一种安全策略配置方法、系统、域控服务器及防火墙设备与流程

本发明涉及安全防御技术领域，特别是涉及一种安全策略配置方法、系统、域控服务器及防火墙设备。

背景技术：

目前，很多企业网络部署了身份认证机制，企业用户在登录企业内部网络时，需要由企业网络的域控服务器对登录信息(包括登录用户名和登录密码)进行身份认证，身份认证通过后企业用户方可登录企业内部网络。如果企业用户在登录企业内部网络后，需要访问外部网络，防火墙需要对企业用户再进行一次防火墙认证，在通过防火墙认证通过后，企业用户方可访问外部网络。由此可见，企业用户在进行外部网络的访问时，需要进行多次认证。

为了减少企业用户在访问外部网络过程中的认证次数，相应的提出了单点登录方式。域控服务器在对企业用户的登录信息认证通过后，将企业用户的身份信息(例如用户名、ip地址等)同步给防火墙设备，由于防火墙设备已经配置有针对各企业用户的安全策略，防火墙设备可以根据接收到的身份信息，从已配置的安全策略中确定企业用户的访问权限。

但是，随着网络技术的不断发展，网络系统越来越大，网络系统中防火墙设备的数量也不断增多，当防火墙设备的数量巨大时，需要预先对每个防火墙设备进行配置，且在每个防火墙设备中均需要配置各企业用户的安全策略，配置的工作量巨大，导致防火墙设备中安全策略的配置效率较低。

技术实现要素：

本发明实施例的目的在于提供一种安全策略配置方法、系统、域控服务器及防火墙设备，以提高防火墙设备中安全策略的配置效率。具体技术方案如下：

第一方面，本发明实施例提供了一种安全策略配置方法，应用于域控服务器，所述方法包括：

在对用户端认证通过后，基于所述用户端的身份信息，在已配置的预设安全策略中查找所述用户端对应的第一安全策略，其中，所述预设安全策略为基于各用户端的身份信息配置的安全策略；

将所述用户端的身份信息及所述第一安全策略发送至防火墙设备，以使所述防火墙设备根据所述用户端的身份信息及所述第一安全策略，配置所述用户端的安全策略为所述第一安全策略。

第二方面，本发明实施例提供了一种安全策略配置方法，应用于防火墙设备，所述方法包括：

接收域控服务器发送的已认证通过的用户端的身份信息及所述用户端对应的第一安全策略；

根据所述用户端的身份信息及所述第一安全策略，配置所述用户端的安全策略为所述第一安全策略。

第三方面，本发明实施例提供了一种安全策略配置装置，应用于域控服务器，所述装置包括：

查找模块，用于在对用户端认证通过后，基于所述用户端的身份信息，在已配置的预设安全策略中查找所述用户端对应的第一安全策略，其中，所述预设安全策略为基于各用户端的身份信息配置的安全策略；

发送模块，用于将所述用户端的身份信息及所述第一安全策略发送至防火墙设备，以使所述防火墙设备根据所述用户端的身份信息及所述第一安全策略，配置所述用户端的安全策略为所述第一安全策略。

第四方面，本发明实施例提供了一种安全策略配置装置，应用于防火墙设备，所述装置包括：

接收模块，用于接收域控服务器发送的已认证通过的用户端的身份信息及所述用户端对应的第一安全策略；

配置模块，用于根据所述用户端的身份信息及所述第一安全策略，配置所述用户端的安全策略为所述第一安全策略。

第五方面，本发明实施例提供了一种安全策略配置系统，所述系统包括：域控服务器及防火墙设备；

所述域控服务器，用于在对用户端认证通过后，基于所述用户端的身份信息，在已配置的预设安全策略中查找所述用户端对应的第一安全策略，其中，所述预设安全策略为基于各用户端的身份信息配置的安全策略；将所述用户端的身份信息及所述第一安全策略发送至所述防火墙设备；

所述防火墙设备，用于接收所述域控服务器发送的所述用户端的身份信息及所述第一安全策略；根据所述用户端的身份信息及所述第一安全策略，配置所述用户端的安全策略为所述第一安全策略。

第六方面，本发明实施例提供了一种域控服务器，包括处理器和计算机可读存储介质，所述计算机可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现本发明实施例第一方面所述的方法步骤。

第七方面，本发明实施例提供了一种计算机可读存储介质，包含于第六方面所述的域控服务器中，存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器：实现本发明实施例第一方面所述的方法步骤。

第八方面，本发明实施例提供了一种防火墙设备，包括处理器和计算机可读存储介质，所述计算机可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现本发明实施例第二方面所述的方法步骤。

第九方面，本发明实施例提供了一种计算机可读存储介质，包含于第八方面所述的防火墙设备中，存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器：实现本发明实施例第二方面所述的方法步骤。

本发明实施例提供的一种安全策略配置方法、系统、域控服务器及防火墙设备，在域控服务器对用户端认证通过后，域控服务器基于用户端的身份信息，在已配置的预设安全策略中查找该用户端对应的第一安全策略，然后将该用户端的身份信息及第一安全策略发送至防火墙设备，防火墙设备在接收到用户端的身份信息及第一安全策略后，根据该身份信息及第一安全策略，配置具有该身份信息的用户端的安全策略为第一安全策略。防火墙设备无需预先对各用户端的安全策略进行配置，而是在接收到域控服务器发送的身份信息和第一安全策略后，对用户端的安全策略进行配置，从而减少了防火墙设备进行安全策略配置的工作量，进而提高了防火墙设备中安全策略的配置效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为现有技术的多个防火墙设备单点登录系统的结构示意图；

图2为本发明实施例的应用于域控服务器的安全策略配置方法的流程示意图；

图3为本发明实施例的应用于防火墙设备的安全策略配置方法的流程示意图；

图4为本发明一实施例的应用于域控服务器的安全策略配置装置的结构示意图；

图5为本发明另一实施例的应用于域控服务器的安全策略配置装置的结构示意图；

图6为本发明一实施例的应用于防火墙设备的安全策略配置装置的结构示意图；

图7为本发明另一实施例的应用于防火墙设备的安全策略配置装置的结构示意图；

图8为本发明实施例的安全策略配置系统的系统架构图；

图9为本发明实施例的域控服务器与防火墙设备交互实现安全策略配置方法的流程示意图；

图10为本发明实施例的域控服务器的结构示意图；

图11为本发明实施例的防火墙设备的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

随着防火墙技术的发展，在ngfw(nextgenerationfirewall，下一代防火墙)安全系统中，安全策略是基于用户端的身份信息进行配置的，安全策略可以是对用户端的访问权限进行分时限制，即用户端在某一时间段有访问一组网络资源的权限，也可以是对用户端的权限进行分组限制，即多个用户端分为一组，设置为具有访问某些指定网络资源的权限。

如图1所示，为现有技术的多个防火墙设备单点登录系统的结构示意图，其中，单点登录技术可以为ad(activedirectory，活动目录)单点登录技术，也可以为基于token(令牌)机制的单点登录技术。当然，单点登录技术还可以为其他公知的单点登录技术，这里不再一一赘述。

用户端101将登录信息(包括登录名称及密码)发送给域控服务器102进行认证，如果域控服务器102确定登录名称与密码匹配，则认为用户端101认证通过。由于在域控服务器102的配置文件中可以配置多个防火墙设备103的设备信息，则域控服务器102可以将用户端的身份信息(例如用户端的名称、ip地址等)封装成业务报文，并将该业务报文发送给用户端对应的至少一台防火墙设备103，每台防火墙设备103再单独对用户端配置安全策略。各防火墙设备103基于用户端101的身份信息以及已配置的用户端的安全策略，实现用户端101对外部网络104的网络资源进行访问。由上述可知，针对各防火墙，需要逐个配置各用户端的安全策略，使得防火墙设备中安全策略的配置效率较低。

为了提高防火墙设备中安全策略的配置效率，本发明实施例提供了一种安全策略配置方法、装置、系统、域控服务器及防火墙设备。

下面，首先对本发明实施例所提供的安全策略配置方法进行介绍。

如图2所示，本发明实施例所提供的一种应用于域控服务器的安全策略配置方法，该方法可以包括如下步骤。

s201，在对用户端认证通过后，基于用户端的身份信息，在已配置的预设安全策略中查找该用户端对应的第一安全策略。

其中，预设安全策略可以为基于各用户端的身份信息配置的安全策略。安全策略可以为时间段策略，即用户端在某一时间段有访问一组网络资源的权限，也可以为分组策略，即多个用户端分为一组，设置为具有访问某些指定网络资源的权限。在域控服务器上可以配置单点登录服务，即在域控服务器上配置对用户端的登录信息进行认证的功能，域控服务器可以通过判断登录信息中的各信息是否匹配以判断用户端是否认证通过，单点登录技术可以为ad单点登录技术、基于token机制的单点登录技术等。

域控服务器在对用户端进行认证时，可以获取到用户端的身份信息，即用户端的名称或者ip地址。为了便于查找安全策略，可以在域控服务器上配置基于各用户端的身份信息的安全策略，而不是直接将安全策略配置在防火墙设备上。

当用户端上线时，域控服务器会对用户端进行认证，判断由该用户端发送的登录信息中的信息是否匹配，若匹配则确定该用户端认证通过，在对用户端认证通过后，域控服务器在已配置的预设安全策略中查找该用户端对应的第一安全策略。

s202，将用户端的身份信息及第一安全策略发送至防火墙设备。

域控服务器在进行配置时，在配置文件中可以配置防火墙设备的设备信息，所配置的设备信息可以为一台防火墙设备的设备信息，也可以为多台防火墙设备的设备信息。域控服务器在查找到用户端对应的第一安全策略后，可以将用户端的身份信息及第一安全策略封装成业务报文，并将该业务报文发送至配置文件中用户端对应的至少一台防火墙设备，以使得防火墙设备可以根据用户端的身份信息及第一安全策略，配置用户端的安全策略为第一安全策略。

可选的，在s202之后，域控服务器还可以执行如下步骤：

检测用户端的在线状态；

如果用户端下线，则发送该用户端的下线信息至防火墙设备。

下线信息中包含用户端的身份信息，如果用户端已下线，则该用户端无访问网络资源的需求，即无论是否配置有该用户端的安全策略，该用户端均不会访问网络资源。因此，为了释放防火墙设备的空间，提高防火墙设备的应用效率，域控服务器在检测到用户端下线时，可以将该用户端的下线信息封装成业务报文，并将该业务报文发送至防火墙设备，以使得防火墙设备可以根据下线信息中包含的身份信息，查找并删除用户端的安全策略。

当用户端在线时，有可能会发生安全策略被修改的情况，为了应对这种情况，保证防火墙设备可以及时更新修改后的安全策略。可选的，在s202之后，域控服务器还可以执行如下步骤：

如果检测到预设安全策略中的第一安全策略被修改，则将用户端的身份信息及修改后的第一安全策略发送至防火墙设备。

如果用户端在线时，域控服务器中已配置的预设安全策略中的第一安全策略被修改，例如，原本第一安全策略为允许用户端访问网络资源的时间段为9:00至11:00，修改后的第一安全策略为允许用户端访问网络资源的时间段为15:30至17:30，由于用户端一直在线，如果防火墙设备中配置的该用户端的安全策略未修改，则会发生访问的安全隐患。因此，域控服务器在检测到第一安全策略被修改后，应将该用户端的身份信息及修改后的第一安全策略封装成业务报文，并将该业务报文发送至防火墙设备，以使得防火墙设备根据用户端的身份信息及修改后的第一安全策略，更新该用户端的安全策略为修改后的第一安全策略，从而保证用户端访问的安全性。

当然，第一安全策略的修改还有可能发生在用户端下线之后。针对该情况，在用户端下一次上线时，域控服务器可以将用户端的身份信息及修改后的第一安全策略封装成业务报文，并将该业务报文发送至防火墙设备，以使得防火墙设备根据修改后的第一安全策略配置该用户端的安全策略。

在某些情况下，安全策略还包括优先级，以使防火墙设备能够配置、使能优先级高的安全策略，使优先级高的安全策略生效、优先级低的安全策略失效。

应用本实施例，在域控服务器对用户端认证通过后，域控服务器基于用户端的身份信息，在已配置的预设安全策略中查找该用户端对应的第一安全策略，然后将该用户端的身份信息及第一安全策略发送至防火墙设备。这样，使得防火墙设备无需预先对各用户端的安全策略进行配置，而是在接收到域控服务器发送的身份信息和第一安全策略后，对用户端的安全策略进行配置，从而减少了防火墙设备进行安全策略配置的工作量，进而提高了防火墙设备中安全策略的配置效率。

对应的，如图3所示，本发明实施例提供了一种应用于防火墙设备的安全策略配置方法，该方法可以包括如下步骤。

s301，接收域控服务器发送的已认证通过的用户端的身份信息及该用户端对应的第一安全策略。

s302，根据接收到的用户端的身份信息及第一安全策略，配置该用户端的安全策略为第一安全策略。

防火墙设备在接收到包含有用户端的身份信息及第一安全策略的业务报文之后，可以根据业务报文中的信息配置用户端的安全策略为第一安全策略。也就是说，在域控服务器确定用户端认证通过之后，防火墙设备对该用户端的安全策略进行配置，且安全策略的配置是基于域控服务器发送的安全策略进行的，不需要防火墙设备预先对各用户端的安全策略进行配置，有效减少防火墙设备进行安全策略配置的工作量。

可选的，防火墙设备还可以执行如下步骤：

如果接收到域控服务器发送的下线信息，则根据下线信息中包含用户端的身份信息，查找并删除具有该身份信息的用户端的安全策略。

由于下线信息中包含用户端的身份信息，如果用户端已下线，则该用户端无访问网络资源的需求，即无论是否配置有该用户端的安全策略，该用户端均不会访问网络资源，因此，防火墙设备在接收到下线信息后，可以删除身份信息对应的用户端的安全策略，达到释放防火墙设备的空间、提高防火墙设备的应用效率的目的。

可选的，防火墙设备还可以执行如下步骤：

如果接收到域控服务器发送的用户端的身份信息及修改后的第一安全策略，则根据用户端的身份信息及修改后的第一安全策略，更新用户端的安全策略为修改后的第一安全策略。

如果用户端在线时，域控服务器中已配置的预设安全策略中的第一安全策略被修改，防火墙设备会接收到域控服务器发送的用户端的身份信息及修改后的第一安全策略，防火墙设备可以根据用户端的身份信息及修改后的第一安全策略，更新该用户端的安全策略为修改后的第一安全策略，从而保证用户端访问的安全性。

当然，第一安全策略的修改还有可能发生在用户端下线之后。针对该情况，在用户端下一次上线时，防火墙设备会接收到域控服务器发送的用户端的身份信息及修改后的第一安全策略，防火墙设备可以根据修改后的第一安全策略配置该用户端的安全策略。

由于在基于用户端的身份信息的安全策略中，同一用户端的安全策略在每个防火墙设备上都是相同的，所以在不同防火墙设备上进行配置操作都是相同的。但是，有些防火墙设备可能具有个性化定制的需求，希望某一些防火墙的配置操作与其他防火墙的配置操作不同，为了实现防火墙设备的个性化定制需求，可选的，在s301之后，防火墙设备还可以执行如下步骤：

获取已配置的该用户端的第二安全策略；

判断第一安全策略与第二安全策略是否相同；

若不相同，则保持已配置的该用户端的安全策略为第二安全策略。

如果防火墙设备上已配置有静态的第二安全策略，若防火墙设备接收到的由域控服务器发送的第一安全策略(可理解为动态安全策略)与已配置的第二安全策略(可理解为静态安全策略)冲突，即第一安全策略与第二安全策略不同，则说明需要按照第二安全策略进行个性化定制，因此，保持该用户端的安全策略为静态的第二安全策略，从而实现了不同防火墙设备个性化定制的要求。

当然在某些情况下，即使一些防火墙存在第二安全策略，但仍然需要将第二安全策略变更为第一安全策略，此时安全策略还包括优先级。当防火墙设备接收到的第一安全策略的优先级高于第二安全策略的优先级时，防火墙设备可以根据接收到的第一安全策略配置该用户端的安全策略，并使能优先级高的第一安全策略，以使第一安全策略生效、第二安全策略失效。

应用本实施例，防火墙设备在接收到用户端的身份信息及第一安全策略后，根据该身份信息及第一安全策略，配置具有该身份信息的用户端的安全策略为第一安全策略。防火墙设备无需预先对各用户端的安全策略进行配置，而是在接收到域控服务器发送的身份信息和第一安全策略后，对用户端的安全策略进行配置，从而减少了防火墙设备进行安全策略配置的工作量，进而提高了防火墙设备中安全策略的配置效率。

相应于上述方法实施例，本发明实施例提供了一种安全策略配置装置，应用于域控服务器，如图4所示，该安全策略配置装置可以包括：

查找模块410，用于在对用户端认证通过后，基于所述用户端的身份信息，在已配置的预设安全策略中查找所述用户端对应的第一安全策略，其中，所述预设安全策略为基于各用户端的身份信息配置的安全策略；

发送模块420，用于将所述用户端的身份信息及所述第一安全策略发送至防火墙设备，以使所述防火墙设备根据所述用户端的身份信息及所述第一安全策略，配置所述用户端的安全策略为所述第一安全策略。

可选的，所述发送模块420，还可以用于：

如果检测到所述预设安全策略中的所述第一安全策略被修改，则将所述用户端的身份信息及修改后的第一安全策略发送至所述防火墙设备，以使所述防火墙设备根据所述用户端的身份信息及所述修改后的第一安全策略，更新所述用户端的安全策略为所述修改后的第一安全策略。

应用本实施例，在域控服务器对用户端认证通过后，域控服务器基于用户端的身份信息，在已配置的预设安全策略中查找该用户端对应的第一安全策略，然后将该用户端的身份信息及第一安全策略发送至防火墙设备。这样，使得防火墙设备无需预先对各用户端的安全策略进行配置，而是在接收到域控服务器发送的身份信息和第一安全策略后，对用户端的安全策略进行配置，从而减少了防火墙设备进行安全策略配置的工作量，进而提高了防火墙设备中安全策略的配置效率。并且，域控服务器在检测到第一安全策略被修改后，将该用户端的身份信息及修改后的第一安全策略封装成业务报文，并将该业务报文发送至防火墙设备，使得防火墙设备更新该用户端的安全策略为修改后的第一安全策略，从而保证了用户端访问的安全性。

基于图4所示实施例，本发明实施例还提供了一种安全策略配置装置，应用于域控服务器，如图5所示，该安全策略配置装置可以包括：

查找模块510，用于在对用户端认证通过后，基于所述用户端的身份信息，在已配置的预设安全策略中查找所述用户端对应的第一安全策略，其中，所述预设安全策略为基于各用户端的身份信息配置的安全策略；

发送模块520，用于将所述用户端的身份信息及所述第一安全策略发送至防火墙设备，以使所述防火墙设备根据所述用户端的身份信息及所述第一安全策略，配置所述用户端的安全策略为所述第一安全策略；

检测模块530，用于检测所述用户端的在线状态。

可选的，所述发送模块520，还可以用于如果所述检测模块检测到所述用户端下线，则发送所述用户端的下线信息至所述防火墙设备，以使所述防火墙设备根据所述下线信息中包含的身份信息，查找并删除所述用户端的安全策略。

应用本实施例，在域控服务器对用户端认证通过后，域控服务器基于用户端的身份信息，在已配置的预设安全策略中查找该用户端对应的第一安全策略，然后将该用户端的身份信息及第一安全策略发送至防火墙设备。这样，使得防火墙设备无需预先对各用户端的安全策略进行配置，而是在接收到域控服务器发送的身份信息和第一安全策略后，对用户端的安全策略进行配置，从而减少了防火墙设备进行安全策略配置的工作量，进而提高了防火墙设备中安全策略的配置效率。并且，域控服务器可以将已下线的用户端的下线信息发送至防火墙设备，防火墙设备在接收到下线信息后，可以删除下线信息中包含的身份信息对应的用户端的安全策略，达到释放防火墙设备的空间、提高防火墙设备的应用效率的目的。

基于上述方法实施例，本发明实施例提供了一种安全策略配置装置，应用于防火墙设备，如图6所示，该安全策略配置装置可以包括：

接收模块610，用于接收域控服务器发送的已认证通过的用户端的身份信息及所述用户端对应的第一安全策略；

配置模块620，用于根据所述用户端的身份信息及所述第一安全策略，配置所述用户端的安全策略为所述第一安全策略。

可选的，该安全策略配置装置还可以包括：

删除模块，用于如果接收到所述域控服务器发送的下线信息，则根据所述下线信息中包含的身份信息，查找并删除具有所述身份信息的用户端的安全策略。

可选的，该安全策略配置装置还可以包括：

更新模块，用于如果接收到所述域控服务器发送的所述用户端的身份信息及修改后的第一安全策略，则根据所述用户端的身份信息及所述修改后的第一安全策略，更新所述用户端的安全策略为所述修改后的第一安全策略。

应用本实施例，防火墙设备在接收到用户端的身份信息及第一安全策略后，根据该身份信息及第一安全策略，配置具有该身份信息的用户端的安全策略为第一安全策略。防火墙设备无需预先对各用户端的安全策略进行配置，而是在接收到域控服务器发送的身份信息和第一安全策略后，对用户端的安全策略进行配置，从而减少了防火墙设备进行安全策略配置的工作量，进而提高了防火墙设备中安全策略的配置效率。

基于图6所示实施例，本发明实施例还提供了一种安全策略配置装置，应用于防火墙设备，如图7所示，该安全策略配置装置可以包括：

接收模块710，用于接收域控服务器发送的已认证通过的用户端的身份信息及所述用户端对应的第一安全策略；

获取模块720，用于获取已配置的所述用户端的第二安全策略；

判断模块730，用于判断所述第一安全策略与所述第二安全策略是否相同；

保持模块740，用于若所述判断模块730的判断结果为不相同，则保持已配置的所述用户端的安全策略为所述第二安全策略；

配置模块750，用于若所述判断模块730的判断结果为相同，则根据所述用户端的身份信息及所述第一安全策略，配置所述用户端的安全策略为所述第一安全策略。

应用本实施例，防火墙设备在接收到用户端的身份信息及第一安全策略后，根据该身份信息及第一安全策略，配置具有该身份信息的用户端的安全策略为第一安全策略。防火墙设备无需预先对各用户端的安全策略进行配置，而是在接收到域控服务器发送的身份信息和第一安全策略后，对用户端的安全策略进行配置，从而减少了防火墙设备进行安全策略配置的工作量，进而提高了防火墙设备中安全策略的配置效率。并且，如果防火墙设备上已配置有静态的第二安全策略，若接收由域控服务器发送的动态的第一安全策略与已配置的静态的第二安全策略冲突，即第一安全策略与第二安全策略不同，则说明需要按照第二安全策略进行个性化定制，因此，保持该用户端的安全策略为静态的第二安全策略，从而实现了不同防火墙设备个性化定制的要求。

相应于上述实施例，本发明实施例还提供了一种安全策略配置系统，如图8所示，为安全策略配置系统的系统架构图，该系统包括：域控服务器810及防火墙设备820。

所述域控服务器810，用于在对用户端认证通过后，基于所述用户端的身份信息，在已配置的预设安全策略中查找所述用户端对应的第一安全策略，其中，所述预设安全策略为基于各用户端的身份信息配置的安全策略；将所述用户端的身份信息及所述第一安全策略发送至所述防火墙设备820。

所述防火墙设备820，用于接收所述域控服务器810发送的所述用户端的身份信息及所述第一安全策略；根据所述用户端的身份信息及所述第一安全策略，配置所述用户端的安全策略为所述第一安全策略。

域控服务器与防火墙设备之间的交互过程如图9所示，域控服务器与防火墙交互实现安全策略配置方法的步骤可以包括：

s901，域控服务器在对用户端认证通过后，基于用户端的身份信息，在已配置的预设安全策略中查找该用户端对应的第一安全策略。

s902，域控服务器将用户端的身份信息及第一安全策略发送至防火墙设备。

s903，防火墙设备根据接收到的用户端的身份信息及第一安全策略，配置该用户端的安全策略为第一安全策略。

对于图9所示实施例而言，由于其所涉及的方法内容基本相似于图2及图3所示方法实施例，所以描述的比较简单，相关之处参见图2及图3所示实施例的部分说明即可。

本发明实施例还提供了一种域控服务器，如图10所示，域控服务器1000，包括处理器1001和计算机可读存储介质1002，所述计算机可读存储介质1002存储有能够被所述处理器1001执行的机器可执行指令，所述处理器1001被所述机器可执行指令促使实现本发明实施例提供的应用于域控服务器的安全策略配置方法。

另外，相应于上述实施例所提供的应用于域控服务器的安全策略配置方法，本发明实施例提供了一种计算机可读存储介质，包含于域控服务器1000中，用于存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现本发明实施例提供的应用于域控服务器的安全策略配置方法。

本发明实施例还提供了一种防火墙设备，如图11所示，防火墙设备1100，包括处理器1101和计算机可读存储介质1102，所述计算机可读存储介质1102存储有能够被所述处理器1101执行的机器可执行指令，所述处理器1101被所述机器可执行指令促使实现本发明实施例提供的应用于防火墙设备的安全策略配置方法。

上述计算机可读存储介质可以包括ram(randomaccessmemory，随机存取存储器)，也可以包括nvm(non-volatilememory，非易失性存储器)，例如至少一个磁盘存储器。可选的，计算机可读存储介质还可以是至少一个位于远离前述处理器的存储装置。

上述处理器可以是通用处理器，包括cpu(centralprocessingunit，中央处理器)、np(networkprocessor，网络处理器)等；还可以是dsp(digitalsignalprocessor，数字信号处理器)、asic(applicationspecificintegratedcircuit，专用集成电路)、fpga(field-programmablegatearray，现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

本实施例中，域控服务器及防火墙设备的处理器通过读取各自存储器中存储的计算机程序，并通过运行计算机程序，能够实现：防火墙设备无需预先对各用户端的安全策略进行配置，而是在接收到域控服务器发送的身份信息和第一安全策略后，对用户端的安全策略进行配置，从而减少了防火墙设备进行安全策略配置的工作量，进而提高了防火墙设备中安全策略的配置效率。

另外，相应于上述实施例所提供的应用于防火墙设备的安全策略配置方法，本发明实施例提供了一种计算机可读存储介质，包含于防火墙设备1100中，用于存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现本发明实施例提供的应用于防火墙设备的安全策略配置方法。

本实施例中，包含于域控服务器中的计算机可读存储介质及包含于防火墙设备中的计算机可读存储介质存储有在运行时执行本发明实施例所提供的安全策略配置方法的应用程序，因此能够实现：防火墙设备无需预先对各用户端的安全策略进行配置，而是在接收到域控服务器发送的身份信息和第一安全策略后，对用户端的安全策略进行配置，从而减少了防火墙设备进行安全策略配置的工作量，进而提高了防火墙设备中安全策略的配置效率。

对于域控服务器、防火墙设备以及计算机可读存储介质实施例而言，由于其所涉及的方法内容基本相似于前述的方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置、域控服务器、防火墙设备及计算机可读存储介质实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。