防火墙安全配置方法、装置、计算机设备及存储介质与流程

1.本发明涉及防火墙安全领域，尤其涉及一种防火墙安全配置方法、装置、计算机设备及存储介质。


背景技术：

2.在防火墙应用方面，硬件防火墙的性能优良，实施成本较高；虚拟防火墙存在性能瓶颈，实施成本低。对于一些数据中心，需要同时使用硬件防火墙和虚拟防火墙，即混用防火墙，以满足实际使用需求。而且，数据中心通常基于租户的需求分割出多个子网络。这些因素的叠加，增加防火墙配置的复杂性和难度，导致防火墙配置容易出现错漏，降低网络安全性。


技术实现要素：

3.基于此，有必要针对上述技术问题，提供一种防火墙安全配置方法、装置、计算机设备及存储介质，以降低混用防火墙的配置难度，提高网络安全性。
4.一种防火墙安全配置方法，包括：
5.获取租户的网络需求信息以及混用防火墙的状态数据，所述网络需求信息包括内网需求信息和外网需求信息；所述状态数据包括硬件防火墙的第一状态数据和虚拟防火墙的第二状态数据；
6.根据所述内网需求信息和所述第一状态数据生成所述租户的内网硬件防火墙适配数据；根据所述外网需求信息和所述第一状态数据生成所述租户的外网硬件防火墙适配数据；根据所述内网需求信息和所述第二状态数据生成所述租户的内网虚拟防火墙适配数据；根据所述外网需求信息和所述第二状态数据生成所述租户的外网虚拟防火墙适配数据；
7.根据所述租户的内网评判规则对所述内网硬件防火墙适配数据和所述内网虚拟防火墙适配数据进行比较，生成内网比较结果；根据所述租户的外网评判规则对所述外网硬件防火墙适配数据和所述内网虚拟防火墙适配数据进行比较，生成外网比较结果；
8.根据所述内网比较结果和所述外网比较结果生成所述租户的防火墙安全配置信息。
9.一种防火墙安全配置装置，包括：
10.获取数据模块，用于获取租户的网络需求信息以及混用防火墙的状态数据，所述网络需求信息包括内网需求信息和外网需求信息；所述状态数据包括硬件防火墙的第一状态数据和虚拟防火墙的第二状态数据；
11.适配数据计算模块，用于根据所述内网需求信息和所述第一状态数据生成所述租户的内网硬件防火墙适配数据；根据所述外网需求信息和所述第一状态数据生成所述租户的外网硬件防火墙适配数据；根据所述内网需求信息和所述第二状态数据生成所述租户的内网虚拟防火墙适配数据；根据所述外网需求信息和所述第二状态数据生成所述租户的外
网虚拟防火墙适配数据；
12.数据比较模块，用于根据所述租户的内网评判规则对所述内网硬件防火墙适配数据和所述内网虚拟防火墙适配数据进行比较，生成内网比较结果；根据所述租户的外网评判规则对所述外网硬件防火墙适配数据和所述内网虚拟防火墙适配数据进行比较，生成外网比较结果；
13.生成配置信息模块，用于根据所述内网比较结果和所述外网比较结果生成所述租户的防火墙安全配置信息。
14.一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机可读指令，所述处理器执行所述计算机可读指令时实现上述防火墙安全配置方法。
15.一个或多个存储有计算机可读指令的可读存储介质，所述计算机可读指令被一个或多个处理器执行时，使得所述一个或多个处理器执行如上述防火墙安全配置方法。
16.上述防火墙安全配置方法、装置、计算机设备及存储介质，通过分析内外网与两种防火墙之间的适配数据，然后再分别从内网维度和外网维度对适配数据进行比较，最终为租户选取出与当前防火墙资源适配的配置信息。本发明可以降低混用防火墙的配置难度，而且选取出的防火墙安全配置信息与租户的网络需求适配，可以保证防火墙的可用性，进而提高租户网络的安全性。
附图说明
17.为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例的描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
18.图1是本发明一实施例中防火墙安全配置方法的一应用环境示意图；
19.图2是本发明一实施例中防火墙安全配置方法的一流程示意图；
20.图3是本发明一实施例中防火墙安全配置装置的一结构示意图；
21.图4是本发明一实施例中计算机设备的一示意图。
具体实施方式
22.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
23.本实施例提供的防火墙安全配置方法，可应用在如图1的应用环境中，其中，客户端与服务端进行通信。其中，客户端包括但不限于各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备。服务端可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
24.在一实施例中，如图2所示，提供一种防火墙安全配置方法，以该方法应用在图1中的服务端为例进行说明，包括如下步骤s10-s40。
25.s10、获取租户的网络需求信息以及混用防火墙的状态数据，所述网络需求信息包括内网需求信息和外网需求信息；所述状态数据包括硬件防火墙的第一状态数据和虚拟防火墙的第二状态数据。
26.可理解地，租户可以指具有网络租借需求的用户。例如，某一企业(租户)需要向数据中间租借服务器资源，以构建企业网络。网络需求信息可以是与企业网络安全相关的信息，如可以是ip网段、流量控制、访问权限等信息。企业网络可以分成两个部分，一个是内网，如某个店铺的订单系统；另一个外网，如店铺与外部服务器的接口。内网需求信息可以指内网中与数据安全、数据访问相关的信息。外网需求信息可以指外网接口中与数据安全、数据访问相关的信息。网络需求信息可以由用户输入。
27.混用防护墙可以包括硬件防火墙和虚拟防火墙。硬件防火墙的性能优良，但实施成本较高。虚拟防火墙存在性能瓶颈，实施成本低。混用防火墙的状态数据包括硬件防火墙的第一状态数据和虚拟防火墙的第二状态数据。其中，第一状态数据可以是硬件防火墙的在用数量和可用数量，第二状态数据可以是虚拟防火墙的在用数量和可用数量。
28.s20、根据所述内网需求信息和所述第一状态数据生成所述租户的内网硬件防火墙适配数据；根据所述外网需求信息和所述第一状态数据生成所述租户的外网硬件防火墙适配数据；根据所述内网需求信息和所述第二状态数据生成所述租户的内网虚拟防火墙适配数据；根据所述外网需求信息和所述第二状态数据生成所述租户的外网虚拟防火墙适配数据。
29.可理解地，可以根据内网需求信息和第一状态数据生成租户的内网硬件防火墙适配数据。在一些示例中，内网硬件防火墙适配数据可以使用一个内网硬件适配分数表示，内网硬件适配分数越高，说明内网使用硬件防火墙的倾向性越高。
30.一般情况下，内网需求信息越复杂(可视为需要占用的防火墙资源越多)，则内网使用硬件防火墙的倾向性越高。硬件防火墙的可用数量越多(可视为防火墙资源越多)，则内网使用硬件防火墙的倾向性越高。
31.可以根据外网需求信息和第一状态数据生成租户的外网硬件防火墙适配数据。在一些示例中，外网硬件防火墙适配数据可以使用一个外网硬件适配分数表示，外网硬件适配分数越高，说明外网使用硬件防火墙的倾向性越高。
32.一般情况下，外网需求信息越复杂(可视为需要占用的防火墙资源越多)，则外网使用硬件防火墙的倾向性越高。硬件防火墙的可用数量越多(可视为防火墙资源越多)，则外网使用硬件防火墙的倾向性越高。
33.可以根据内网需求信息和第二状态数据生成租户的内网虚拟防火墙适配数据。在一些示例中，内网虚拟防火墙适配数据可以使用一个内网虚拟适配分数表示，内网虚拟适配分数越高，说明内网使用虚拟防火墙的倾向性越高。
34.一般情况下，内网需求信息越简单(可视为需要占用的防火墙资源越少)，则内网使用虚拟防火墙的倾向性越高。虚拟防火墙的可用数量越多(可视为防火墙资源越多)，则内网使用虚拟防火墙的倾向性越高。
35.可以根据外网需求信息和第二状态数据生成租户的外网虚拟防火墙适配数据。在一些示例中，外网虚拟防火墙适配数据可以使用一个外网虚拟适配分数表示，外网虚拟适配分数越高，说明外网使用虚拟防火墙的倾向性越高。
36.一般情况下，外网需求信息越简单(可视为需要占用的防火墙资源越少)，则外网使用虚拟防火墙的倾向性越高。虚拟防火墙的可用数量越多(可视为防火墙资源越多)，则外网使用虚拟防火墙的倾向性越高。
37.s30、根据所述租户的内网评判规则对所述内网硬件防火墙适配数据和所述内网虚拟防火墙适配数据进行比较，生成内网比较结果；根据所述租户的外网评判规则对所述外网硬件防火墙适配数据和所述内网虚拟防火墙适配数据进行比较，生成外网比较结果。
38.可理解地，内网评判规则可以根据实际需要进行设置。一些情况下，可以基于租户的需求设置内网评判规则。内网比较结果可以指内网防火墙的选取结果，如可以是内网防火墙可全部选用硬件防火墙，也可以全部选用虚拟防火墙。在一示例中，可以直接比较内网硬件防火墙适配数据a和内网虚拟防火墙适配数据b的大小，若a》b，则内网比较结果为选取硬件防火墙；若a《b，则内网比较结果为选取虚拟防火墙。
39.在另一示例中，若内网评判规则偏向于使用虚拟防火墙，可以设置一个偏好阈值n，n为正数。在比较内网硬件防火墙适配数据a和内网虚拟防火墙适配数据b的大小时，若a》b+n，则内网比较结果为选取硬件防火墙；若a《b+n，则内网比较结果为选取虚拟防火墙。
40.类似的，若内网评判规则偏向于使用硬件防火墙，可以设置一个偏好阈值m，m为正数。在比较内网硬件防火墙适配数据a和内网虚拟防火墙适配数据b的大小时，若a+m》b，则内网比较结果为选取硬件防火墙；若a+m《b，则内网比较结果为选取虚拟防火墙。
41.外网评判规则及外网比较结果的设置方式，可以参照内网评判规则及内网比较结果的设置方式，在此不再赘述。
42.s40、根据所述内网比较结果和所述外网比较结果生成所述租户的防火墙安全配置信息。
43.可理解地，可以结合内网比较结果和外网比较结果，生成组合的防火墙安全配置信息。例如，租户的内网可以使用虚拟防火墙，外网可以使用硬件防火墙。
44.本实施例通过分析内外网与两种防火墙之间的适配数据，然后再分别从内网维度和外网维度对适配数据进行比较，最终为租户选取出与当前防火墙资源适配的配置信息。本实施例可以降低混用防火墙的配置难度，而且选取出的防火墙安全配置信息与租户的网络需求适配，可以保证防火墙的可用性，进而提高租户网络的安全性。
45.可选的，步骤s10，即所述获取租户的网络需求信息，包括：
46.s101、获取所述租户的网络申请信息和/或网络使用信息；
47.s102、根据所述网络申请信息和/或所述网络使用信息生成租户标签；
48.s103、获取与所述租户标签匹配的所述网络需求信息。
49.可理解地，若租户为新用户，则获取其网络申请信息。网络申请信息包括但不限于用于创建企业网络的存储资源的申请信息、计算资源的申请信息、流量资源的申请信息。
50.若租户为旧用户，则获取其网络使用信息，或者同时获取网络申请信息(网络扩容)和网络使用信息。网络使用信息包括但不限于企业网络的存储资源的使用信息、计算资源的使用信息、流量资源的使用信息。
51.可以基于租户的网络申请信息和/或网络使用信息生成租户标签。例如，依照流量的不同，可以分成三个租户标签，如高流量、中流量和低流量。在此处，租户标签可以是一个或多个。例如，租户标签可以是：中流量、高负载。
52.可以预先配置租户标签与需求信息之间的匹配规则。在生成租户标签之后，可以通过租户标签匹配相应的需求信息，生成上述网络需求信息。
53.本实施例直接使用租户的网络申请信息和/或网络使用信息生成租户的网络需求信息，可以减少租户设置网络需求信息的工作量，进而提高配置效率。
54.可选的，步骤s20中，即所述根据所述内网需求信息和所述第一状态数据生成所述租户的内网硬件防火墙适配数据，包括：
55.s201、从所述内网需求信息提取内网闲时处理量和内网忙时处理量；从所述第一状态数据提取第一闲时空闲率和第一忙时空闲率；
56.s202、根据所述内网闲时处理量和所述第一闲时空闲率确定第一内网闲时适配数据；根据所述内网忙时处理量和所述第一忙时空闲率确定第一内网忙时适配数据；
57.s203、根据所述第一内网闲时适配数据和所述第一内网忙时适配数据确定所述内网硬件防火墙适配数据。
58.可理解地，从内网需求信息提取内网闲时处理量和内网忙时处理量。可以根据实际需要定义内网闲时处理量和内网忙时处理量。在一些示例中，内网闲时处理量包括但不限于处于闲时时段的数据访问量、数据拦截量；内网忙时处理量包括但不限于处于忙时时段的数据访问量、数据拦截量。闲时时段和忙时时段可以根据实际情况进行设置。例如，闲时时段可以设置为0:00～8:00；忙时时段可以设置为8:00～24:00。
59.可以从第一状态数据提取第一闲时空闲率和第一忙时空闲率。可以根据实际需要定义第一闲时空闲率和第一忙时空闲率。在一些示例中，第一闲时空闲率包括但不限于处于闲时时段的可用访问量、可用拦截量；第一忙时空闲率包括但不限于处于忙时时段的可用访问量、可用拦截量。闲时时段和忙时时段可以根据实际情况进行设置。例如，闲时时段可以设置为0:00～8:00；忙时时段可以设置为8:00～24:00。
60.可以根据内网闲时处理量和第一闲时空闲率确定第一内网闲时适配数据。在一些示例中，第一内网闲时适配数据与内网闲时处理量呈负相关，与第一闲时空闲率呈正相关。
61.可以根据内网忙时处理量和第一忙时空闲率确定第一内网忙时适配数据。在一些示例中，第一内网忙时适配数据与内网忙时处理量呈负相关，与第一忙时空忙率呈正相关。
62.在获得第一内网闲时适配数据和第一内网忙时适配数据之后，可以根据第一内网闲时适配数据和第一内网忙时适配数据确定内网硬件防火墙适配数据。在一些示例中，内网硬件防火墙适配数据可以是第一内网闲时适配数据和第一内网忙时适配数据中的较小值。在另一些示例中，内网硬件防火墙适配数据可以是第一内网闲时适配数据和第一内网忙时适配数据的加权和。可以为闲时时段和忙时时段分别设置不同的权重系数。
63.本实施例可以分析出租户的内网需求与硬件防火墙资源之间的适配数据(即内网硬件防火墙适配数据)，以更好地为用户分配内网的硬件防火墙资源。
64.可选的，步骤s20中，即所述根据所述外网需求信息和所述第一状态数据生成所述租户的外网硬件防火墙适配数据，包括：
65.s204、从所述外网需求信息提取外网闲时处理量和外网忙时处理量；从所述第一状态数据提取第一闲时空闲率和第一忙时空闲率；
66.s205、根据所述外网闲时处理量和所述第一闲时空闲率确定第一外网闲时适配数据；根据所述外网忙时处理量和所述第一忙时空闲率确定第一外网忙时适配数据；
67.s206、根据所述第一外网闲时适配数据和所述第一外网忙时适配数据确定所述外网硬件防火墙适配数据。
68.本实施例提供的外网硬件防火墙适配数据的设置方式，可参照步骤s201～s203，在此不再赘述。
69.本实施例可以分析出租户的外网需求与硬件防火墙资源之间的适配数据(即外网硬件防火墙适配数据)，以更好地为用户分配外网的硬件防火墙资源。
70.同样的，可以参照步骤s201～s203，计算出内网虚拟防火墙适配数据和外网虚拟防火墙适配数据，在此不再赘述。
71.可选的，步骤s30，即所述根据所述租户的内网评判规则对所述内网硬件防火墙适配数据和所述内网虚拟防火墙适配数据进行比较，生成内网比较结果，包括：
72.s301、从所述内网评判规则提取内网硬件比较因子和内网虚拟比较因子；
73.s302、根据所述内网硬件比较因子和所述内网硬件防火墙适配数据确定内网硬件适配分数；根据所述内网虚拟比较因子和所述内网虚拟防火墙适配数据确定内网虚拟适配分数；
74.s303、根据所述内网硬件适配分数和所述内网虚拟适配分数，生成所述内网比较结果。
75.可理解地，内网评判规则可以根据租户的偏好进行设定，也可以根据租户的网络需求信息进行设定。内网评判规则可以设置有内网硬件比较因子和内网虚拟比较因子。若倾向于使用硬件防火墙，则内网硬件比较因子大于内网虚拟比较因子；若倾向于使用虚拟防火墙，则内网硬件比较因子小于内网虚拟比较因子。
76.在提取出内网硬件比较因子和内网虚拟比较因子之后，可以根据内网硬件比较因子和内网硬件防火墙适配数据确定内网硬件适配分数；根据内网虚拟比较因子和内网虚拟防火墙适配数据确定内网虚拟适配分数。在一示例中，内网硬件适配分数可以是内网硬件比较因子和内网硬件防火墙适配数据的乘积；网虚拟适配分数可以是内网虚拟比较因子和内网虚拟防火墙适配数据的乘积。
77.在获得内网硬件适配分数和内网虚拟适配分数之后，可以进一步生成内网比较结果。内网比较结果用于选择哪些防火墙对内网进行防护。
78.本实施例先通过内网评判规则对内网硬件防火墙适配数据和内网虚拟防火墙适配数据进行调整，生成相应的内网硬件适配分数和内网虚拟适配分数，获得的适配分数更加贴近用户的需求。然后对内网硬件适配分数和内网虚拟适配分数进行比较，选取出最佳的内网比较结果。
79.同样的，可以参照步骤s301～s303，计算出外网比较结果，在此不再赘述。
80.可选的，步骤s303，即所述根据所述内网硬件适配分数和所述内网虚拟适配分数，生成所述内网比较结果，包括：
81.s3031、若所述内网硬件适配分数大于所述内网虚拟适配分数，且所述内网硬件适配分数与所述内网虚拟适配分数之间的第一差值大于预设阈值，则将所述内网比较结果设置为选取硬件防火墙；
82.s3032、若所述内网硬件适配分数小于所述内网虚拟适配分数，且所述内网虚拟适配分数与所述内网硬件适配分数之间的第二差值大于所述预设阈值，则将所述内网比较结
果设置为选取虚拟防火墙。
83.可理解地，预设阈值可以根据实际需要进行设置。在一些示例中，预设阈值可以设置为内网虚拟适配分数与内网硬件适配分数之间的较小值的50％。
84.若内网硬件适配分数与内网虚拟适配分数之间的第一差值大于预设阈值，则将内网比较结果设置为选取硬件防火墙；内网虚拟适配分数与内网硬件适配分数之间的第二差值大于预设阈值，则将内网比较结果设置为选取虚拟防火墙。
85.本实施例在第一差值或第二差值大于预设阈值时，内网比较结果只选取一种防火墙，可以进一步降低防火墙设置的复杂性。
86.可选的，步骤s303，即所述根据所述内网硬件适配分数和所述内网虚拟适配分数，生成所述内网比较结果，包括：
87.s3033、若所述第一差值小于或等于所述预设阈值，或者所述第二差值小于或等于所述预设阈值，则将所述内网比较结果设置为按指定比例选取虚拟防火墙和硬件防火墙。
88.可理解地，预设阈值可以根据实际需要进行设置。在一些示例中，预设阈值可以设置为内网虚拟适配分数与内网硬件适配分数之间的较小值的50％。
89.若内网硬件适配分数与内网虚拟适配分数之间的第一差值小于或等于预设阈值，或，内网虚拟适配分数与内网硬件适配分数之间的第二差值大于预设阈值，则将内网比较结果设置为按指定比例选取虚拟防火墙和硬件防火墙。指定比例可以根据实际需要进行设置，如1:2或2：1，也可以按内网硬件适配分数和内网虚拟适配分数的比值设置虚拟防火墙和硬件防火墙的比例。
90.本实施例在第一差值或第二差值小于或等于预设阈值时，按比例分配防火墙，可以使虚拟防火墙和硬件防火墙的负载均衡。
91.应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。
92.在一实施例中，提供一种防火墙安全配置装置，该防火墙安全配置装置与上述实施例中防火墙安全配置方法一一对应。如图3所示，该防火墙安全配置装置包括获取数据模块10、适配数据计算模块20、数据比较模块30和生成配置信息模块40。各功能模块详细说明如下：
93.获取数据模块10，用于获取租户的网络需求信息以及混用防火墙的状态数据，所述网络需求信息包括内网需求信息和外网需求信息；所述状态数据包括硬件防火墙的第一状态数据和虚拟防火墙的第二状态数据；
94.适配数据计算模块20，用于根据所述内网需求信息和所述第一状态数据生成所述租户的内网硬件防火墙适配数据；根据所述外网需求信息和所述第一状态数据生成所述租户的外网硬件防火墙适配数据；根据所述内网需求信息和所述第二状态数据生成所述租户的内网虚拟防火墙适配数据；根据所述外网需求信息和所述第二状态数据生成所述租户的外网虚拟防火墙适配数据；
95.数据比较模块30，用于根据所述租户的内网评判规则对所述内网硬件防火墙适配数据和所述内网虚拟防火墙适配数据进行比较，生成内网比较结果；根据所述租户的外网评判规则对所述外网硬件防火墙适配数据和所述内网虚拟防火墙适配数据进行比较，生成
外网比较结果；
96.生成配置信息模块40，用于根据所述内网比较结果和所述外网比较结果生成所述租户的防火墙安全配置信息。
97.可选的，获取数据模块10包括：
98.获取租户信息单元，用于获取所述租户的网络申请信息和/或网络使用信息；
99.生成租户标签单元，用于根据所述网络申请信息和/或所述网络使用信息生成租户标签；
100.获取网络需求信息单元，用于获取与所述租户标签匹配的所述网络需求信息。
101.可选的，适配数据计算模块20包括：
102.第一内网提取单元，用于从所述内网需求信息提取内网闲时处理量和内网忙时处理量；从所述第一状态数据提取第一闲时空闲率和第一忙时空闲率；
103.第一内网适配数据单元，用于根据所述内网闲时处理量和所述第一闲时空闲率确定第一内网闲时适配数据；根据所述内网忙时处理量和所述第一忙时空闲率确定第一内网忙时适配数据；
104.内网硬件适配数据单元，用于根据所述第一内网闲时适配数据和所述第一内网忙时适配数据确定所述内网硬件防火墙适配数据。
105.可选的，适配数据计算模块20还包括：
106.第一外网提取单元，用于从所述外网需求信息提取外网闲时处理量和外网忙时处理量；从所述第一状态数据提取第一闲时空闲率和第一忙时空闲率；
107.第一外网适配数据单元，用于根据所述外网闲时处理量和所述第一闲时空闲率确定第一外网闲时适配数据；根据所述外网忙时处理量和所述第一忙时空闲率确定第一外网忙时适配数据；
108.外网硬件适配数据单元，用于根据所述第一外网闲时适配数据和所述第一外网忙时适配数据确定所述外网硬件防火墙适配数据。
109.可选的，数据比较模块30包括：
110.提取内网因子单元，用于从所述内网评判规则提取内网硬件比较因子和内网虚拟比较因子；
111.确定内网适配分数单元，用于根据所述内网硬件比较因子和所述内网硬件防火墙适配数据确定内网硬件适配分数；根据所述内网虚拟比较因子和所述内网虚拟防火墙适配数据确定内网虚拟适配分数；
112.内网比较结果单元，用于根据所述内网硬件适配分数和所述内网虚拟适配分数，生成所述内网比较结果。
113.可选的，内网比较结果单元包括：
114.第一设置内网单元，用于若所述内网硬件适配分数大于所述内网虚拟适配分数，且所述内网硬件适配分数与所述内网虚拟适配分数之间的第一差值大于预设阈值，则将所述内网比较结果设置为选取硬件防火墙；
115.第二设置内网单元，用于若所述内网硬件适配分数小于所述内网虚拟适配分数，且所述内网虚拟适配分数与所述内网硬件适配分数之间的第二差值大于所述预设阈值，则将所述内网比较结果设置为选取虚拟防火墙。
116.可选的，内网比较结果单元还包括：
117.第三设置内网单元，用于若所述第一差值小于或等于所述预设阈值，或者所述第二差值小于或等于所述预设阈值，则将所述内网比较结果设置为按指定比例选取虚拟防火墙和硬件防火墙。
118.关于防火墙安全配置装置的具体限定可以参见上文中对于防火墙安全配置方法的限定，在此不再赘述。上述防火墙安全配置装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
119.在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图4所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括可读存储介质、内存储器。该可读存储介质存储有操作系统、计算机可读指令和数据库。该内存储器为可读存储介质中的操作系统和计算机可读指令的运行提供环境。该计算机设备的数据库用于存储防火墙安全配置方法所涉及的数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机可读指令被处理器执行时以实现一种防火墙安全配置方法。本实施例所提供的可读存储介质包括非易失性可读存储介质和易失性可读存储介质。
120.在一个实施例中，提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机可读指令，处理器执行计算机可读指令时实现以下步骤：
121.获取租户的网络需求信息以及混用防火墙的状态数据，所述网络需求信息包括内网需求信息和外网需求信息；所述状态数据包括硬件防火墙的第一状态数据和虚拟防火墙的第二状态数据；
122.根据所述内网需求信息和所述第一状态数据生成所述租户的内网硬件防火墙适配数据；根据所述外网需求信息和所述第一状态数据生成所述租户的外网硬件防火墙适配数据；根据所述内网需求信息和所述第二状态数据生成所述租户的内网虚拟防火墙适配数据；根据所述外网需求信息和所述第二状态数据生成所述租户的外网虚拟防火墙适配数据；
123.根据所述租户的内网评判规则对所述内网硬件防火墙适配数据和所述内网虚拟防火墙适配数据进行比较，生成内网比较结果；根据所述租户的外网评判规则对所述外网硬件防火墙适配数据和所述内网虚拟防火墙适配数据进行比较，生成外网比较结果；
124.根据所述内网比较结果和所述外网比较结果生成所述租户的防火墙安全配置信息。
125.在一个实施例中，提供了一个或多个存储有计算机可读指令的计算机可读存储介质，本实施例所提供的可读存储介质包括非易失性可读存储介质和易失性可读存储介质。可读存储介质上存储有计算机可读指令，计算机可读指令被一个或多个处理器执行时实现以下步骤：
126.获取租户的网络需求信息以及混用防火墙的状态数据，所述网络需求信息包括内网需求信息和外网需求信息；所述状态数据包括硬件防火墙的第一状态数据和虚拟防火墙
的第二状态数据；
127.根据所述内网需求信息和所述第一状态数据生成所述租户的内网硬件防火墙适配数据；根据所述外网需求信息和所述第一状态数据生成所述租户的外网硬件防火墙适配数据；根据所述内网需求信息和所述第二状态数据生成所述租户的内网虚拟防火墙适配数据；根据所述外网需求信息和所述第二状态数据生成所述租户的外网虚拟防火墙适配数据；
128.根据所述租户的内网评判规则对所述内网硬件防火墙适配数据和所述内网虚拟防火墙适配数据进行比较，生成内网比较结果；根据所述租户的外网评判规则对所述外网硬件防火墙适配数据和所述内网虚拟防火墙适配数据进行比较，生成外网比较结果；
129.根据所述内网比较结果和所述外网比较结果生成所述租户的防火墙安全配置信息。
130.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机可读指令来指令相关的硬件来完成，所述的计算机可读指令可存储于一非易失性可读取存储介质或易失性可读存储介质中，该计算机可读指令在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
131.所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。
132.以上所述实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围，均应包含在本发明的保护范围之内。