ACL规划信息和/或用户使用需求信息；所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成所述ACL规则包括：在所述第一信息包括所述第一ACL规划信息的情况下，所述服务器根据获取的所述第一ACL规划信息、所述网络安全威胁信息及所述安全策略信息生成所述ACL规则；在所述第一信息包括所述用户使用需求信息的情况下，所述服务器根据获取的所述用户使用需求信息，所述网络安全威胁信息及所述安全策略信息生成所述ACL规则；在所述第一信息包括所述第一ACL规划信息及所述用户使用需求信息的情况下，所述服务器根据获取的所述第一ACL规划信息，所述用户使用需求信息，所述网络安全威胁信息及所述安全策略信息生成所述ACL规则。

结合第三方面的第四种可能的实现方式，在第三方面的第五种可能的实现方式中，所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成所述ACL规则包括：所述服务器根据第一ACL规则，所述网络安全威胁信息，所述安全策略信息及所述第一信息生成所述ACL规则。

第四方面，本发明实施例提供了一种生成访问控制列表规则的方法，包括：防火墙系统获取访问控制列表ACL规则；所述防火墙系统生效获取的所述ACL规则；所述防火墙系统根据生效后的所述ACL规则对第一节点进行安全保护；所述第一节点为所述防火墙系统保护的节点。

在第四方面的第一种可能的实现方式中，所述防火墙系统获取所述ACL规则包括：所述防火墙系统接收服务器发送的ACL规则；或者，所述防火墙系统获取用户配置的ACL规则。

结合第四方面的第一种可能的实现方式，在第四方面的第二种可能的实现方式中，所述防火墙系统接收所述服务器发送的ACL规则包括：所述防火墙系统接收所述服务器发送的与安全等级对应的所述ACL规则；或者，所述防火墙系统接收所述服务器发送的与区域对应的所述ACL规则。

结合第四方面的第一或第二种可能的实现方式，在第四方面的第三种可能的实现方式中，所述防火墙系统根据生效后的所述ACL规则对第一节点进行安全保护包括：所述防火墙系统接收外部网络发送的数据包；所述防火墙系统根据生效后的ACL规则，确定接收到的所述数据包是否为安全数据包；若所述防火墙系统根据所述生效后的ACL规则确定接收到的所述数据包为安全数据包，则所述防火墙系统将接收到的所述数据包发送至所述第一节点；若所述防火墙系统根据所述生效后的ACL规则确定接收到的所述数据包为不安全数据包，则所述防火墙系统确定所述数据包是否为网络安全威胁信息；若防火墙系统确定所述数据包为所述网络安全威胁信息，则所述防火墙系统将所述数据包作为所述网络安全威胁信息发送至所述服务器。

结合第四方面的第三种可能的实现方式，在第四方面的第四种可能的实现方式中，还包括：所述防火墙系统接收所述第一节点发送的网络安全威胁信息，并将接收到的所述网络安全威胁信息发送至所述服务器。

结合第四方面的第一至第四任一种可能的实现方式，在第四方面的第五种可能的实现方式中，还包括：所述防火墙系统获取用户使用需求信息，并将获取到的所述用户使用需求信息发送至所述服务器。

本发明实施例提供了一种生成访问控制列表规则的方法、装置及系统，服务器在获取到网络安全威胁信息及安全策略信息后，根据获取的网络安全威胁信息及安全策略信息生成访问控制列表ACL规则，并将生成的ACL规则分别发送至对应的防火墙系统。这样，由于服务器获取到的网络安全威胁信息为整个网络系统中遇到的安全威胁信息，因此根据此安全威胁信息及安全策略信息生成的ACL规则可以防备整个网络系统遇到的所有网络安全威胁，从而提高了整个网络系统的安全性。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种服务器的功能示意图；

图2为本发明实施例提供的一种防火墙系统的功能示意图；

图3为本发明实施例提供的另一种防火墙系统的功能示意图；

图4为本发明实施例提供的一种生成访问控制列表规则的流程示意图；

图5为本发明实施例提供的另一种生成访问控制列表规则的流程示意图；

图6为本发明实施例提供的另一种生成访问控制列表规则的流程示意图；

图7为本发明实施例提供的一种服务器的结构示意图；

图8为本发明实施例提供的一种防火墙系统的结构示意图；

图9为本发明实施例提供的一种生成访问控制列表规则的系统的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，其为本发明实施例提供的一种服务器的功能示意图，可参考图1所示，该服务器包括：获取单元101，生成单元102及发送单元103。

所述获取单元101，用于获取网络安全威胁信息及安全策略信息。

其中，所述网络安全威胁信息的包头信息中包括源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息。

具体的，所述获取单元101可以接收防火墙系统发送的网络安全威胁信息；所述获取单元101获取的安全策略信息为接收用户根据需求配置的过滤规则信息。

需要说明的是，所述获取单元101还可以根据其他方式获取网络安全威胁信息及安全策略信息，本发明对此不作限制。

进一步的，所述安全策略信息包括：支持安全等级划分的安全策略信息；或者，

所述安全策略信息包括：支持区域划分的安全策略信息；或者，

所述安全策略信息包括：支持安全等级划分且支持区域划分的安全策略信息。

所述生成单元102，用于根据所述获取单元101获取的所述网络安全威胁信息及所述安全策略信息生成访问控制列表ACL(Access Control List，访问控制列表)规则。

具体的，所述生成单元102根据获取的网络安全威胁信息及安全策略信息生成ACL规则有两种方式，具体如下：

第一种方式，所述生成单元102，在所述获取单元101接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据所述获取单元101获取的用户配置的安全策略信息确定此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，并根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与可以通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为允许指令的ACL规则。

第二种方式，所述生成单元102，在所述获取单元101接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据所述获取单元101获取的用户配置的安全策略信息确定此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，从而根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与不允许通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为禁止指令的ACL规则。

进一步的，所述生成单元102根据安全策略信息的不同，生成的ACL规则也不同，具体为：

在所述安全策略信息包括：支持安全等级划分的安全策略信息的情况下，所述生成单元102，具体用于根据所述获取单元101获取的所述网络安全威胁信息及所述支持安全等级划分的安全策略信息生成不同安全等级的ACL规则。

具体的，所述生成单元102，在安全策略信息包括支持安全等级划分的安全策略信息的情况下，在所述获取单元101接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据所述获取单元101获取的用户配置的支持安全等级划分的安全策略信息，确定在每一个安全等级下，此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，从而根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与每一个安全等级下允许通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个安全等级对应的ACL规则。

需要说明的是，所述生成单元102根据网络安全威胁信息与支持安全等级划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为禁止指令的每一个安全等级对应的ACL规则的方法，可参考所述生成单元102根据此网络安全威胁信息与支持安全等级划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个安全等级对应的ACL规则的方法，本发明在此不再赘述。

在所述安全策略信息包括：支持区域划分的安全策略信息的情况下，所述生成单元102，具体用于根据所述获取单元101获取的所述网络安全威胁信息及所述支持区域划分的安全策略信息生成不同区域的ACL规则。

具体的，所述生成单元102，在安全策略信息包括支持区域划分的安全策略信息的情况下，在所述获取单元101接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据所述获取单元101获取的用户配置的支持区域划分的安全策略信息，确定在每一个区域下，此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，从而根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与每一个区域下允许通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个区域对应的ACL规则。

需要说明的是，所述生成单元102根据网络安全威胁信息与支持区域划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为禁止指令的每一个区域对应的ACL规则的方法，可参考所述生成单元102根据此网络安全威胁信息与支持区域划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个区域的对应ACL规则的方法，本发明在此不再赘述。

在所述安全策略信息包括：支持安全等级划分且支持区域划分的安全策略信息的情况下，所述生成单元102，具体用于根据所述获取单元101获取的所述网络安全威胁信息及所述支持安全等级划分且支持区域划分的安全策略信息生成不同区域的不同安全等级的ACL规则。

具体的，所述生成单元102，在安全策略信息包括支持安全等级划分且支持区域划分的安全策略信息的情况下，在所述获取单元101接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据所述获取单元101获取的用户配置的支持区域划分的安全策略信息，确定在每一个区域的每一个安全等级下，此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，从而根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与每一个区域的每一个安全等级下允许通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个区域的每一个安全等级对应的ACL规则。

需要说明的是，所述生成单元102根据网络安全威胁信息与支持安全等级划分且支持区域划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为禁止指令的每一个区域的每一个安全等级的ACL规则的方法，可参考所述生成单元102根据此网络安全威胁信息与支持安全等级划分且支持区域划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个区域的每一个安全等级对应的ACL规则的方法，本发明在此不再赘述。

所述发送单元103，用于将所述生成单元102生成的所述ACL规则发送至至少一个防火墙系统。

进一步的，在安全策略信息包括：支持安全等级划分的安全策略信息的情况下，所述发送单元103，具体用于将所述生成单元102生成的所述不同安全等级的ACL规则发送至与安全等级对应的防火墙系统。

具体的，所述发送单元103在所述生成单元102根据支持安全等级划分的安全策略信息生成不同安全等级的ACL规则时，根据用户配置的每个防火墙系统对应的保护节点的安全等级的不同，确定每个防火墙系统对应的保护节点的安全等级，并将生成的不同安全等级的ACL规则分别发送至与保护节点的安全等级对应的防火墙系统。

在安全策略信息包括：支持区域划分的安全策略信息的情况下，所述发送单元103，具体用于将所述生成单元102生成的所述不同区域的ACL规则发送至与区域对应的防火墙系统。

具体的，所述发送单元103在所述生成单元102根据支持区域划分的安全策略信息生成不同区域的ACL规则时，根据用户配置的每个防火墙系统对应的保护节点的区域的不同，确定每个防火墙系统对应的保护节点的区域，并将生成的不同区域的ACL规则分别发送至与保护节点的区域对应的防火墙系统。

在安全策略信息包括：支持安全等级划分且支持区域划分的安全策略信息的情况下，所述发送单元103，具体用于将所述生成单元102所述不同区域的不同安全等级的ACL规则发送至与所述区域对应的防火墙系统。

具体的，所述发送单元103，在所述生成单元102根据支持安全等级划分且支持区域划分的安全策略信息生成不同区域的不同安全等级的ACL规则时，根据用户配置的每个防火墙系统对应的保护节点的区域的不同，确定每个防火墙系统对应的保护节点所在的区域及安全等级，并将生成的不同区域的不同安全等级的ACL规则分别发送至与保护节点所在的区域对应的防火墙系统。

进一步的，所述获取单元101，还用于获取第一信息。

其中，所述第一信息包括第一ACL规划信息和/或用户使用需求信息。所述用户使用需求信息为用户根据新的需求将之前确定为不安全的数据包确定为安全的数据包的信息。

所述生成单元，具体用于在所述第一信息包括所述第一ACL规划信息的情况下，根据所述第一ACL规划信息、所述网络安全威胁信息及所述安全策略信息生成所述ACL规则；

所述生成单元，具体用于在所述第一信息包括所述用户使用需求信息的情况下，根据所述用户使用需求信息，所述网络安全威胁信息及所述安全策略信息生成所述ACL规则；

所述生成单元，具体用于在所述第一信息包括所述第一ACL规划信息及所述用户使用需求信息的情况下，根据所述第一ACL规划信息，所述用户使用需求信息，所述网络安全威胁信息及所述安全策略信息生成所述ACL规则。

需要说明的是，所述生成单元102根据所述获取单元101获取的第一ACL规划信息、网络安全威胁信息及安全策略信息生成的ACL规则是对第一ACL规划信息的更新，或者是新生成的ACL规则；所述生成单元102根据所述获取单元101获取的第一ACL规划信息、用户使用需求信息，网络安全威胁信息及安全策略信息生成的ACL规则是对第一ACL规划信息的更新，或者是新生成的ACL规则，本发明对此不做限制。

所述生成单元102，具体用于根据第一ACL规则，所述获取单元101获取的所述网络安全威胁信息及所述安全策略信息生成所述ACL规则。

其中，所述第一ACL规则为所述生成单元102在根据当前获取到的第一ACL规划信息，和/或网络安全威胁信息及安全策略信息生成ACL规则之前的所有ACL规则的集合。

需要说明的是，所述生成单元102根据获取的第一ACL规则、网络安全威胁信息及安全策略信息生成的ACL规则是对第一ACL规则的更新，或者是新生成的ACL规则，本发明对此不做限制。

或者，所述生成单元102，具体用于根据第一ACL规则，所述获取单元101获取的所述网络安全威胁信息，所述安全策略信息及所述第一信息生成所述ACL规则。

需要说明的是，所述生成单元102根据获取的第一ACL规则、网络安全威胁信息，安全策略信息及第一ACL规划信息生成的ACL规则是新生成的ACL规则；或者是对第一ACL规则的更新，或者是对第一ACL规划信息的更新；所述生成单元102根据获取的第一ACL规则、网络安全威胁信息，安全策略信息，第一ACL规划信息及用户使用需求信息生成的ACL规则是新生成的ACL规则；或者是对第一ACL规则的更新，或者是对第一ACL规划信息的更新；本发明对此不做限制。

需要说明的是，本发明所述服务器是集中式服务器，或者是分布式服务器，本发明对此不作限制。

需要说明的是，本发明对服务器的部署方案不做限制，例如，服务器可以为独立的设备；也可以与其他功能的服务器部署在同一个设备；也可以与整个网络系统中的任一个传输节点部署在同一个设备；也可以与其中一个防火墙系统部署在同一个设备。

本发明实施例提供了一种服务器，服务器在获取到网络安全威胁信息及安全策略信息后，根据获取的网络安全威胁信息及安全策略信息生成访问控制列表ACL规则，并将生成的ACL规则分别发送至对应的防火墙系统。这样，由于服务器获取到的网络安全威胁信息为整个网络系统中遇到的安全威胁信息，因此根据此安全威胁信息及安全策略信息生成的ACL规则可以防备整个网络系统遇到的所有网络安全威胁，从而提高了整个网络系统的安全性。

可以参考如图1所示的服务器的实施例的实现，相对应的，如图2所示，提供一种防火墙系统的功能示意图，该防火墙系统包括：获取单元201及处理单元202。

所述获取单元201，用于获取访问控制列表ACL规则。

进一步的，所述防火墙系统，如图3所示，还包括：接收单元203。

具体的，所述获取单元201获取ACL规则有两种方式，具体如下：

第一种方式，所述获取单元201，具体用于触发所述接收单元203接收服务器发送的ACL规则。

进一步的，所述获取单元201，具体用于触发所述接收单元203接收所述服务器发送的与安全等级对应的所述ACL规则。

或者，所述获取单元201，具体用于触发所述接收单元203接收所述服务器发送的与区域对应的所述ACL规则。

需要说明的是，所述接收单元203接收服务器发送的与区域对应的ACL规则包括：所述接收单元203接收服务器发送的根据支持区域划分的安全策略信息生成的不同区域的ACL规则中的，与防火墙系统管理的区域对应的ACL规则；或者，所述接收单元203接收服务器发送的根据支持安全等级划分且支持区域划分的安全策略信息生成的不同区域的不同安全等级的ACL规则中，与防火墙系统管理的保护节点的安全等级及区域对应的ACL规则。

第二种方式，所述获取单元201，具体用于获取用户配置的ACL规则。

也就是说，所述获取单元201可以获取用户根据网络安全威胁信息预先配置的ACL规则。

所述处理单元202，用于生效所述获取单元201获取的所述ACL规则。

具体的，所述处理单元202，在所述获取单元201触发所述接收单元203接收到服务器发送的ACL规则或所述获取单元201获取到用户配置的ACL规则时，将接收到的服务器发送的ACL规则或用户配置的ACL规则添加至ACL列表中，更新ACL列表，并将更新后的ACL列表进行生效，以使得所述处理单元202在触发所述接收单元203接收到外部网络发送的数据包时，将接收到的此数据包与更新后的ACL列表进行匹配，从而完成所述处理单元202对接收到的此数据包的监控。

需要说明的是，所述获取单元201在没有触发所述接收单元203接收服务器发送的ACL规则或用户配置的ACL规则时，则不更新ACL列表，进而也不对不更新ACL列表进行生效。

所述处理单元202，还用于根据生效后的所述ACL规则对第一节点进行安全保护。

其中，所述第一节点为所述防火墙系统保护的节点。

进一步的，所述防火墙系统，如图3所示，还包括：发送单元204。

具体的，所述处理单元202根据生效后的ACL规则对第一节点进行安全保护的过程如下：

所述处理单元202，具体用于触发所述接收单元203接收外部网络发送的数据包；并根据生效后的ACL规则，确定所述接收单元203接收到的所述数据包是否为安全数据包；在根据所述生效后的ACL规则确定所述接收单元203接收到的所述数据包为安全数据包时，触发所述发送单元204将所述数据包发送至所述第一节点。

也就是说，所述处理单元202在触发所述接收单元203接收到外部网络发送的数据包时，解析出此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并将解析出的此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与生效后的执行指令为允许指令的ACL规则进行匹配，若将解析出的此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与生效后的执行指令为允许指令的任一条ACL规则中定义的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息匹配，则确定此数据包为安全数据包，并对此数据包执行生效后的执行指令为允许指令的ACL规则中定义的允许指令，此时，触发所述发送单元204将此数据包发送至防火墙系统管理的第一节点。

所述处理单元202，在根据所述生效后的ACL规则确定所述接收单元203接收到的所述数据包为不安全数据包时，确定所述数据包是否为网络安全威胁信息；在确定所述数据包为所述网络安全威胁信息时，触发所述发送单元204将所述数据包作为所述网络安全威胁信息发送至所述服务器。

也就是说，所述处理单元202，在解析出此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与生效后的执行指令为允许指令的任一条ACL规则中定义的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息不匹配时，则确定此数据包为不安全数据包，此时，确定此数据包是否为网络安全威胁信息，若确定此数据包为网络安全威胁信息，此时，触发所述发送单元204将此数据包以网络安全威胁信息的格式发送至服务器。

需要说明的是，所述处理单元202在确定接收到的数据包是否为安全数据包时，还可以将此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与生效后的执行指令为禁止指令的ACL规则进行匹配，本发明对此不作限制。

需要说明的是，本发明对防火墙系统的部署方案不做限制，例如，防火墙系统可以为独立的设备；也可以与整个网络系统中的传输节点或服务器或第一节点部署在同一个设备；还可以将防火墙系统中的不同功能模块分别装载在多个不同的设备中；所述防火墙系统中的不同功能模块可以为物理功能模块，也可以为逻辑功能模块。

进一步的，所述接收单元203，还用于接收所述第一节点发送的网络安全威胁信息。

所述发送单元204，还用于将所述接收单元203接收到的所述网络安全威胁信息发送至所述服务器。

所述获取单元201，还用于获取用户使用需求信息。

其中，所述用户使用需求信息为用户根据新的需求将之前确定为不安全的数据包确定为安全的数据包的信息。

所述发送单元204，还用于将所述获取单元201获取的所述用户使用需求信息发送至所述服务器。

本发明实施例提供了一种防火墙系统，在获取到ACL规则时，将获取到的ACL规则进行生效，并根据生效后的ACL规则对第一节点进行安全保护。这样，由于服务器获取到的网络安全威胁信息为整个网络系统中遇到的安全威胁信息，因此根据此安全威胁信息及安全策略信息生成的ACL规则可以防备整个网络系统遇到的所有网络安全威胁，从而提高了整个网络系统的安全性。

本发明实施例提供了一种生成访问控制列表规则的方法，如图4所示，包括：

401、服务器获取网络安全威胁信息及安全策略信息。

其中，所述网络安全威胁信息的包头信息中包括源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息。

具体的，服务器可以接收防火墙系统发送的网络安全威胁信息；服务器获取的安全策略信息为接收用户根据需求配置的过滤规则信息。

需要说明的是，服务器还可以根据其他方式获取网络安全威胁信息及安全策略信息，本发明对此不作限制。

进一步的，所述安全策略信息包括：支持安全等级划分的安全策略信息；或者，

所述安全策略信息包括：支持区域划分的安全策略信息；或者，

所述安全策略信息包括：支持安全等级划分且支持区域划分的安全策略信息。

402、所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成ACL规则。

具体的，服务器根据获取的网络安全威胁信息及安全策略信息生成ACL规则有两种方式，具体如下：

第一种方式，服务器在接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据获取的用户配置的安全策略信息确定此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，并根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与可以通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为允许指令的ACL规则。

第二种方式，服务器在接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据获取的用户配置的安全策略信息确定此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，从而根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与不允许通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为禁止指令的ACL规则。

进一步的，服务器根据安全策略信息的不同，生成的ACL规则也不同，具体为：

在所述安全策略信息包括：支持安全等级划分的安全策略信息的情况下，所述服务器根据获取的所述网络安全威胁信息及所述支持安全等级划分的安全策略信息生成不同安全等级的ACL规则。

具体的，在安全策略信息包括支持安全等级划分的安全策略信息的情况下，服务器在接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据获取的用户配置的支持安全等级划分的安全策略信息，确定在每一个安全等级下，此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，从而根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与每一个安全等级下允许通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个安全等级对应的ACL规则。

需要说明的是，服务器根据网络安全威胁信息与支持安全等级划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为禁止指令的每一个安全等级对应的ACL规则的方法，可参考服务器根据此网络安全威胁信息与支持安全等级划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个安全等级对应的ACL规则的方法，本发明在此不再赘述。

在所述安全策略信息包括：支持区域划分的安全策略信息的情况下，所述服务器根据获取的所述网络安全威胁信息及所述支持区域划分的安全策略信息生成不同区域的ACL规则。

具体的，在安全策略信息包括支持区域划分的安全策略信息的情况下，服务器在接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据获取的用户配置的支持区域划分的安全策略信息，确定在每一个区域下，此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，从而根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与每一个区域下允许通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个区域对应的ACL规则。

需要说明的是，服务器根据网络安全威胁信息与支持区域划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为禁止指令的每一个区域对应的ACL规则的方法，可参考服务器根据此网络安全威胁信息与支持区域划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个区域的对应ACL规则的方法，本发明在此不再赘述。

在所述安全策略信息包括：支持安全等级划分且支持区域划分的安全策略信息的情况下，所述服务器根据获取的所述网络安全威胁信息及所述支持安全等级划分且支持区域划分的安全策略信息生成不同区域的不同安全等级的ACL规则。

具体的，在安全策略信息包括支持安全等级划分且支持区域划分的安全策略信息的情况下，服务器在接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据获取的用户配置的支持区域划分的安全策略信息，确定在每一个区域的每一个安全等级下，此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，从而根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与每一个区域的每一个安全等级下允许通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个区域的每一个安全等级对应的ACL规则。

需要说明的是，服务器根据网络安全威胁信息与支持安全等级划分且支持区域划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为禁止指令的每一个区域的每一个安全等级的ACL规则的方法，可参考服务器根据此网络安全威胁信息与支持安全等级划分且支持区域划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个区域的每一个安全等级对应的ACL规则的方法，本发明在此不再赘述。

403、所述服务器将生成的所述ACL规则发送至至少一个防火墙系统。

进一步的，在安全策略信息包括：支持安全等级划分的安全策略信息的情况下，所述服务器将生成的所述不同安全等级的ACL规则发送至与安全等级对应的防火墙系统。

具体的，服务器在根据支持安全等级划分的安全策略信息生成不同安全等级的ACL规则时，根据用户配置的每个防火墙系统对应的保护节点的安全等级的不同，确定每个防火墙系统对应的保护节点的安全等级，并将生成的不同安全等级的ACL规则分别发送至与保护节点的安全等级对应的防火墙系统。

示例性的，假设用户配置的防火墙系统A对应的保护节点的安全等级为安全等级1，防火墙系统B对应的保护节点的安全等级为安全等级2，则服务器根据安全等级1的安全策略信息生成安全等级1的ACL规则，根据安全等级2的安全策略信息生成安全等级2的ACL规则，并将生成的安全等级1的ACL规则发送至防火墙系统A；将生成的安全等级2的ACL规则发送至防火墙系统B。

在安全策略信息包括：支持区域划分的安全策略信息的情况下，所述服务器将生成的所述不同区域的ACL规则发送至与区域对应的防火墙系统。

具体的，服务器在根据支持区域划分的安全策略信息生成不同区域的ACL规则时，根据用户配置的每个防火墙系统对应的保护节点的区域的不同，确定每个防火墙系统对应的保护节点的区域，并将生成的不同区域的ACL规则分别发送至与保护节点的区域对应的防火墙系统。

示例性的，假设用户配置的防火墙系统A对应的保护节点的区域为区域1，防火墙系统B对应的保护节点的区域为区域2，则服务器根据区域1的安全策略信息生成区域1的ACL规则，根据区域2的安全策略信息生成区域2的ACL规则，并将生成的区域1的ACL规则发送至防火墙系统A；将生成的区域2的ACL规则发送至防火墙系统B。

在安全策略信息包括：支持安全等级划分且支持区域划分的安全策略信息的情况下，所述服务器将所述不同区域的不同安全等级的ACL规则发送至与所述区域对应的防火墙系统。

具体的，服务器在根据支持安全等级划分且支持区域划分的安全策略信息生成不同区域的不同安全等级的ACL规则时，根据用户配置的每个防火墙系统对应的保护节点的区域的不同，确定每个防火墙系统对应的保护节点所在的区域及安全等级，并将生成的不同区域的不同安全等级的ACL规则分别发送至与保护节点所在的区域对应的防火墙系统。

示例性的，假设用户配置的防火墙系统A的保护节点有节点1与节点2，节点1的安全等级为安全等级1，节点2的安全等级为安全等级2，且节点1与节点2对应的区域为区域1，防火墙系统B的保护节点有节点3与节点4，节点3的安全等级为安全等级1，节点4的安全等级为安全等级2，且节点3与节点4对应的区域为区域2，则服务器根据区域1的安全等级1的安全策略信息生成区域1的安全等级1的ACL规则，根据区域1的安全等级2的安全策略信息生成区域1的安全等级2的ACL规则，根据区域2的安全等级1的安全策略信息生成区域2的安全等级1的ACL规则，并将生成的区域1的安全等级1的ACL规则及区域1的安全等级2的ACL规则发送至防火墙系统A；将生成的区域2的安全等级1的ACL规则及区域2的安全等级2的ACL规则发送至防火墙系统B。

需要说明的是，本发明所述服务器可以是集中式服务器，或者是分布式服务器，本发明对此不作限制。

需要说明的是，本发明对服务器的部署方案不做限制，例如，服务器可以为独立的设备；也可以与其他功能的服务器部署在同一个设备；也可以与整个网络系统中的任一个传输节点部署在同一个设备；也可以与其中一个防火墙系统部署在同一个设备。

本发明实施例提供了一种生成访问控制列表规则的方法，服务器在获取到网络安全威胁信息及安全策略信息后，根据获取的网络安全威胁信息及安全策略信息生成访问控制列表ACL规则，并将生成的ACL规则分别发送至对应的防火墙系统。这样，由于服务器获取到的网络安全威胁信息为整个网络系统中遇到的安全威胁信息，因此根据此安全威胁信息及安全策略信息生成的ACL规则可以防备整个网络系统遇到的所有网络安全威胁，从而提高了整个网络系统的安全性。

本发明实施例提供了一种生成访问控制列表规则的方法，如图5所示，包括：

501、防火墙系统获取ACL规则。

具体的，防火墙系统获取ACL规则有两种方式，具体如下：

第一种方式，所述防火墙系统接收服务器发送的ACL规则。

进一步的，所述防火墙系统接收所述服务器发送的与安全等级对应的所述ACL规则。

或者，所述防火墙系统接收所述服务器发送的与区域对应的所述ACL规则。

需要说明的是，防火墙系统接收服务器发送的与区域对应的ACL规则包括：防火墙系统接收服务器发送的根据支持区域划分的安全策略信息生成的不同区域的ACL规则中的，与防火墙系统管理的区域对应的ACL规则；或者，防火墙系统接收服务器发送的根据支持安全等级划分且支持区域划分的安全策略信息生成的不同区域的不同安全等级的ACL规则中，与防火墙系统管理的保护节点的安全等级及区域对应的ACL规则。

第二种方式，所述防火墙系统获取用户配置的ACL规则。

也就是说，防火墙系统可以获取用户根据网络安全威胁信息预先配置的ACL规则。

502、所述防火墙系统生效获取的所述ACL规则。

具体的，防火墙系统在接收到服务器发送的ACL规则或用户配置的ACL规则时，将接收到的服务器发送的ACL规则或用户配置的ACL规则添加至ACL列表中，更新ACL列表，并将更新后的ACL列表进行生效，以使得防火墙系统在接收到外部网络发送的数据包时，将接收到的此数据包与更新后的ACL列表进行匹配，从而完成防火墙系统对接收到的此数据包的监控。

需要说明的是，防火墙系统在没有接收到服务器发送的ACL规则或用户配置的ACL规则时，则不更新ACL列表，进而也不对不更新ACL列表进行生效。

503、所述防火墙系统根据生效后的所述ACL规则对第一节点进行安全保护。

其中，所述第一节点为所述防火墙系统保护的节点。

具体的，防火墙系统根据生效后的ACL规则对第一节点进行安全保护的过程如下：

所述防火墙系统接收外部网络发送的数据包，并根据生效后的ACL规则，确定接收到的所述数据包是否为安全数据包；若所述防火墙系统根据所述生效后的ACL规则确定接收到的所述数据包为安全数据包，则所述防火墙系统将接收到的所述数据包发送至所述第一节点。

也就是说，防火墙系统在接收到外部网络发送的数据包时，解析出此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并将解析出的此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与生效后的执行指令为允许指令的ACL规则进行匹配，若将解析出的此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与生效后的执行指令为允许指令的任一条ACL规则中定义的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息匹配，则确定此数据包为安全数据包，并对此数据包执行生效后的执行指令为允许指令的ACL规则中定义的允许指令，从而将此数据包发送至防火墙系统管理的第一节点。

若所述防火墙系统根据所述生效后的ACL规则确定接收到的所述数据包为不安全数据包，则所述防火墙系统确定所述数据包是否为网络安全威胁信息；若防火墙系统确定所述数据包为所述网络安全威胁信息，则所述防火墙系统将所述数据包作为所述网络安全威胁信息发送至所述服务器。

也就是说，若防火墙系统将解析出此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与生效后的执行指令为允许指令的任一条ACL规则中定义的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息不匹配，则确定此数据包为不安全数据包，此时，确定此数据包是否为网络安全威胁信息，若确定此数据包为网络安全威胁信息，则防火墙系统将此数据包以网络安全威胁信息的格式发送至服务器。

需要说明的是，防火墙系统在确定接收到的数据包是否为安全数据包时，还可以将此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与生效后的执行指令为禁止指令的ACL规则进行匹配，本发明对此不作限制。

需要说明的是，本发明对防火墙系统的部署方案不做限制，例如，防火墙系统可以为独立的设备；也可以与整个网络系统中的传输节点或服务器或第一节点部署在同一个设备；还可以将防火墙系统中的不同功能模块分别装载在多个不同的设备中；所述防火墙系统中的不同功能模块可以为物理功能模块，也可以为逻辑功能模块。

本发明实施例提供了一种生成访问控制列表规则的方法，防火墙系统在获取到ACL规则时，将获取到的ACL规则进行生效，并根据生效后的ACL规则对第一节点进行安全保护。这样，由于服务器获取到的网络安全威胁信息为整个网络系统中遇到的安全威胁信息，因此根据此安全威胁信息及安全策略信息生成的ACL规则可以防备整个网络系统遇到的所有网络安全威胁，从而提高了整个网络系统的安全性。

本发明实施例提供了一种生成访问控制列表规则的方法，如图6所示，包括：

需要说明的是，防火墙系统获取网络安全威胁信息，用户使用需求信息及服务器获取安全策略信息没有先后顺序，即步骤601，步骤602及步骤603没有先后顺序，本发明对此不作限制。

601、所述防火墙系统获取网络安全威胁信息，并将获取到的所述网络安全威胁信息发送至服务器。所述服务器接收所述防火墙系统发送的所述网络安全威胁信息。

其中，所述第一节点为所述防火墙系统保护的节点。

具体的，所述防火墙系统接收所述第一节点发送的网络安全威胁信息，并将接收到的所述网络安全威胁信息发送至所述服务器，此时，服务器接收防火墙系统发送的网络安全威胁信息。

602、所述防火墙系统获取用户使用需求信息，并将获取到的所述用户使用需求信息发送至所述服务器。所述服务器获取第一信息。

其中，所述第一信息包括第一ACL规划信息和/或用户使用需求信息。所述第一ACL规划信息为用户配置的ACL规则。所述用户使用需求信息为用户根据新的需求确定的安全数据包信息，和/或不安全数据包信息。

具体的，防火墙系统接收第一节点发送的用户使用需求信息，并将接收到的用户使用需求信息发送至服务器。此时，服务器接收防火墙系统发送的用户使用需求信息。

需要说明的是，防火墙系统还可以接收第一节点发送的携带有用户使用需求信息的消息，并在此消息中解析出携带的用户使用需求信息，进而将解析出的用户使用需求信息发送至服务器，本发明对此不做限制。

603、所述服务器获取安全策略信息。

具体的，服务器获取的安全策略信息为接收用户根据需求配置的过滤规则信息。

进一步的，所述安全策略信息包括：支持安全等级划分的安全策略信息；或者，

所述安全策略信息包括：支持区域划分的安全策略信息；或者，

所述安全策略信息包括：支持安全等级划分且支持区域划分的安全策略信息。

604、所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成ACL规则。

具体的，服务器根据获取的网络安全威胁信息及安全策略信息生成ACL规则的方法，可参考步骤402，本发明在此不再赘述。

进一步的，在第一信息包括第一ACL规划信息的情况下，所述服务器根据获取的所述第一ACL规划信息、所述网络安全威胁信息及所述安全策略信息生成所述ACL规则。

具体的，服务器根据获取的第一ACL规划信息、网络安全威胁信息及安全策略信息生成ACL规则的方法可参考步骤402，本发明在此不再赘述。

在所述第一信息包括用户使用需求信息的情况下，所述服务器根据获取的所述用户使用需求信息，所述网络安全威胁信息及所述安全策略信息生成所述ACL规则。

具体的，服务器根据获取的用户使用需求信息，网络安全威胁信息及安全策略信息生成ACL规则的方法可参考步骤402，本发明在此不再赘述。

在所述第一信息包括第一ACL规划信息及用户使用需求信息的情况下，所述服务器根据获取的所述第一ACL规划信息、所述用户使用需求信息，所述网络安全威胁信息及所述安全策略信息生成所述ACL规则。

具体的，服务器根据获取的第一ACL规划信息、用户使用需求信息，网络安全威胁信息及安全策略信息生成ACL规则的方法可参考步骤402，本发明在此不再赘述。

需要说明的是，服务器根据获取的第一ACL规划信息、网络安全威胁信息及安全策略信息生成的ACL规则是对第一ACL规划信息的更新，或者是新生成的ACL规则；服务器根据获取的第一ACL规划信息、用户使用需求信息，网络安全威胁信息及安全策略信息生成的ACL规则是对第一ACL规划信息的更新，或者是新生成的ACL规则，本发明对此不做限制。

进一步的，所述服务器根据第一ACL规则，所述网络安全威胁信息及所述安全策略信息生成所述ACL规则。

其中，所述第一ACL规则为服务器在根据当前获取到的第一ACL规划信息，和/或网络安全威胁信息及安全策略信息生成ACL规则之前的所有ACL规则的集合。

具体的，服务器根据第一ACL规则，网络安全威胁信息及安全策略信息生成ACL规则的方法，可参考步骤402，本发明在此不再赘述。

需要说明的是，服务器根据获取的第一ACL规则、网络安全威胁信息及安全策略信息生成的ACL规则是对第一ACL规则的更新，或者是新生成的ACL规则，本发明对此不做限制。

或者，所述服务器根据第一ACL规则，所述网络安全威胁信息，所述安全策略信息及所述第一信息生成所述ACL规则。

具体的，服务器根据第一ACL规则，网络安全威胁信息，安全策略信息及第一信息生成ACL规则的方法，可参考步骤402，本发明在此不再赘述。

需要说明的是，服务器根据获取的第一ACL规则、网络安全威胁信息，安全策略信息及第一ACL规划信息生成的ACL规则是新生成的ACL规则；或者是对第一ACL规则的更新，或者是对第一ACL规划信息的更新；服务器根据获取的第一ACL规则、网络安全威胁信息，安全策略信息，第一ACL规划信息及用户使用需求信息生成的ACL规则是新生成的ACL规则；或者是对第一ACL规则的更新，或者是对第一ACL规划信息的更新；本发明对此不做限制。

605、所述服务器将生成的所述ACL规则发送至至少一个防火墙系统。所述防火墙系统获取所述ACL规则。

具体的，可参考步骤403与步骤501，本发明在此不再赘述。

606、所述防火墙系统生效获取的所述ACL规则。

具体的，可参考步骤502，本发明在此不再赘述。

607、所述防火墙系统根据生效后的所述ACL规则对第一节点进行安全保护。

具体的，可参考步骤503，本发明在此不再赘述。

需要说明的是，防火墙系统在将获取的ACL规则生效之后，根据生效后的ACL规则确定接收到的外部网络发送的数据包是否为网络安全威胁信息，在确定接收到的外部网络发送的数据包为网络安全威胁信息时，此时，防火墙系统获取网络安全威胁信息的方法有两种，第一种方法为防火墙系统将接收到的数据包确定为网络安全威胁信息；第二种方法为防火墙系统接收第一节点发送的网络安全威胁信息。

本发明实施例提供了一种生成访问控制列表规则的方法，服务器在获取到网络安全威胁信息及安全策略信息后，根据获取的网络安全威胁信息及安全策略信息生成访问控制列表ACL规则，并将生成的ACL规则分别发送至对应的防火墙系统，防火墙系统在接收到服务器发送的ACL规则后，生效接收到的ACL规则，并根据生效后的ACL规则对第一节点进行安全保护。这样，由于服务器获取到的网络安全威胁信息为整个网络系统中遇到的安全威胁信息，因此根据此安全威胁信息及安全策略信息生成的ACL规则可以防备整个网络系统遇到的所有网络安全威胁，从而提高了整个网络系统的安全性。

如图7所示，其为本发明实施例提供的一种服务器的结构示意图，可参考图7所示，该服务器包括：发送器701，存储器702，以及分别与发送器701、存储器702连接的处理器703。

其中，存储器702中存储一组程序代码，且处理器703用于调用存储器702中存储的程序代码。发送器701及处理器703用于执行以下操作：

所述处理器703，用于获取网络安全威胁信息及安全策略信息。

其中，所述网络安全威胁信息的包头信息中包括源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息。

具体的，所述处理器703可以接收防火墙系统发送的网络安全威胁信息；所述处理器703获取的安全策略信息为接收用户根据需求配置的过滤规则信息。

需要说明的是，所述处理器703还可以根据其他方式获取网络安全威胁信息及安全策略信息，本发明对此不作限制。

进一步的，所述安全策略信息包括：支持安全等级划分的安全策略信息；或者，

所述安全策略信息包括：支持区域划分的安全策略信息；或者，

所述安全策略信息包括：支持安全等级划分且支持区域划分的安全策略信息。

所述所述处理器703，用于根据获取的所述网络安全威胁信息及所述安全策略信息生成访问控制列表ACL规则。

具体的，所述处理器703根据获取的网络安全威胁信息及安全策略信息生成ACL规则有两种方式，具体如下：

第一种方式，所述处理器703在接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据获取的用户配置的安全策略信息确定此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，并根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与可以通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为允许指令的ACL规则。

第二种方式，所述处理器703在接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据获取的用户配置的安全策略信息确定此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，从而根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与不允许通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为禁止指令的ACL规则。

进一步的，所述处理器703根据安全策略信息的不同，生成的ACL规则也不同，具体为：

在所述安全策略信息包括：支持安全等级划分的安全策略信息的情况下，所述处理器703，具体用于根据获取的所述网络安全威胁信息及所述支持安全等级划分的安全策略信息生成不同安全等级的ACL规则。

具体的，所述处理器703，在安全策略信息包括支持安全等级划分的安全策略信息的情况下，在接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据获取的用户配置的支持安全等级划分的安全策略信息，确定在每一个安全等级下，此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，从而根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与每一个安全等级下允许通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个安全等级对应的ACL规则。

需要说明的是，所述处理器703根据网络安全威胁信息与支持安全等级划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为禁止指令的每一个安全等级对应的ACL规则的方法，可参考所述处理器703根据此网络安全威胁信息与支持安全等级划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个安全等级对应的ACL规则的方法，本发明在此不再赘述。

在所述安全策略信息包括：支持区域划分的安全策略信息的情况下，所述处理器703，具体用于根据获取的所述网络安全威胁信息及所述支持区域划分的安全策略信息生成不同区域的ACL规则。

具体的，所述处理器703，在安全策略信息包括支持区域划分的安全策略信息的情况下，在接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据获取的用户配置的支持区域划分的安全策略信息，确定在每一个区域下，此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，从而根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与每一个区域下允许通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个区域对应的ACL规则。

需要说明的是，所述处理器703根据网络安全威胁信息与支持区域划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为禁止指令的每一个区域对应的ACL规则的方法，可参考所述处理器703根据此网络安全威胁信息与支持区域划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个区域的对应ACL规则的方法，本发明在此不再赘述。

在所述安全策略信息包括：支持安全等级划分且支持区域划分的安全策略信息的情况下，所述处理器703，具体用于根据获取的所述网络安全威胁信息及所述支持安全等级划分且支持区域划分的安全策略信息生成不同区域的不同安全等级的ACL规则。

具体的，所述处理器703，在安全策略信息包括支持安全等级划分且支持区域划分的安全策略信息的情况下，在接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据获取的用户配置的支持区域划分的安全策略信息，确定在每一个区域的每一个安全等级下，此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，从而根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与每一个区域的每一个安全等级下允许通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个区域的每一个安全等级对应的ACL规则。

需要说明的是，所述处理器703根据网络安全威胁信息与支持安全等级划分且支持区域划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为禁止指令的每一个区域的每一个安全等级的ACL规则的方法，可参考所述处理器703根据此网络安全威胁信息与支持安全等级划分且支持区域划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个区域的每一个安全等级对应的ACL规则的方法，本发明在此不再赘述。

所述发送器701，用于将所述处理器703生成的所述ACL规则发送至至少一个防火墙系统。

进一步的，在安全策略信息包括：支持安全等级划分的安全策略信息的情况下，所述发送器701，具体用于将所述处理器703生成的所述不同安全等级的ACL规则发送至与安全等级对应的防火墙系统。

具体的，所述发送器701在所述处理器703根据支持安全等级划分的安全策略信息生成不同安全等级的ACL规则时，根据用户配置的每个防火墙系统对应的保护节点的安全等级的不同，确定每个防火墙系统对应的保护节点的安全等级，并将生成的不同安全等级的ACL规则分别发送至与保护节点的安全等级对应的防火墙系统。

在安全策略信息包括：支持区域划分的安全策略信息的情况下，所述发送器701，具体用于将所述处理器703生成的所述不同区域的ACL规则发送至与区域对应的防火墙系统。

具体的，所述发送器701在所述处理器703根据支持区域划分的安全策略信息生成不同区域的ACL规则时，根据用户配置的每个防火墙系统对应的保护节点的区域的不同，确定每个防火墙系统对应的保护节点的区域，并将生成的不同区域的ACL规则分别发送至与保护节点的区域对应的防火墙系统。

在安全策略信息包括：支持安全等级划分且支持区域划分的安全策略信息的情况下，所述发送器701，具体用于将所述处理器703所述不同区域的不同安全等级的ACL规则发送至与所述区域对应的防火墙系统。

具体的，所述发送器701，在所述处理器703根据支持安全等级划分且支持区域划分的安全策略信息生成不同区域的不同安全等级的ACL规则时，根据用户配置的每个防火墙系统对应的保护节点的区域的不同，确定每个防火墙系统对应的保护节点所在的区域及安全等级，并将生成的不同区域的不同安全等级的ACL规则分别发送至与保护节点所在的区域对应的防火墙系统。

进一步的，所述处理器703，还用于获取第一信息。

其中，所述第一信息包括第一ACL规划信息和/或用户使用需求信息。所述用户使用需求信息为用户根据新的需求确定的安全数据包信息，和/或不安全数据包信息。

所述处理器703，具体用于具体用于在所述第一信息包括所述第一ACL规划信息的情况下，根据所述第一ACL规划信息、所述网络安全威胁信息及所述安全策略信息生成所述ACL规则。

所述处理器703，具体用于在所述第一信息包括所述用户使用需求信息的情况下，根据所述用户使用需求信息，所述网络安全威胁信息及所述安全策略信息生成所述ACL规则。

所述处理器703，具体用于在所述第一信息包括所述第一ACL规划信息及所述用户使用需求信息的情况下，根据所述第一ACL规划信息，所述用户使用需求信息，所述网络安全威胁信息及所述安全策略信息生成所述ACL规则。

需要说明的是，所述处理器703根据获取的第一ACL规划信息、网络安全威胁信息及安全策略信息生成的ACL规则是对第一ACL规划信息的更新，或者是新生成的ACL规则；所述处理器703根据获取的第一ACL规划信息、用户使用需求信息，网络安全威胁信息及安全策略信息生成的ACL规则是对第一ACL规划信息的更新，或者是新生成的ACL规则，本发明对此不做限制。

所述处理器703，具体用于根据第一ACL规则，所述网络安全威胁信息及所述安全策略信息生成所述ACL规则。

其中，所述第一ACL规则为所述处理器703在根据当前获取到的第一ACL规划信息，和/或网络安全威胁信息及安全策略信息生成ACL规则之前的所有ACL规则的集合。

需要说明的是，所述处理器703根据获取的第一ACL规则、网络安全威胁信息及安全策略信息生成的ACL规则是对第一ACL规则的更新，或者是新生成的ACL规则，本发明对此不做限制。

或者，所述处理器703，具体用于根据第一ACL规则，所述网络安全威胁信息，所述安全策略信息及所述第一信息生成所述ACL规则。

需要说明的是，所述处理器703根据获取的第一ACL规则、网络安全威胁信息，安全策略信息及第一ACL规划信息生成的ACL规则是新生成的ACL规则；或者是对第一ACL规则的更新，或者是对第一ACL规划信息的更新；所述处理器703根据获取的第一ACL规则、网络安全威胁信息，安全策略信息，第一ACL规划信息及用户使用需求信息生成的ACL规则是新生成的ACL规则；或者是对第一ACL规则的更新，或者是对第一ACL规划信息的更新；本发明对此不做限制。

需要说明的是，本发明所述服务器是集中式服务器，或者是分布式服务器，本发明对此不作限制。

需要说明的是，本发明对服务器的部署方案不做限制，例如，服务器可以为独立的设备；也可以与其他功能的服务器部署在同一个设备；也可以与整个网络系统中的任一个传输节点部署在同一个设备；也可以与其中一个防火墙系统部署在同一个设备。

本发明实施例提供了一种服务器，服务器在获取到网络安全威胁信息及安全策略信息后，根据获取的网络安全威胁信息及安全策略信息生成访问控制列表ACL规则，并将生成的ACL规则分别发送至对应的防火墙系统。这样，由于服务器获取到的网络安全威胁信息为整个网络系统中遇到的安全威胁信息，因此根据此安全威胁信息及安全策略信息生成的ACL规则可以防备整个网络系统遇到的所有网络安全威胁，从而提高了整个网络系统的安全性。

可以参考如图7所示的服务器的实施例的实现，相对应的，如图8所示，提供一种防火墙系统的结构示意图，该防火墙系统包括：接收器801，发送器802，存储器803，以及分别与接收器801、发送器802、存储器803连接的处理器804。

其中，存储器803中存储一组程序代码，且处理器804用于调用存储器803中存储的程序代码。接收器801，发送器802及处理器804用于执行以下操作：

所述处理器804，用于获取访问控制列表ACL规则。

具体的，所述处理器804获取ACL规则有两种方式，具体如下：

第一种方式，所述处理器804，具体用于触发所述接收器801接收服务器发送的ACL规则。

进一步的，所述处理器804，具体用于触发所述接收器801接收所述服务器发送的与安全等级对应的所述ACL规则。

或者，所述处理器804，具体用于触发所述接收器801接收所述服务器发送的与区域对应的所述ACL规则。

需要说明的是，所述接收器801接收服务器发送的与区域对应的ACL规则包括：所述接收器801接收服务器发送的根据支持区域划分的安全策略信息生成的不同区域的ACL规则中的，与防火墙系统管理的区域对应的ACL规则；或者，所述接收器801接收服务器发送的根据支持安全等级划分且支持区域划分的安全策略信息生成的不同区域的不同安全等级的ACL规则中，与防火墙系统管理的保护节点的安全等级及区域对应的ACL规则。

第二种方式，所述处理器804，具体用于获取用户配置的ACL规则。

也就是说，所述处理器804可以获取用户根据网络安全威胁信息预先配置的ACL规则。

所述处理器804，还用于生效获取的所述ACL规则。

具体的，所述处理器804，在触发所述接收器801接收到服务器发送的ACL规则或获取到用户配置的ACL规则时，将接收到的服务器发送的ACL规则或用户配置的ACL规则添加至ACL列表中，更新ACL列表，并将更新后的ACL列表进行生效，以使得所述处理器804在触发所述接收器801接收到外部网络发送的数据包时，将接收到的此数据包与更新后的ACL列表进行匹配，从而完成所述处理器804对接收到的此数据包的监控。

需要说明的是，所述处理器804在没有触发所述接收器801接收服务器发送的ACL规则或用户配置的ACL规则时，则不更新ACL列表，进而也不对不更新ACL列表进行生效。

所述处理器804，还用于根据生效后的所述ACL规则对第一节点进行安全保护。

其中，所述第一节点为所述防火墙系统保护的节点。

具体的，所述处理器804根据生效后的ACL规则对第一节点进行安全保护的过程如下：

所述处理器804，具体用于触发所述接收器801接收外部网络发送的数据包；并根据生效后的ACL规则，确定所述接收器801接收到的所述数据包是否为安全数据包；在根据所述生效后的ACL规则确定所述接收器801接收到的所述数据包为安全数据包时，触发所述发送器802将所述数据包发送至所述第一节点。

也就是说，所述处理器804在触发所述接收器801接收到外部网络发送的数据包时，解析出此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并将解析出的此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与生效后的执行指令为允许指令的ACL规则进行匹配，若将解析出的此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与生效后的执行指令为允许指令的任一条ACL规则中定义的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息匹配，则确定此数据包为安全数据包，并对此数据包执行生效后的执行指令为允许指令的ACL规则中定义的允许指令，此时，触发所述发送器802将此数据包发送至防火墙系统管理的第一节点。

所述处理器804，在根据所述生效后的ACL规则确定所述接收器801接收到的所述数据包为不安全数据包时，确定所述数据包是否为网络安全威胁信息；在确定所述数据包为所述网络安全威胁信息时，触发所述发送器802将所述数据包作为所述网络安全威胁信息发送至所述服务器。

也就是说，所述处理器804，在解析出此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与生效后的执行指令为允许指令的任一条ACL规则中定义的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息不匹配时，则确定此数据包为不安全数据包，此时，确定此数据包是否为网络安全威胁信息，若确定此数据包为网络安全威胁信息，此时，触发所述发送器802将此数据包以网络安全威胁信息的格式发送至服务器。

需要说明的是，所述处理器804在确定接收到的数据包是否为安全数据包时，还可以将此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与生效后的执行指令为禁止指令的ACL规则进行匹配，本发明对此不作限制。

需要说明的是，本发明对防火墙系统的部署方案不做限制，例如，防火墙系统可以为独立的设备；也可以与整个网络系统中的传输节点或服务器或第一节点部署在同一个设备；还可以将防火墙系统中的不同功能模块分别装载在多个不同的设备中；所述防火墙系统中的不同功能模块可以为物理功能模块，也可以为逻辑功能模块。

进一步的，所述接收器801，还用于接收所述第一节点发送的网络安全威胁信息。

所述发送器802，还用于将所述接收器801接收到的所述网络安全威胁信息发送至所述服务器。

所述处理器804，还用于获取用户使用需求信息。

其中，所述用户使用需求信息为用户根据新的需求确定的安全数据包信息，和/或不安全数据包信息。

所述发送器802，还用于将所述处理器804获取的所述用户使用需求信息发送至所述服务器。

本发明实施例提供了一种防火墙系统，防火墙系统在获取到ACL规则时，将获取到的ACL规则进行生效，并根据生效后的ACL规则对第一节点进行安全保护。这样，由于服务器获取到的网络安全威胁信息为整个网络系统中遇到的安全威胁信息，因此根据此安全威胁信息及安全策略信息生成的ACL规则可以防备整个网络系统遇到的所有网络安全威胁，从而提高了整个网络系统的安全性。

本发明实施例提供的一种生成访问控制列表规则的系统，如图9所示，包括：服务器901，防火墙系统902。其中，

所述服务器901为上述实施例所述的服务器。

所述防火墙系统902为上述实施例所述的防火墙系统。

本发明实施例提供了一种生成访问控制列表规则的方法、装置及系统，服务器在获取到网络安全威胁信息及安全策略信息后，根据获取的网络安全威胁信息及安全策略信息生成访问控制列表ACL规则，并将生成的ACL规则分别发送至对应的防火墙系统，此时，防火墙系统接收服务器发送的ACL规则，并将接收到的ACL规则进行生效，并根据生效后的ACL规则对第一节点进行安全保护。这样，由于服务器获取到的网络安全威胁信息为整个网络系统中遇到的安全威胁信息，因此根据此安全威胁信息及安全策略信息生成的ACL规则可以防备整个网络系统遇到的所有网络安全威胁，从而提高了整个网络系统的安全性。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理包括，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，简称ROM)、随机存取存储器(Random Access Memory，简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。