防火墙安全策略的配置方法、装置、存储介质及电子装置与流程

1.本技术涉及金融科技领域，具体而言，涉及一种防火墙安全策略的配置方法、装置、存储介质及电子装置。


背景技术：

2.近年来外部信息安全形势日趋严峻，受到互联网应用侧的攻击也愈发增多，为提升互联网应用侧的安全防护能力，可以在设备中部署web application firewall(waf网站应用级入侵防御系统)进行防护。由于需要使用的互联网应用的数量增多，为确保安全防护能覆盖所有互联网应用，需要提高waf的部署数量，并且需要对waf进行日常运维，保证waf的正常运行。
3.随着waf数量逐步增多，对于waf的运维压力也大大增加，但是目前对waf的管理方式为对每台设备进行单独管理，在设备运维的时候需要依次对每台设备进行操作，并且只能通过人工方式对设备的waf配置状态进行检查和记录，导致了运维和管理操作的工作量大、效率低、容易出现错误，并且无法及时的对每台设备的现状进行了解。
4.针对相关技术中无法便捷高效的对应用安全防火墙进行管理和运维的问题，目前尚未提出有效的解决方案。


技术实现要素：

5.本技术提供一种防火墙安全策略的配置方法、装置、存储介质及电子装置，以解决相关技术中无法便捷高效的对应用安全防火墙进行管理和运维的问题。
6.根据本技术的一个方面，提供了一种防火墙安全策略的配置方法。该方法包括：获取多个防火墙设备的设备信息，并确定多个防火墙设备待防护的应用程序；根据应用程序对多个防火墙设备进行分组，得到每个应用程序对应的一组防火墙设备，其中，每组防火墙设备用于对对应的应用程序进行防护；获取防护规则特征库，并将防护规则特征库下发至每个防火墙设备，其中，防护规则特征库中包括多个防护规则；获取每个应用程序对应的安全配置策略，并将安全配置策略下发至应用程序对应的一组防火墙设备中，其中，安全配置策略为防护规则特征库中的防护规则的启用策略。
7.可选地，在获取每个应用程序对应的安全配置策略，并将安全配置策略下发至应用程序对应的一组防火墙设备中之后，该方法还包括：采集每个防火墙设备的安全配置策略，并将防火墙设备的安全配置策略与预设安全配置策略进行对比，得到对比结果，其中，预设安全配置策略是防火墙设备所防护的应用程序对应的安全配置策略；在对比结果指示防火墙设备的安全配置策略与预设安全配置策略不一致的情况下，根据预设安全配置策略调整防火墙设备的安全配置策略。
8.可选地，获取防护规则特征库，并将防护规则特征库下发至每个防火墙设备包括：获取防护规则特征库，并确定防护规则特征库的版本信息，得到第一版本信息；判断当前防火墙设备是否已配置防护规则特征库，在已配置防护规则特征库的情况下，确定已配置的
防护规则特征库的版本信息，得到第二版本信息；判断第二版本信息和第一版本信息是否相同；在第二版本信息和第一版本信息不相同的情况下，根据获取到的防护规则特征库更新当前防火墙设备已配置的防护规则特征库。
9.可选地，获取每个应用程序对应的安全配置策略，并将安全配置策略下发至应用程序对应的一组防火墙设备中包括：判断当前防火墙设备是否已配置安全配置策略；在当前防火墙设备已配置安全配置策略的情况下，判断多个防火墙设备待防护的应用程序是否发生变化；在多个防火墙设备待防护的应用程序发生变化的情况下，获取每个应用程序对应的安全配置策略，并根据获取到的安全配置策略更新防火墙设备中已配置的安全配置策略。
10.可选地，在当前防火墙设备已配置安全配置策略的情况下，判断多个防火墙设备待防护的应用程序是否发生变化之后，该方法还包括：在多个防火墙设备待防护的应用程序未发生变化的情况下，获取每个应用程序对应的安全配置策略，并判断获取到的安全配置策略是否发生变化；在获取到的安全配置策略发生变化的情况下，根据获取的安全配置策略更新当前防火墙设备已配置的安全配置策略。
11.可选地，在获取多个防火墙设备的设备信息之前，该方法还包括：获取每个防火墙设备的历史登录数据包，并根据历史登录数据包中的数据确定多个防火墙设备对应的登录脚本；获取每个防火墙设备的设备登录信息，并将设备登录信息配置至登录脚本，得到更新后的登录脚本，其中，设备登录信息至少包括以下之一：登录账号信息，登录密码信息；根据更新后的登录脚本登录多个防火墙设备。
12.可选地，确定多个防火墙设备待防护的应用程序包括：调取多个防火墙设备待防护的应用程序，并检测是否接收到应用程序的调整指令，其中，应用程序的调整指令用于指示添加应用程序或删除应用程序；在接收到调整指令的情况下，根据调整指令的内容调整多个防火墙设备待防护的应用程序，得到更新后的待防护的应用程序。
13.根据本技术的另一方面，提供了一种防火墙安全策略的配置装置。该装置包括：第一获取单元，用于获取多个防火墙设备的设备信息，并确定多个防火墙设备待防护的应用程序；分组单元，用于根据应用程序对多个防火墙设备进行分组，得到每个应用程序对应的一组防火墙设备，其中，每组防火墙设备用于对对应的应用程序进行防护；第一下发单元，用于获取防护规则特征库，并将防护规则特征库下发至每个防火墙设备，其中，防护规则特征库中包括多个防护规则；第二下发单元，用于获取每个应用程序对应的安全配置策略，并将安全配置策略下发至应用程序对应的一组防火墙设备中，其中，安全配置策略为防护规则特征库中的防护规则的启用策略。
14.根据本发明实施例的另一方面，还提供了一种非易失性存储介质，非易失性存储介质用于存储程序，其中，程序运行时控制非易失性存储介质所在的设备执行一种防火墙安全策略的配置方法。
15.根据本发明实施例的另一方面，还提供了一种电子设备，包含一个或多个处理器和存储器；存储器中存储有计算机可读指令，处理器用于运行计算机可读指令，其中，计算机可读指令运行时执行一种防火墙安全策略的配置方法。
16.通过本技术，采用以下步骤：获取多个防火墙设备的设备信息，并确定多个防火墙设备待防护的应用程序；根据应用程序对多个防火墙设备进行分组，得到每个应用程序对
应的一组防火墙设备，其中，每组防火墙设备用于对对应的应用程序进行防护；获取防护规则特征库，并将防护规则特征库下发至每个防火墙设备，其中，防护规则特征库中包括多个防护规则；获取每个应用程序对应的安全配置策略，并将安全配置策略下发至应用程序对应的一组防火墙设备中，其中，安全配置策略为防护规则特征库中的防护规则的启用策略，解决了相关技术中无法便捷高效的对应用安全防火墙进行管理和运维的问题。通过获取多台设备的设备信息和应用程序信息，并根据设备信息和应用程序信息对多台设备同时进行管理和安全策略下发，进而达到了准确高效的对应用安全防火墙进行管理和运维的效果。
附图说明
17.构成本技术的一部分的附图用来提供对本技术的进一步理解，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
18.图1是根据本技术实施例提供的防火墙安全策略的配置方法的流程图；
19.图2是根据本技术实施例提供的防火墙安全策略的配置装置的示意图；
20.图3为根据本技术实施例提供的一种电子设备的示意图。
具体实施方式
21.需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本技术。
22.为了使本技术领域的人员更好地理解本技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分的实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本技术保护的范围。
23.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
24.需要说明的是，本公开所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等)，均为经用户授权或者经过各方充分授权的信息和数据。
25.需要说明的是，本公开所确定的防火墙安全策略的配置方法、装置、存储介质及电子装置可用于金融科技领域，也可用于除金融科技领域之外的任意领域，本公开所确定的防火墙安全策略的配置方法、装置、存储介质及电子装置的应用领域不做限定。
26.根据本技术的实施例，提供了一种防火墙安全策略的配置方法。
27.图1是根据本技术实施例提供的防火墙安全策略的配置方法的流程图。如图1所示，该方法包括以下步骤：
28.步骤s101，获取多个防火墙设备的设备信息，并确定多个防火墙设备待防护的应
用程序。
29.具体地，每个防火墙设备可以对应多个应用程序的防护，在对多台防火墙设备进行管理和策略配置的时候，可以先同时对多台防火墙设备进行登录，并在登陆后确定每个防火墙设备的设备信息，其中，设备信息中可以包括设备的ip、设备序列号、设备防护规则特征库版本以及设备许可证等设备相关信息。
30.需要说明的是，在获得每个防火墙设备的设备信息后，可以通过设备信息确定每个设备中包含的需要防护的应用程序的信息，例如，1号设备中的待防护应用程序可以包含a应用和b应用。在获取设备中包含的需要防护的应用程序的信息，可以根据应用程序信息进行防护规则的配置。
31.步骤s102，根据应用程序对多个防火墙设备进行分组，得到每个应用程序对应的一组防火墙设备，其中，每组防火墙设备用于对对应的应用程序进行防护。
32.具体的，在得到每个防火墙设备的设备信息和每个防火墙设备对应的应用程序后，根据每个防火墙设备的待防护的应用程序，将防火墙设备进行分组，得到每个应用程序与对应的防火墙设备之间的对应关系。
33.例如，1号设备中的待防护应用程序可以包含a应用和b应用，2号设备中的待防护应用程序可以包含b应用和c应用,3号设备中的待防护应用程序可以包含a应用和c应用,此时，经过分组后得到的分组结果可以为：a应用对应1号设备和3号设备，b应用对应1号设备和2号设备，c应用对应2号设备和3号设备。
34.步骤s103，获取防护规则特征库，并将防护规则特征库下发至每个防火墙设备，其中，防护规则特征库中包括多个防护规则。
35.具体的，防护规则特征库中包含了对于不同设备、不同安全问题的对应防护规则和防护方案，为了保证每台防火墙设备执行对应的防护操作，所以需要将防护规则特征库统一下发至每台防火墙设备中，从而保证每台防火墙设备可以解决相应的安全问题。
36.步骤s104，获取每个应用程序对应的安全配置策略，并将安全配置策略下发至应用程序对应的一组防火墙设备中，其中，安全配置策略为防护规则特征库中的防护规则的启用策略。
37.具体的，由于每台防火墙需要防护的应用程序不相同，并且每台防火墙对应的需要防护的应用程序也可能会发生变更，所以需要根据防护需要对每台防火墙的安全排至策略进行调整，从而使每台防火墙的防护规则特征库中的防护规则地启用情况进行变更，从而可以使每台防火墙对同一应用程序进行不同的防护效果。
38.本技术实施例提供的防火墙安全策略的配置方法，通过获取多个防火墙设备的设备信息，并确定多个防火墙设备待防护的应用程序。根据应用程序对多个防火墙设备进行分组，得到每个应用程序对应的一组防火墙设备，其中，每组防火墙设备用于对对应的应用程序进行防护。获取防护规则特征库，并将防护规则特征下发至每个防火墙设备，其中，防护规则特征库中包括多个防护规则。获取每个应用程序对应的安全配置策略，并将安全配置策略下发至应用程序对应的一组防火墙设备中，其中，安全配置策略为防护规则特征库中的防护规则的启用策略，解决了相关技术中无法便捷高效的对应用安全防火墙进行管理和运维的问题。通过获取多台设备的设备信息和应用程序信息，并根据设备信息和应用程序信息对多台设备同时进行管理和安全策略下发，进而达到了准确高效的对应用安全防火
墙进行管理和运维的效果。
39.可选地，在本技术实施例提供的防火墙安全策略的配置方法中，在获取每个应用程序对应的安全配置策略，并将安全配置策略下发至应用程序对应的一组防火墙设备中之后，该方法还包括：采集每个防火墙设备的安全配置策略，并将防火墙设备的安全配置策略与预设安全配置策略进行对比，得到对比结果，其中，预设安全配置策略是防火墙设备所防护的应用程序对应的安全配置策略；在对比结果指示防火墙设备的安全配置策略与预设安全配置策略不一致的情况下，根据预设安全配置策略调整防火墙设备的安全配置策略。
40.具体的，在防火墙设备运行的时候，可能会出现设备故障导致的防火墙安全配置策略出现异常，此时，可以定期对防火墙设备中的安全配置策略进行确认。通过将防火墙设备当前使用的安全配置策略与预设安全配置策略进行对比，得到对比结果，并在对比结果不同时，判断防火墙设备的安全配置策略出现异常，并将预设安全配置策略替换为最新获取的目标安全配置策略。
41.例如，a防火墙设备的预设安全配置策略为a策略和b策略，分别对应该防火墙设备对应的a应用程序和b应用程序，但是在登录该防火墙设备后，检测到该防火墙设备由于出现故障导致b应用程序对应的安全配置策略变更为了c策略，此时，由于检测到了安全配置策略的变更，所以按照预设安全配置策略将该防火墙设备的c策略变更为b策略，从而完成了异常策略的修正。本实施例通过定期检查防火墙设备中的安全排至策略，保证了防火墙设备对应的安全配置策略的准确性。
42.可选地，在本技术实施例提供的防火墙安全策略的配置方法中，获取防护规则特征库，并将防护规则特征库下发至每个防火墙设备包括：获取防护规则特征库，并确定防护规则特征库的版本信息，得到第一版本信息；判断当前防火墙设备是否已配置防护规则特征库，在已配置防护规则特征库的情况下，确定已配置的防护规则特征库的版本信息，得到第二版本信息；判断第二版本信息和第一版本信息是否相同；在第二版本信息和第一版本信息不相同的情况下，根据获取到的防护规则特征库更新当前防火墙设备已配置的防护规则特征库。
43.具体的，在登录防火墙设备后，需要先获取每个防火墙设备的设备信息，设备信息中可以包括设备防护规则特征库版本，此时，获取当前防护规则特征库的最新版本，并与每个防火墙设备中的规则特征库版本进行比较，将规则特征库版本不是最新版本的防火墙设备的规则特征库版本进行更新，从而将每个防火墙设备的规则特征库更新至最新版本。本实施例及时对防火墙设备中的规则特征库版本进行更新，使得防火墙设备可以更准确的进行防护工作。
44.可选地，在本技术实施例提供的防火墙安全策略的配置方法中，获取每个应用程序对应的安全配置策略，并将安全配置策略下发至应用程序对应的一组防火墙设备中包括：判断当前防火墙设备是否已配置安全配置策略；在当前防火墙设备已配置安全配置策略的情况下，判断多个防火墙设备待防护的应用程序是否发生变化；在多个防火墙设备待防护的应用程序发生变化的情况下，获取每个应用程序对应的安全配置策略，并根据获取到的安全配置策略更新防火墙设备中已配置的安全配置策略。
45.具体的，在将安全配置策略下发至应用程序对应的一组防火墙设备中的时候，需要获取每个应用程序对应的防火墙设备组中是否有设备变更情况，当检测到某个应用程序
对应的防火墙设备组中发生了设备变更的情况，此时，需要根据将该应用程序对应的安全配置策略添加至该防火墙对应的安全配置策略中，并将得到的目标安全配置策略发送至该防火墙设备。
46.例如，a防火墙设备的现有的安全配置策略为a策略和b策略，分别为a应用程序和b应用程序下发的安全配置策略，但是在对c应用程序对应的防火墙设备进行检测时，检测到了a防火墙设备，此时，表明c应用程序对应的防火墙设备进行了变更，所以需要对a防火墙设备进行安全配置策略的变更，将c应用程序对应的c策略下发至a防火墙设备中，此时，a防火墙设备的安全配置策略变更为a策略、b策略和c策略，从而替换掉预设安全配置策略，完成了安全配置策略的及时更新。本实施例及时对防火墙设备中的规则特征库版本进行更新，使得防火墙设备可以更准确的进行防护工作。
47.可选地，在本技术实施例提供的防火墙安全策略的配置方法中，在当前防火墙设备已配置安全配置策略的情况下，判断多个防火墙设备待防护的应用程序是否发生变化之后，该方法还包括：在多个防火墙设备待防护的应用程序未发生变化的情况下，获取每个应用程序对应的安全配置策略，并判断获取到的安全配置策略是否发生变化；在获取到的安全配置策略发生变化的情况下，根据获取的安全配置策略更新当前防火墙设备已配置的安全配置策略。
48.具体的，在多个防火墙设备待防护的应用程序未发生变化的情况下，会获取每个应用程序对应的安全配置策略，并判断每个设备对应的安全配置策略是否有变更或错误的情况发生，在预设安全配置策略有变更或错误的情况下，向预设安全配置策略有变更或错误的应用程序对应的多个防火墙设备下发正确的安全配置策略。本实施例保证了防火墙设备的安全配置策略的准确性。
49.可选地，在本技术实施例提供的防火墙安全策略的配置方法中，在获取多个防火墙设备的设备信息之前，该方法还包括：获取每个防火墙设备的历史登录数据包，并根据历史登录数据包中的数据确定多个防火墙设备对应的登录脚本；获取每个防火墙设备的设备登录信息，并将设备登录信息配置至登录脚本，得到更新后的登录脚本，其中，设备登录信息至少包括以下之一：登录账号信息，登录密码信息；根据更新后的登录脚本登录多个防火墙设备。
50.具体的，在对多台防火墙设备进行登录的时候，可以在首次登录时输入完整信息，例如，用户名、密码、登录地点、登录网点、应用场景等信息，防火墙设备在第一次接收到登录信息后，可以通过部分登录信息生成登录数据包，并将登录数据包存储至防火墙设备中。在再次登录防火墙设备的时候，可以仅通过输入设备登录信息，例如用户名、密码，并根据设备登录信息获取到对应的历史登录数据包，并通过历史登录数据包中的数据确定防火墙设备对应的登录脚本，从而通过登录脚本直接进行防火墙设备的登录。本实施例达到了快速便捷的登录防火墙设备的效果。
51.可选地，在本技术实施例提供的防火墙安全策略的配置方法中，确定多个防火墙设备待防护的应用程序包括：调取多个防火墙设备待防护的应用程序，并检测是否接收到应用程序的调整指令，其中，应用程序的调整指令用于指示添加应用程序或删除应用程序；在接收到调整指令的情况下，根据调整指令的内容调整多个防火墙设备待防护的应用程序，得到更新后的待防护的应用程序。
52.具体的，由于每个防火墙设备对应的应用程序会发生变更，所以需要定时对每台防火墙设备和应用程序的对应关系进行检查，并在防火墙设备接收到增加或删除应用程序的调整指令后，及时的对应用程序进行变更，从而准确的对应用程序进行安全防护。本实施例及时调整了防火墙设备和应用程序的对应关系，使得防火墙设备能够准确确定防护对象，提高了防火墙设备的防护效率和准确率。
53.需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
54.本技术实施例还提供了一种防火墙安全策略的配置装置，需要说明的是，本技术实施例的防火墙安全策略的配置装置可以用于执行本技术实施例所提供的用于防火墙安全策略的配置方法。以下对本技术实施例提供的防火墙安全策略的配置装置进行介绍。
55.图2是根据本技术实施例的防火墙安全策略的配置装置的示意图。如图2所示，该装置包括：第一获取单元21，分组单元22，第一下发单元23，第二下发单元24。
56.第一获取单元21，用于获取多个防火墙设备的设备信息，并确定多个防火墙设备待防护的应用程序；
57.分组单元22，用于根据应用程序对多个防火墙设备进行分组，得到每个应用程序对应的一组防火墙设备，其中，每组防火墙设备用于对对应的应用程序进行防护；
58.第一下发单元23，用于获取防护规则特征库，并将防护规则特征库下发至每个防火墙设备，其中，防护规则特征库中包括多个防护规则；
59.第二下发单元24，用于获取每个应用程序对应的安全配置策略，并将安全配置策略下发至应用程序对应的一组防火墙设备中，其中，安全配置策略为防护规则特征库中的防护规则的启用策略。
60.本技术实施例提供的防火墙安全策略的配置装置，通过第一获取单元21获取多个防火墙设备的设备信息，并确定多个防火墙设备待防护的应用程序；分组单元22根据应用程序对多个防火墙设备进行分组，得到每个应用程序对应的一组防火墙设备，其中，每组防火墙设备用于对对应的应用程序进行防护；第一下发单元23获取防护规则特征库，并将防护规则特征库下发至每个防火墙设备，其中，防护规则特征库中包括多个防护规则；第二下发单元24获取每个应用程序对应的安全配置策略，并将安全配置策略下发至应用程序对应的一组防火墙设备中，其中，安全配置策略为防护规则特征库中的防护规则的启用策略。解决了相关技术中无法便捷高效的对应用安全防火墙进行管理和运维的问题。通过获取多台设备的设备信息和应用程序信息，并根据设备信息和应用程序信息对多台设备同时进行管理和安全策略下发，进而达到了准确高效的对应用安全防火墙进行管理和运维的效果。
61.可选地，在本技术实施例提供的防火墙安全策略的配置装置中，该装置还包括：采集单元，用于采集每个防火墙设备的安全配置策略，并将防火墙设备的安全配置策略与预设安全配置策略进行对比，得到对比结果，其中，预设安全配置策略是防火墙设备所防护的应用程序对应的安全配置策略；调整单元，用于在对比结果指示防火墙设备的安全配置策略与预设安全配置策略不一致的情况下，根据预设安全配置策略调整防火墙设备的安全配置策略。
62.可选地，在本技术实施例提供的防火墙安全策略的配置装置中，第一下发单元23
包括：第一获取模块，用于获取防护规则特征库，并确定防护规则特征库的版本信息，得到第一版本信息；第一判断模块，用于判断当前防火墙设备是否已配置防护规则特征库，在已配置防护规则特征库的情况下，确定已配置的防护规则特征库的版本信息，得到第二版本信息；第二判断模块，用于判断第二版本信息和第一版本信息是否相同；更新模块，用于在第二版本信息和第一版本信息不相同的情况下，根据获取到的防护规则特征库更新当前防火墙设备已配置的防护规则特征库。
63.可选地，在本技术实施例提供的防火墙安全策略的配置装置中，第二下发单元24包括：第三判断模块，用于判断当前防火墙设备是否已配置安全配置策略；第四判断模块，用于在当前防火墙设备已配置安全配置策略的情况下，判断多个防火墙设备待防护的应用程序是否发生变化；第二获取模块，用于在多个防火墙设备待防护的应用程序发生变化的情况下，获取每个应用程序对应的安全配置策略，并根据获取到的安全配置策略更新防火墙设备中已配置的安全配置策略。
64.可选地，在本技术实施例提供的防火墙安全策略的配置装置中，该装置还包括：第二获取单元，用于在多个防火墙设备待防护的应用程序未发生变化的情况下，获取每个应用程序对应的安全配置策略，并判断获取到的安全配置策略是否发生变化；更新单元，用于在获取到的安全配置策略发生变化的情况下，根据获取的安全配置策略更新当前防火墙设备已配置的安全配置策略。
65.可选地，在本技术实施例提供的防火墙安全策略的配置装置中，该装置还包括：第三获取单元，用于获取每个防火墙设备的历史登录数据包，并根据历史登录数据包中的数据确定多个防火墙设备对应的登录脚本；第四获取单元，用于获取每个防火墙设备的设备登录信息，并将设备登录信息配置至登录脚本，得到更新后的登录脚本，其中，设备登录信息至少包括以下之一：登录账号信息，登录密码信息；登录单元，用于根据更新后的登录脚本登录多个防火墙设备。
66.可选地，在本技术实施例提供的防火墙安全策略的配置装置中，第一获取单元21包括：调取模块，用于调取多个防火墙设备待防护的应用程序，并检测是否接收到应用程序的调整指令，其中，应用程序的调整指令用于指示添加应用程序或删除应用程序；调整模块，用于在接收到调整指令的情况下，根据调整指令的内容调整多个防火墙设备待防护的应用程序，得到更新后的待防护的应用程序。
67.上述防火墙安全策略的配置装置包括处理器和存储器，上述第一获取单元21，分组单元22，第一下发单元23，第二下发单元24等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
68.处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来解决了相关技术中无法便捷高效的对应用安全防火墙进行管理和运维的问题。
69.存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)，存储器包括至少一个存储芯片。
70.本发明实施例提供了一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时实现所述防火墙安全策略的配置方法。
71.本发明实施例提供了一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行所述防火墙安全策略的配置方法。
72.如图3所示，本发明实施例提供了一种电子设备，电子设备10包括处理器、存储器及存储在存储器上并可在处理器上运行的程序，处理器执行程序时实现以下步骤：获取多个防火墙设备的设备信息，并确定多个防火墙设备待防护的应用程序；根据应用程序对多个防火墙设备进行分组，得到每个应用程序对应的一组防火墙设备，其中，每组防火墙设备用于对对应的应用程序进行防护；获取防护规则特征库，并将防护规则特征库下发至每个防火墙设备，其中，防护规则特征库中包括多个防护规则；获取每个应用程序对应的安全配置策略，并将安全配置策略下发至应用程序对应的一组防火墙设备中，其中，安全配置策略为防护规则特征库中的防护规则的启用策略。本文中的设备可以是服务器、pc、pad、手机等。
73.本技术还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序：获取多个防火墙设备的设备信息，并确定多个防火墙设备待防护的应用程序；根据应用程序对多个防火墙设备进行分组，得到每个应用程序对应的一组防火墙设备，其中，每组防火墙设备用于对对应的应用程序进行防护；获取防护规则特征库，并将防护规则特征库下发至每个防火墙设备，其中，防护规则特征库中包括多个防护规则；获取每个应用程序对应的安全配置策略，并将安全配置策略下发至应用程序对应的一组防火墙设备中，其中，安全配置策略为防护规则特征库中的防护规则的启用策略。
74.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
75.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
76.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
77.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
78.在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
79.存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。存储器是计算机可读介质的示例。
80.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
81.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
82.以上仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。