WO2015168902A1

WO2015168902A1 - 一种生成访问控制列表规则的方法、装置及系统

Info

Publication number: WO2015168902A1
Application number: PCT/CN2014/077031
Authority: WO
Inventors: 蓝海青
Original assignee: 华为技术有限公司
Priority date: 2014-05-08
Filing date: 2014-05-08
Publication date: 2015-11-12
Also published as: CN105393497B; CN105393497A

Abstract

本发明实施例提供了一种生成访问控制列表规则的方法、装置及系统，涉及通信领域，防备整个网络系统遇到的所有网络安全威胁，从而提高整个网络系统的安全性。所述方法，包括：服务器获取网络安全威胁信息及安全策略信息；所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成访问控制列表ACL规则；所述服务器将生成的所述ACL规则发送至至少一个防火墙系统。本发明适用于网络安全的场景。

Description

一种生成访问控制列表规则的方法、装置及系统技术领域

本发明涉及通信领域，尤其涉及一种生成访问控制列表规则的方法、装置及系统。

背景技术

在现代通信系统中，为了保证数据的安全传输，通常在内部网络与外部网路之间加入防火墙，此防火墙允许合法数据包通过，禁止不合法数据包通过，从而实现数据的安全传输。防火墙技术的主要工作原理是采用 ACL ( Access Control List , 访问控制列表）来实现数据的安全传输。其中， ACL 中记录有多个 ACL 规则以便防火墙通过 ACL 规则确定接收到的数据包是否能够通过防火墙，从而实现数据的安全传输。

在现有技术中，具体生成 ACL规则的过程为：防火墙在监测到网络安全威胁时，根据网络安全威胁来生成 ACL 规则，进而将生成的 ACL规则进行生效设置，并将生效后的 ACL规则记录至 ACL 中，更新 ACL。并根据更新后的 ACL 记录的多个 ACL规则进行网络安全保护。

在实现上述 ACL规则生成的过程中，每个防火墙只能根据自身监测到的网络安全威胁来生成 ACL规则，即生成的 ACL规则只能防备自身遇到的网络安全威胁，而不能防备其他防火墙遇到的网络安全威胁。也就是说，每个防火墙均不能防备整个网络系统遇到的所有网络安全威胁，从而降低了整个网络系统的安全性。

发明内容

本发明的实施例提供了一种生成访问控制列表规则的方法、装置及系统，用于防备整个网络系统遇到的所有网络安全威胁，从而提高整个网络系统的安全性。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，本发明实施例提供了一种服务器，包括：获取单元，用于获取网络安全威胁信息及安全策略信息；生成单元，用于根据所述获取单元获取的所述网络安全威胁信息及所述安全策略信息生成访问控制列表 AC L 规则；发送单元，用于将所述生成单元生成的所述 AC L规则发送至至少一个防火墙系统。

在第一方面的第一种可能的实现方式中，所述安全策略信息包括：支持安全等级划分的安全策略信息；所述生成单元，具体用于根据所述获取单元获取的所述网络安全威胁信息及所述支持安全等级划分的安全策略信息生成不同安全等级的 AC L 规则；所述发送单元，具体用于将所述生成单元生成的所述不同安全等级的 AC L 规则发送至与安全等级对应的防火墙系统。

在第一方面的第二种可能的实现方式中，所述安全策略信息包括：支持区域划分的安全策略信息；所述生成单元，具体用于根据所述获取单元获取的所述网络安全威胁信息及所述支持区域划分的安全策略信息生成不同区域的 AC L 规则；所述发送单元，具体用于将所述生成单元生成的所述不同区域的 A C L 规则发送至与区域对应的防火墙系统。

在第一方面的第三种可能的实现方式中，所述安全策略信息包括：支持安全等级划分且支持区域划分的安全策略信息；所述生成单元，具体用于根据所述获取单元获取的所述网络安全威胁信息及所述支持安全等级划分且支持区域划分的安全策略信息生成不同区域的不同安全等级的 AC L 规则；所述发送单元，具体用于将所述生成单元生成的所述不同区域的不同安全等级的 AC L 规则发送至与所述区域对应的防火墙系统。

结合第一方面，或第一方面的第一至第三任一种可能的实现方式，在第一方面的第四种可能的实现方式中，所述获取单元，还用于获取第一信息；其中，所述第一信息包括第一 A C L 规划信息和 / 或用户使用需求信息；所述生成单元，具体用于在所述第一信息包括所述第一 AC L规划信息的情况下，根据所述第一 AC L规划信息、所述网络安全威胁信息及所述安全策略信息生成所述 AC L 规则；所述生成单元，具体用于在所述第一信息包括所述用户使用需求信息的情况下，根据所述用户使用需求信息，所述网络安全威胁信息及所述安全策略信息生成所述 ACL 规则；所述生成单元，具体用于在所述第一信息包括所述第一 ACL 规划信息及所述用户使用需求信息的情况下，根据所述第一 ACL 规划信息，所述用户使用需求信息，所述网络安全威胁信息及所述安全策略信息生成所述 ACL规则。

结合第一方面的第四种可能的实现方式，在第一方面的第五种可能的实现方式中，所述生成单元，具体用于根据第一 ACL 规则，所述获取单元获取的所述网络安全威胁信息及所述安全策略信息生成所述 ACL规则；或者，所述生成单元，具体用于根据第一 ACL规则，所述获取单元获取的所述网络安全威胁信息，所述安全策略信息及所述第一信息生成所述 ACL规则。

第二方面，本发明实施例提供了一种防火墙系统，包括：获取单元，用于获取访问控制列表 ACL 规则；处理单元，用于生效所述获取单元获取的所述 ACL 规则；所述处理单元，还用于根据生效后的所述 ACL 规则对第一节点进行安全保护；其中，所述第一节点为所述防火墙系统保护的节点。

在第二方面的第一种可能的实现方式中，还包括：接收单元；所述获取单元，具体用于触发所述接收单元接收服务器发送的 ACL 规则；或者，所述获取单元，具体用于获取用户配置的 ACL规则。

结合第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，所述获取单元，具体用于触发所述接收单元接收所述服务器发送的与安全等级对应的所述 ACL 规则；或者，所述获取单元，具体用于触发所述接收单元接收所述服务器发送的与区域对应的所述 ACL规则。

结合第二方面的第一或第二种可能的实现方式，在第二方面的第三种可能的实现方式中，还包括：发送单元；所述处理单元，具体用于触发所述接收单元接收外部网络发送的数据包；所述处理单元，具体用于根据生效后的 ACL 规则，确定所述接收单元接收到的所述数据包是否为安全数据包；所述处理单元，具体用于在根据所述生效后的 AC L 规则确定所述接收单元接收到的所述数据包为安全数据包时，触发所述发送单元将所述数据包发送至所述第一节点；所述处理单元，具体用于在根据所述生效后的 AC L 规则确定所述接收单元接收到的所述数据包为不安全数据包时，确定所述数据包是否为网络安全威胁信息；所述处理单元，具体用于在确定所述数据包为所述网络安全威胁信息时，触发所述发送单元将所述数据包作为所述网络安全威胁信息发送至所述服务器。

结合第二方面的第三种可能的实现方式，在第二方面的第四种可能的实现方式中，所述接收单元，还用于接收所述第一节点发送的网络安全威胁信息；所述发送单元，还用于将所述接收单元接收到的所述网络安全威胁信息发送至所述服务器。

结合第二方面，或第二方面的第一至第四任一种可能的实现方式，在第二方面的第五种可能的实现方式中，所述获取单元，还用于获取用户使用需求信息；所述发送单元，还用于将所述获取单元获取到的所述用户使用需求信息发送至所述服务器。

第三方面，本发明实施例提供了一种生成访问控制列表规则的方法，包括：服务器获取网络安全威胁信息及安全策略信息；所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成访问控制列表 AC L规则；所述服务器将生成的所述 AC L规则发送至至少一个防火墙系统。

在第三方面的第一种可能的实现方式中，所述安全策略信息包括：支持安全等级划分的安全策略信息；所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成所述 A C L 规则包括：所述服务器根据获取的所述网络安全威胁信息及所述支持安全等级划分的安全策略信息生成不同安全等级的 AC L 规则；所述服务器将生成的所述 AC L 规则发送至至少一个防火墙系统包括：所述服务器将生成的所述不同安全等级的 AC L 规则发送至与安全等级对应的防火墙系统。在第三方面的第二种可能的实现方式中，所述安全策略信息包括：支持区域划分的安全策略信息；所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成所述 AC L 规则包括：所述服务器根据获取的所述网络安全威胁信息及所述支持区域划分的安全策略信息生成不同区域的 AC L规则；所述服务器将生成的所述 AC L 规则发送至至少一个防火墙系统包括：所述服务器将生成的所述不同区域的 AC L规则发送至与区域对应的防火墙系统。

在第三方面的第三种可能的实现方式中，所述安全策略信息包括：支持安全等级划分且支持区域划分的安全策略信息；所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成所述 AC L 规则包括：所述服务器根据获取的所述网络安全威胁信息及所述支持安全等级划分且支持区域划分的安全策略信息生成不同区域的不同安全等级的 AC L规则；所述服务器将生成的所述 AC L规则发送至至少一个防火墙系统包括：所述服务器将所述不同区域的不同安全等级的 A C L规则发送至与所述区域对应的防火墙系统。

结合第三方面，或第三方面的第一至第三任一种可能的实现方式，在第三方面的第四种可能的实现方式中，在所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成所述 AC L 规则之前，还包括：所述服务器获取第一信息；其中，所述第一信息包括第一 A C L规划信息和 /或用户使用需求信息；所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成所述 AC L 规则包括：在所述第一信息包括所述第一 AC L 规划信息的情况下，所述服务器根据获取的所述第一 AC L 规划信息、所述网络安全威胁信息及所述安全策略信息生成所述 A C L 规则；在所述第一信息包括所述用户使用需求信息的情况下，所述服务器根据获取的所述用户使用需求信息，所述网络安全威胁信息及所述安全策略信息生成所述 A C L 规则；在所述第一信息包括所述第一 AC L 规划信息及所述用户使用需求信息的情况下，所述服务器根据获取的所述第一 A C L规划信息，所述用户使用需求信息，所述网络安全威胁信息及所述安全策略信息生成所述 AC L规则。

结合第三方面的第四种可能的实现方式，在第三方面的第五种可能的实现方式中，所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成所述 AC L 规则包括：所述服务器根据第一 AC L 规则，所述网络安全威胁信息，所述安全策略信息及所述第一信息生成所述 AC L规则。

第四方面，本发明实施例提供了一种生成访问控制列表规则的方法，包括：防火墙系统获取访问控制列表 AC L 规则；所述防火墙系统生效获取的所述 AC L 规则；所述防火墙系统根据生效后的所述 AC L 规则对第一节点进行安全保护；所述第一节点为所述防火墙系统保护的节点。

在第四方面的第一种可能的实现方式中，所述防火墙系统获取所述 AC L规则包括：所述防火墙系统接收服务器发送的 AC L规则；或者，所述防火墙系统获取用户配置的 AC L规则。

结合第四方面的第一种可能的实现方式，在第四方面的第二种可能的实现方式中，所述防火墙系统接收所述服务器发送的 AC L 规则包括：所述防火墙系统接收所述服务器发送的与安全等级对应的所述 AC L 规则；或者，所述防火墙系统接收所述服务器发送的与区域对应的所述 AC L规则。

结合第四方面的第一或第二种可能的实现方式，在第四方面的第三种可能的实现方式中，所述防火墙系统根据生效后的所述 A C L 规则对第一节点进行安全保护包括：所述防火墙系统接收外部网络发送的数据包；所述防火墙系统根据生效后的 AC L 规则，确定接收到的所述数据包是否为安全数据包；若所述防火墙系统根据所述生效后的 A C L 规则确定接收到的所述数据包为安全数据包，则所述防火墙系统将接收到的所述数据包发送至所述第一节点；若所述防火墙系统根据所述生效后的 AC L 规则确定接收到的所述数据包为不安全数据包，则所述防火墙系统确定所述数据包是否为网络安全威胁信息；若防火墙系统确定所述数据包为所述网络安全威胁信息，则所述防火墙系统将所述数据包作为所述网络安全威胁信息发送至所述服务器。

结合第四方面的第三种可能的实现方式，在第四方面的第四种可能的实现方式中，还包括：所述防火墙系统接收所述第一节点发送的网络安全威胁信息，并将接收到的所述网络安全威胁信息发送至所述服务器。

结合第四方面的第一至第四任一种可能的实现方式，在第四方面的第五种可能的实现方式中，还包括：所述防火墙系统获取用户使用需求信息，并将获取到的所述用户使用需求信息发送至所述服务器。

本发明实施例提供了一种生成访问控制列表规则的方法、装置及系统，服务器在获取到网络安全威胁信息及安全策略信息后，根据获取的网络安全威胁信息及安全策略信息生成访问控制列表 A C L 规则，并将生成的 A C L 规则分别发送至对应的防火墙系统。这样，由于服务器获取到的网络安全威胁信息为整个网络系统中遇到的安全威胁信息，因此根据此安全威胁信息及安全策略信息生成的 A C L 规则可以防备整个网络系统遇到的所有网络安全威胁，从而提高了整个网络系统的安全性。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明实施例提供的一种服务器的功能示意图；

图 2为本发明实施例提供的一种防火墙系统的功能示意图；图 3为本发明实施例提供的另一种防火墙系统的功能示意图；图 4 为本发明实施例提供的一种生成访问控制列表规则的流程示意图；图 5 为本发明实施例提供的另一种生成访问控制列表规则的流程示意图；

图 6 为本发明实施例提供的另一种生成访问控制列表规则的流程示意图；

图 7为本发明实施例提供的一种服务器的结构示意图；

图 8为本发明实施例提供的一种防火墙系统的结构示意图；图 9 为本发明实施例提供的一种生成访问控制列表规则的系统的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图 1 所示，其为本发明实施例提供的一种服务器的功能示意图，可参考图 1 所示，该服务器包括：获取单元 101, 生成单元 102 及发送单元 103。

所述获取单元 101, 用于获取网络安全威胁信息及安全策略信息。

其中，所述网络安全威胁信息的包头信息中包括源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息。

具体的，所述获取单元 101 可以接收防火墙系统发送的网络安全威胁信息；所述获取单元 101 获取的安全策略信息为接收用户根据需求配置的过滤规则信息。

需要说明的是，所述获取单元 101还可以根据其他方式获取网络安全威胁信息及安全策略信息，本发明对此不作限制。

进一步的，所述安全策略信息包括：支持安全等级划分的安全策略信息；或者，

所述安全策略信息包括：支持区域划分的安全策略信息；或者，所述安全策略信息包括：支持安全等级划分且支持区域划分的安全策略信息。

所述生成单元 102, 用于根据所述获取单元 101 获取的所述网络安全威胁信息及所述安全策略信息生成访问控制列表 A C L( A c c e s s Control List, 访问控制列表）规则。

具体的，所述生成单元 102根据获取的网络安全威胁信息及安全策略信息生成 ACL规则有两种方式，具体如下：

第一种方式，所述生成单元 102, 在所述获取单元 101 接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据所述获取单元 101 获取的用户配置的安全策略信息确定此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，并根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与可以通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为允许指令的 ACL规则。

第二种方式，所述生成单元 102, 在所述获取单元 101 接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据所述获取单元 101 获取的用户配置的安全策略信息确定此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，从而根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与不允许通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为禁止指令的 ACL规则。

进一步的，所述生成单元 102根据安全策略信息的不同，生成的 ACL规则也不同，具体为：

在所述安全策略信息包括：支持安全等级划分的安全策略信息的情况下，所述生成单元 102, 具体用于根据所述获取单元 101 获取的所述网络安全威胁信息及所述支持安全等级划分的安全策略信息生成不同安全等级的 ACL规则。

具体的，所述生成单元 102, 在安全策略信息包括支持安全等级划分的安全策略信息的情况下，在所述获取单元 101 接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据所述获取单元 101 获取的用户配置的支持安全等级划分的安全策略信息，确定在每一个安全等级下，此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，从而根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与每一个安全等级下允许通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个安全等级对应的 ACL规则。

需要说明的是，所述生成单元 102根据网络安全威胁信息与支持安全等级划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为禁止指令的每一个安全等级对应的 ACL 规则的方法，可参考所述生成单元 102 根据此网络安全威胁信息与支持安全等级划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个安全等级对应的 ACL 规则的方法，本发明在此不再赘述。

在所述安全策略信息包括：支持区域划分的安全策略信息的情况下，所述生成单元 102, 具体用于根据所述获取单元 101 获取的所述网络安全威胁信息及所述支持区域划分的安全策略信息生成不同区域的 ACL规则。

具体的，所述生成单元 102, 在安全策略信息包括支持区域划分的安全策略信息的情况下，在所述获取单元 101 接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据所述获取单元 1 0 1 获取的用户配置的支持区域划分的安全策略信息，确定在每一个区域下，此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，从而根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与每一个区域下允许通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个区域对应的 ACL规则。

需要说明的是，所述生成单元 1 0 2根据网络安全威胁信息与支持区域划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为禁止指令的每一个区域对应的 ACL 规则的方法，可参考所述生成单元 1 0 2 根据此网络安全威胁信息与支持区域划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个区域的对应 ACL规则的方法，本发明在此不再赘述。

在所述安全策略信息包括：支持安全等级划分且支持区域划分的安全策略信息的情况下，所述生成单元 1 0 2 , 具体用于根据所述获取单元 1 0 1 获取的所述网络安全威胁信息及所述支持安全等级划分且支持区域划分的安全策略信息生成不同区域的不同安全等级的 ACL规则。

具体的，所述生成单元 1 0 2 , 在安全策略信息包括支持安全等级划分且支持区域划分的安全策略信息的情况下，在所述获取单元 1 0 1 接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据所述获取单元 1 0 1 获取的用户配置的支持区域划分的安全策略信息，确定在每一个区域的每一个安全等级下，此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，从而根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与每一个区域的每一个安全等级下允许通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个区域的每一个安全等级对应的 ACL规则。需要说明的是，所述生成单元 102根据网络安全威胁信息与支持安全等级划分且支持区域划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为禁止指令的每一个区域的每一个安全等级的 ACL规则的方法，可参考所述生成单元 102根据此网络安全威胁信息与支持安全等级划分且支持区域划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个区域的每一个安全等级对应的 ACL规则的方法，本发明在此不再赘述。

所述发送单元 103, 用于将所述生成单元 102 生成的所述 ACL 规则发送至至少一个防火墙系统。

进一步的，在安全策略信息包括：支持安全等级划分的安全策略信息的情况下，所述发送单元 103, 具体用于将所述生成单元 102 生成的所述不同安全等级的 ACL 规则发送至与安全等级对应的防火墙系统。

具体的，所述发送单元 103在所述生成单元 102根据支持安全等级划分的安全策略信息生成不同安全等级的 ACL 规则时，根据用户配置的每个防火墙系统对应的保护节点的安全等级的不同，确定每个防火墙系统对应的保护节点的安全等级，并将生成的不同安全等级的 A C L 规则分别发送至与保护节点的安全等级对应的防火墙系统。

在安全策略信息包括：支持区域划分的安全策略信息的情况下，所述发送单元 103, 具体用于将所述生成单元 102 生成的所述不同区域的 ACL规则发送至与区域对应的防火墙系统。

具体的，所述发送单元 103在所述生成单元 102根据支持区域划分的安全策略信息生成不同区域的 ACL 规则时，根据用户配置的每个防火墙系统对应的保护节点的区域的不同，确定每个防火墙系统对应的保护节点的区域，并将生成的不同区域的 ACL 规则分别发送至与保护节点的区域对应的防火墙系统。

在安全策略信息包括：支持安全等级划分且支持区域划分的安全策略信息的情况下，所述发送单元 103, 具体用于将所述生成单元 102 所述不同区域的不同安全等级的 ACL规则发送至与所述区域对应的防火墙系统。

具体的，所述发送单元 1Q3, 在所述生成单元 102 根据支持安全等级划分且支持区域划分的安全策略信息生成不同区域的不同安全等级的 ACL 规则时，根据用户配置的每个防火墙系统对应的保护节点的区域的不同，确定每个防火墙系统对应的保护节点所在的区域及安全等级，并将生成的不同区域的不同安全等级的 ACL 规则分别发送至与保护节点所在的区域对应的防火墙系统。

进一步的，所述获取单元 101 , 还用于获取第一信息。

其中，所述第一信息包括第一 ACL规划信息和 /或用户使用需求信息。所述用户使用需求信息为用户根据新的需求将之前确定为不安全的数据包确定为安全的数据包的信息。

所述生成单元，具体用于在所述第一信息包括所述第一 ACL规划信息的情况下，根据所述第一 ACL 规划信息、所述网络安全威胁信息及所述安全策略信息生成所述 ACL规则；

所述生成单元，具体用于在所述第一信息包括所述用户使用需求信息的情况下，根据所述用户使用需求信息，所述网络安全威胁信息及所述安全策略信息生成所述 ACL规则；

所述生成单元，具体用于在所述第一信息包括所述第一 ACL规划信息及所述用户使用需求信息的情况下，根据所述第一 ACL 规划信息，所述用户使用需求信息，所述网络安全威胁信息及所述安全策略信息生成所述 ACL规则。

需要说明的是，所述生成单元 102根据所述获取单元 101获取的第一 ACL规划信息、网络安全威胁信息及安全策略信息生成的 ACL 规则是对第一 ACL规划信息的更新，或者是新生成的 ACL规则；所述生成单元 102根据所述获取单元 101 获取的第一 ACL规划信息、用户使用需求信息，网络安全威胁信息及安全策略信息生成的 ACL 规则是对第一 ACL规划信息的更新，或者是新生成的 ACL规则，本发明对此不做限制。

所述生成单元 102, 具体用于根据第一 ACL规则，所述获取单元 101 获取的所述网络安全威胁信息及所述安全策略信息生成所述 ACL规则。

其中，所述第一 ACL规则为所述生成单元 102在根据当前获取到的第一 ACL规划信息，和 /或网络安全威胁信息及安全策略信息生成 ACL规则之前的所有 ACL规则的集合。

需要说明的是，所述生成单元 102根据获取的第一 ACL规则、网络安全威胁信息及安全策略信息生成的 ACL规则是对第一 ACL规则的更新，或者是新生成的 ACL规则，本发明对此不做限制。

或者，所述生成单元 102, 具体用于根据第一 ACL 规则，所述获取单元 101 获取的所述网络安全威胁信息，所述安全策略信息及所述第一信息生成所述 ACL规则。

需要说明的是，所述生成单元 102根据获取的第一 ACL规则、网络安全威胁信息，安全策略信息及第一 ACL 规划信息生成的 ACL 规则是新生成的 ACL规则；或者是对第一 ACL规则的更新，或者是对第一 ACL规划信息的更新；所述生成单元 102根据获取的第一 ACL 规则、网络安全威胁信息，安全策略信息，第一 ACL 规划信息及用户使用需求信息生成的 ACL规则是新生成的 ACL规则；或者是对第一 ACL规则的更新，或者是对第一 ACL规划信息的更新；本发明对此不做限制。

需要说明的是，本发明所述服务器是集中式服务器，或者是分布式服务器，本发明对此不作限制。

需要说明的是，本发明对服务器的部署方案不做限制，例如，服务器可以为独立的设备；也可以与其他功能的服务器部署在同一个设备；也可以与整个网络系统中的任一个传输节点部署在同一个设备；也可以与其中一个防火墙系统部署在同一个设备。

本发明实施例提供了一种服务器，服务器在获取到网络安全威胁信息及安全策略信息后，根据获取的网络安全威胁信息及安全策略信息生成访问控制列表 ACL规则，并将生成的 ACL规则分别发送至对应的防火墙系统。这样，由于服务器获取到的网络安全威胁信息为整个网络系统中遇到的安全威胁信息，因此根据此安全威胁信息及安全策略信息生成的 ACL 规则可以防备整个网络系统遇到的所有网络安全威胁，从而提高了整个网络系统的安全性。

可以参考如图 1 所示的服务器的实施例的实现，相对应的，如图 2所示，提供一种防火墙系统的功能示意图，该防火墙系统包括：获取单元 2 01及处理单元 2 02。

所述获取单元 2 01 , 用于获取访问控制列表 ACL规则。

进一步的，所述防火墙系统，如图 3所示，还包括：接收单元

2 0 3。

具体的，所述获取单元 2 01 获取 ACL规则有两种方式，具体如下：

第一种方式，所述获取单元 2 01 , 具体用于触发所述接收单元 2 0 3接收服务器发送的 ACL规则。

进一步的，所述获取单元 2 01 , 具体用于触发所述接收单元 2 0 3 接收所述服务器发送的与安全等级对应的所述 ACL规则。

或者，所述获取单元 2 01 , 具体用于触发所述接收单元 2 0 3接收所述服务器发送的与区域对应的所述 ACL规则。

需要说明的是，所述接收单元 2 0 3接收服务器发送的与区域对应的 ACL规则包括：所述接收单元 2 0 3接收服务器发送的根据支持区域划分的安全策略信息生成的不同区域的 ACL 规则中的，与防火墙系统管理的区域对应的 ACL规则；或者，所述接收单元 2 0 3接收服务器发送的根据支持安全等级划分且支持区域划分的安全策略信息生成的不同区域的不同安全等级的 ACL 规则中，与防火墙系统管理的保护节点的安全等级及区域对应的 ACL规则。

第二种方式，所述获取单元 2 01 , 具体用于获取用户配置的 ACL 规则。

也就是说，所述获取单元 2 0 1 可以获取用户根据网络安全威胁信息预先配置的 ACL规则。

所述处理单元 2 02 ,用于生效所述获取单元 2 01获取的所述 ACL 规则。

具体的，所述处理单元 2 02 , 在所述获取单元 2 01 触发所述接收单元 2 0 3接收到服务器发送的 ACL规则或所述获取单元 2 0 1 获取到用户配置的 ACL规则时，将接收到的服务器发送的 ACL规则或用户配置的 ACL规则添加至 ACL列表中，更新 ACL列表，并将更新后的 ACL 列表进行生效，以使得所述处理单元 2 02在触发所述接收单元 2 0 3 接收到外部网络发送的数据包时，将接收到的此数据包与更新后的 ACL 列表进行匹配，从而完成所述处理单元 2 02对接收到的此数据包的监控。

需要说明的是，所述获取单元 2 0 1 在没有触发所述接收单元 2 0 3接收服务器发送的 ACL规则或用户配置的 ACL规则时，则不更新 ACL歹表，进而也不对不更新 ACL列表进行生效。

所述处理单元 2 02 , 还用于根据生效后的所述 ACL 规则对第一节点进行安全保护。

其中，所述第一节点为所述防火墙系统保护的节点。

进一步的，所述防火墙系统，如图 3所示，还包括：发送单元

2 04。

具体的，所述处理单元 2 02根据生效后的 ACL规则对第一节点进行安全保护的过程如下：

所述处理单元 2 02 , 具体用于触发所述接收单元 2 0 3 接收外部网络发送的数据包；并根据生效后的 ACL 规则，确定所述接收单元 2 0 3 接收到的所述数据包是否为安全数据包；在根据所述生效后的 ACL 规则确定所述接收单元 2 0 3 接收到的所述数据包为安全数据包时，触发所述发送单元 2 04将所述数据包发送至所述第一节点。

也就是说，所述处理单元 2 02在触发所述接收单元 2 0 3接收到外部网络发送的数据包时，解析出此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并将解析出的此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与生效后的执行指令为允许指令的 ACL 规则进行匹配，若将解析出的此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与生效后的执行指令为允许指令的任一条 ACL 规则中定义的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息匹配，则确定此数据包为安全数据包，并对此数据包执行生效后的执行指令为允许指令的 ACL 规则中定义的允许指令，此时，触发所述发送单元 2 04将此数据包发送至防火墙系统管理的第一节点。

所述处理单元 2 02 , 在根据所述生效后的 ACL 规则确定所述接收单元 2 0 3 接收到的所述数据包为不安全数据包时，确定所述数据包是否为网络安全威胁信息；在确定所述数据包为所述网络安全威胁信息时，触发所述发送单元 2 04 将所述数据包作为所述网络安全威胁信息发送至所述服务器。

也就是说，所述处理单元 2 02 , 在解析出此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与生效后的执行指令为允许指令的任一条 ACL 规则中定义的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息不匹配时，则确定此数据包为不安全数据包，此时，确定此数据包是否为网络安全威胁信息，若确定此数据包为网络安全威胁信息，此时，触发所述发送单元 2 04 将此数据包以网络安全威胁信息的格式发送至服务器。

需要说明的是，所述处理单元 2 02在确定接收到的数据包是否为安全数据包时，还可以将此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与生效后的执行指令为禁止指令的 ACL 规则进行匹配，本发明对此不作限制。

需要说明的是，本发明对防火墙系统的部署方案不做限制，例如，防火墙系统可以为独立的设备；也可以与整个网络系统中的传输节点或服务器或第一节点部署在同一个设备；还可以将防火墙系统中的不同功能模块分别装载在多个不同的设备中；所述防火墙系统中的不同功能模块可以为物理功能模块，也可以为逻辑功能模块。

进一步的，所述接收单元 2 0 3 , 还用于接收所述第一节点发送的网络安全威胁信息。

所述发送单元 2 04 , 还用于将所述接收单元 2 0 3 接收到的所述网络安全威胁信息发送至所述服务器。

所述获取单元 2 01 , 还用于获取用户使用需求信息。

其中，所述用户使用需求信息为用户根据新的需求将之前确定为不安全的数据包确定为安全的数据包的信息。

所述发送单元 2 04 , 还用于将所述获取单元 2 01 获取的所述用户使用需求信息发送至所述服务器。

本发明实施例提供了一种防火墙系统，在获取到 ACL规则时，将获取到的 ACL规则进行生效，并根据生效后的 ACL规则对第一节点进行安全保护。这样，由于服务器获取到的网络安全威胁信息为整个网络系统中遇到的安全威胁信息，因此根据此安全威胁信息及安全策略信息生成的 ACL 规则可以防备整个网络系统遇到的所有网络安全威胁，从而提高了整个网络系统的安全性。

本发明实施例提供了一种生成访问控制列表规则的方法，如图 4所示，包括：

4 01、服务器获取网络安全威胁信息及安全策略信息。

具体的，服务器可以接收防火墙系统发送的网络安全威胁信息；服务器获取的安全策略信息为接收用户根据需求配置的过滤规则信息。

需要说明的是，服务器还可以根据其他方式获取网络安全威胁信息及安全策略信息，本发明对此不作限制。进一步的，所述安全策略信息包括：支持安全等级划分的安全策略信息；或者，

4 0 2、所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成 AC L规则。

具体的，服务器根据获取的网络安全威胁信息及安全策略信息生成 AC L规则有两种方式，具体如下：

第一种方式，服务器在接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据获取的用户配置的安全策略信息确定此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，并根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与可以通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为允许指令的 AC L规则。

第二种方式，服务器在接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据获取的用户配置的安全策略信息确定此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，从而根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与不允许通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为禁止指令的 AC L规则。

进一步的，服务器根据安全策略信息的不同，生成的 AC L规则也不同，具体为：在所述安全策略信息包括：支持安全等级划分的安全策略信息的情况下，所述服务器根据获取的所述网络安全威胁信息及所述支持安全等级划分的安全策略信息生成不同安全等级的 A C L规则。

具体的，在安全策略信息包括支持安全等级划分的安全策略信息的情况下，服务器在接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据获取的用户配置的支持安全等级划分的安全策略信息，确定在每一个安全等级下，此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，从而根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与每一个安全等级下允许通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个安全等级对应的 AC L规则。

需要说明的是，服务器根据网络安全威胁信息与支持安全等级划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为禁止指令的每一个安全等级对应的 AC L 规则的方法，可参考服务器根据此网络安全威胁信息与支持安全等级划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个安全等级对应的 AC L规则的方法，本发明在此不再赘述。

在所述安全策略信息包括：支持区域划分的安全策略信息的情况下，所述服务器根据获取的所述网络安全威胁信息及所述支持区域划分的安全策略信息生成不同区域的 AC L规则。

具体的，在安全策略信息包括支持区域划分的安全策略信息的情况下，服务器在接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据获取的用户配置的支持区域划分的安全策略信息，确定在每一个区域下，此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，从而根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与每一个区域下允许通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个区域对应的 AC L 规则。

需要说明的是，服务器根据网络安全威胁信息与支持区域划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为禁止指令的每一个区域对应的 AC L 规则的方法，可参考服务器根据此网络安全威胁信息与支持区域划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个区域的对应 AC L 规则的方法，本发明在此不再赘述。

在所述安全策略信息包括：支持安全等级划分且支持区域划分的安全策略信息的情况下，所述服务器根据获取的所述网络安全威胁信息及所述支持安全等级划分且支持区域划分的安全策略信息生成不同区域的不同安全等级的 AC L规则。

具体的，在安全策略信息包括支持安全等级划分且支持区域划分的安全策略信息的情况下，服务器在接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据获取的用户配置的支持区域划分的安全策略信息，确定在每一个区域的每一个安全等级下，此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，从而根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与每一个区域的每一个安全等级下允许通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个区域的每一个安全等级对应的 AC L规则。

需要说明的是，服务器根据网络安全威胁信息与支持安全等级划分且支持区域划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为禁止指令的每一个区域的每一个安全等级的 AC L 规则的方法，可参考服务器根据此网络安全威胁信息与支持安全等级划分且支持区域划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个区域的每一个安全等级对应的 AC L规则的方法，本发明在此不再赘述。

4 0 3、所述服务器将生成的所述 A C L规则发送至至少一个防火墙系统。

进一步的，在安全策略信息包括：支持安全等级划分的安全策略信息的情况下，所述服务器将生成的所述不同安全等级的 AC L 规则发送至与安全等级对应的防火墙系统。

具体的，服务器在根据支持安全等级划分的安全策略信息生成不同安全等级的 AC L 规则时，根据用户配置的每个防火墙系统对应的保护节点的安全等级的不同，确定每个防火墙系统对应的保护节点的安全等级，并将生成的不同安全等级的 AC L 规则分别发送至与保护节点的安全等级对应的防火墙系统。

示例性的，假设用户配置的防火墙系统 A对应的保护节点的安全等级为安全等级 1 , 防火墙系统 B 对应的保护节点的安全等级为安全等级 2 , 则服务器根据安全等级 1 的安全策略信息生成安全等级 1 的 AC L规则，根据安全等级 2 的安全策略信息生成安全等级 2 的 AC L规则，并将生成的安全等级 1 的 AC L规则发送至防火墙系统 A ; 将生成的安全等级 2 的 AC L规则发送至防火墙系统 B。

在安全策略信息包括：支持区域划分的安全策略信息的情况下，所述服务器将生成的所述不同区域的 AC L 规则发送至与区域对应的防火墙系统。

具体的，服务器在根据支持区域划分的安全策略信息生成不同区域的 A C L 规则时，根据用户配置的每个防火墙系统对应的保护节点的区域的不同，确定每个防火墙系统对应的保护节点的区域，并将生成的不同区域的 AC L 规则分别发送至与保护节点的区域对应的防火墙系统。示例性的，假设用户配置的防火墙系统 Α对应的保护节点的区域为区域 1 , 防火墙系统 B对应的保护节点的区域为区域 2 , 则服务器根据区域 1 的安全策略信息生成区域 1 的 ACL规则，根据区域 2 的安全策略信息生成区域 1 的 ACL规则，并将生成的区域 1 的 AC L 规则发送至防火墙系统 A ; 将生成的区域 2 的 ACL规则发送至防火墙系统 B。

在安全策略信息包括：支持安全等级划分且支持区域划分的安全策略信息的情况下，所述服务器将所述不同区域的不同安全等级的 ACL规则发送至与所述区域对应的防火墙系统。

具体的，服务器在根据支持安全等级划分且支持区域划分的安全策略信息生成不同区域的不同安全等级的 AC L 规则时，根据用户配置的每个防火墙系统对应的保护节点的区域的不同，确定每个防火墙系统对应的保护节点所在的区域及安全等级，并将生成的不同区域的不同安全等级的 AC L 规则分别发送至与保护节点所在的区域对应的防火墙系统。

示例性的，假设用户配置的防火墙系统 A 的保护节点有节点 1 与节点 2 , 节点 1 的安全等级为安全等级 1 , 节点 1的安全等级为安全等级 2 , 且节点 1 与节点 2对应的区域为区域 1 , 防火墙系统 B的保护节点有节点 3与节点 4 , 节点 3的安全等级为安全等级 1 , 节点 4的安全等级为安全等级 2 ,且节点 3与节点 4对应的区域为区域 2 , 则服务器根据区域 1 的安全等级 1 的安全策略信息生成区域 1 的安全等级 1 的 AC L规则，根据区域 1 的安全等级 2 的安全策略信息生成区域 1 的安全等级 2 的 ACL规则，根据区域 2 的安全等级 1 的安全策略信息生成区域 2 的安全等级 1 的 ACL规则，并将生成的区域 1 的安全等级 1 的 ACL规则及区域 1 的安全等级 2 的 ACL规则发送至防火墙系统 A ; 将生成的区域 2的安全等级 1 的 ACL规则及区域 2 的安全等级 2 的 ACL规则发送至防火墙系统 B。

需要说明的是，本发明所述服务器可以是集中式服务器，或者是分布式服务器，本发明对此不作限制。需要说明的是，本发明对服务器的部署方案不做限制，例如，服务器可以为独立的设备；也可以与其他功能的服务器部署在同一个设备；也可以与整个网络系统中的任一个传输节点部署在同一个设备；也可以与其中一个防火墙系统部署在同一个设备。

本发明实施例提供了一种生成访问控制列表规则的方法，服务器在获取到网络安全威胁信息及安全策略信息后，根据获取的网络安全威胁信息及安全策略信息生成访问控制列表 ACL 规则，并将生成的 ACL 规则分别发送至对应的防火墙系统。这样，由于服务器获取到的网络安全威胁信息为整个网络系统中遇到的安全威胁信息，因此根据此安全威胁信息及安全策略信息生成的 ACL 规则可以防备整个网络系统遇到的所有网络安全威胁，从而提高了整个网络系统的安全性。

本发明实施例提供了一种生成访问控制列表规则的方法，如图 5所示，包括：

501、防火墙系统获取 ACL规则。

具体的，防火墙系统获取 ACL规则有两种方式，具体如下：第一种方式，所述防火墙系统接收服务器发送的 ACL规则。进一步的，所述防火墙系统接收所述服务器发送的与安全等级对应的所述 ACL规则。

或者，所述防火墙系统接收所述服务器发送的与区域对应的所述 ACL规则。

需要说明的是，防火墙系统接收服务器发送的与区域对应的 ACL 规则包括：防火墙系统接收服务器发送的根据支持区域划分的安全策略信息生成的不同区域的 ACL 规则中的，与防火墙系统管理的区域对应的 ACL 规则；或者，防火墙系统接收服务器发送的根据支持安全等级划分且支持区域划分的安全策略信息生成的不同区域的不同安全等级的 ACL 规则中，与防火墙系统管理的保护节点的安全等级及区域对应的 ACL规则。

第二种方式，所述防火墙系统获取用户配置的 ACL规则。也就是说，防火墙系统可以获取用户根据网络安全威胁信息预先配置的 ACL规则。

502、所述防火墙系统生效获取的所述 ACL规则。

具体的，防火墙系统在接收到服务器发送的 ACL规则或用户配置的 ACL规则时，将接收到的服务器发送的 ACL规则或用户配置的 ACL规则添力。至 ACL 歹' J表中，更新 ACL 列表，并将更新后的 ACL 列表进行生效，以使得防火墙系统在接收到外部网络发送的数据包时，将接收到的此数据包与更新后的 ACL 列表进行匹配，从而完成防火墙系统对接收到的此数据包的监控。

需要说明的是，防火墙系统在没有接收到服务器发送的 ACL 规则或用户配置的 ACL规则时，则不更新 ACL 列表，进而也不对不更新 ACL列表进行生效。

503、所述防火墙系统根据生效后的所述 ACL规则对第一节点进行安全保护。

其中，所述第一节点为所述防火墙系统保护的节点。

具体的，防火墙系统根据生效后的 ACL规则对第一节点进行安全保护的过程如下：

所述防火墙系统接收外部网络发送的数据包，并根据生效后的 ACL 规则，确定接收到的所述数据包是否为安全数据包；若所述防火墙系统根据所述生效后的 ACL 规则确定接收到的所述数据包为安全数据包，则所述防火墙系统将接收到的所述数据包发送至所述第一节点。

也就是说，防火墙系统在接收到外部网络发送的数据包时，解析出此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并将解析出的此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与生效后的执行指令为允许指令的 ACL 规则进行匹配，若将解析出的此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与生效后的执行指令为允许指令的任一条 A C L 规则中定义的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息匹配，则确定此数据包为安全数据包，并对此数据包执行生效后的执行指令为允许指令的 A C L 规则中定义的允许指令，从而将此数据包发送至防火墙系统管理的第一节点。

若所述防火墙系统根据所述生效后的 AC L规则确定接收到的所述数据包为不安全数据包，则所述防火墙系统确定所述数据包是否为网络安全威胁信息；若防火墙系统确定所述数据包为所述网络安全威胁信息，则所述防火墙系统将所述数据包作为所述网络安全威胁信息发送至所述服务器。

也就是说，若防火墙系统将解析出此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与生效后的执行指令为允许指令的任一条 AC L 规则中定义的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息不匹配，则确定此数据包为不安全数据包，此时，确定此数据包是否为网络安全威胁信息，若确定此数据包为网络安全威胁信息，则防火墙系统将此数据包以网络安全威胁信息的格式发送至服务器。

需要说明的是，防火墙系统在确定接收到的数据包是否为安全数据包时，还可以将此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与生效后的执行指令为禁止指令的 AC L 规则进行匹配，本发明对此不作限制。

本发明实施例提供了一种生成访问控制列表规则的方法，防火墙系统在获取到 ACL规则时，将获取到的 ACL规则进行生效，并根据生效后的 ACL 规则对第一节点进行安全保护。这样，由于服务器获取到的网络安全威胁信息为整个网络系统中遇到的安全威胁信息，因此根据此安全威胁信息及安全策略信息生成的 ACL 规则可以防备整个网络系统遇到的所有网络安全威胁，从而提高了整个网络系统的安全性。

本发明实施例提供了一种生成访问控制列表规则的方法，如图 6所示，包括：

需要说明的是，防火墙系统获取网络安全威胁信息，用户使用需求信息及服务器获取安全策略信息没有先后顺序，即步骤 6 0 1 , 步骤 6 02及步骤 6 0 3没有先后顺序，本发明对此不作限制。

6 01、所述防火墙系统获取网络安全威胁信息，并将获取到的所述网络安全威胁信息发送至服务器。所述服务器接收所述防火墙系统发送的所述网络安全威胁信息。

其中，所述第一节点为所述防火墙系统保护的节点。

具体的，所述防火墙系统接收所述第一节点发送的网络安全威胁信息，并将接收到的所述网络安全威胁信息发送至所述服务器，此时，服务器接收防火墙系统发送的网络安全威胁信息。

6 02、所述防火墙系统获取用户使用需求信息，并将获取到的所述用户使用需求信息发送至所述服务器。所述服务器获取第一信息。

其中，所述第一信息包括第一 ACL规划信息和 /或用户使用需求信息。所述第一 ACL规划信息为用户配置的 ACL规则。所述用户使用需求信息为用户根据新的需求确定的安全数据包信息，和 /或不安全数据包信息。

具体的，防火墙系统接收第一节点发送的用户使用需求信息，并将接收到的用户使用需求信息发送至服务器。此时，服务器接收防火墙系统发送的用户使用需求信息。

需要说明的是，防火墙系统还可以接收第一节点发送的携带有用户使用需求信息的消息，并在此消息中解析出携带的用户使用需求信息，进而将解析出的用户使用需求信息发送至服务器，本发明对此不做限制。

6 0 3、所述服务器获取安全策略信息。

具体的，服务器获取的安全策略信息为接收用户根据需求配置的过滤规则信息。

6 04、所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成 ACL规则。

具体的，服务器根据获取的网络安全威胁信息及安全策略信息生成 ACL规则的方法，可参考步骤 4 02 , 本发明在此不再赘述。

进一步的，在第一信息包括第一 ACL规划信息的情况下，所述服务器根据获取的所述第一 ACL 规划信息、所述网络安全威胁信息及所述安全策略信息生成所述 ACL规则。

具体的，服务器根据获取的第一 ACL规划信息、网络安全威胁信息及安全策略信息生成 ACL 规则的方法可参考步骤 4 02 , 本发明在此不再赘述。

在所述第一信息包括用户使用需求信息的情况下，所述服务器根据获取的所述用户使用需求信息，所述网络安全威胁信息及所述安全策略信息生成所述 ACL规则。

具体的，服务器根据获取的用户使用需求信息，网络安全威胁信息及安全策略信息生成 ACL 规则的方法可参考步骤 4 02 , 本发明在此不再赘述。

在所述第一信息包括第一 ACL规划信息及用户使用需求信息的情况下，所述服务器根据获取的所述第一 ACL 规划信息、所述用户使用需求信息，所述网络安全威胁信息及所述安全策略信息生成所述 ACL规则。

具体的，服务器根据获取的第一 ACL规划信息、用户使用需求信息，网络安全威胁信息及安全策略信息生成 ACL 规则的方法可参考步骤 402, 本发明在此不再赘述。

需要说明的是，服务器根据获取的第一 ACL规划信息、网络安全威胁信息及安全策略信息生成的 ACL规则是对第一 ACL规划信息的更新，或者是新生成的 ACL规则；服务器根据获取的第一 ACL规划信息、用户使用需求信息，网络安全威胁信息及安全策略信息生成的 ACL规则是对第一 ACL规划信息的更新，或者是新生成的 ACL 规则，本发明对此不做限制。

进一步的，所述服务器根据第一 ACL规则，所述网络安全威胁信息及所述安全策略信息生成所述 ACL规则。

其中，所述第一 ACL规则为服务器在根据当前获取到的第一 ACL 规划信息，和 /或网络安全威胁信息及安全策略信息生成 ACL规则之前的所有 ACL规则的集合。

具体的，服务器根据第一 ACL规则，网络安全威胁信息及安全策略信息生成 ACL 规则的方法，可参考步骤 402, 本发明在此不再赘述。

需要说明的是，服务器根据获取的第一 ACL规则、网络安全威胁信息及安全策略信息生成的 ACL规则是对第一 ACL规则的更新，或者是新生成的 ACL规则，本发明对此不做限制。

或者，所述服务器根据第一 ACL规则，所述网络安全威胁信息，所述安全策略信息及所述第一信息生成所述 ACL规则。

具体的，服务器根据第一 ACL规则，网络安全威胁信息，安全策略信息及第一信息生成 ACL 规则的方法，可参考步骤 402, 本发明在此不再赘述。

需要说明的是，服务器根据获取的第一 ACL规则、网络安全威胁信息，安全策略信息及第一 ACL规划信息生成的 ACL规则是新生成的 ACL规则；或者是对第一 ACL规则的更新，或者是对第一 ACL 规划信息的更新；服务器根据获取的第一 ACL 规则、网络安全威胁信息，安全策略信息，第一 ACL 规划信息及用户使用需求信息生成的 ACL规则是新生成的 ACL规则；或者是对第一 ACL规则的更新，或者是对第一 ACL规划信息的更新；本发明对此不做限制。

605、所述服务器将生成的所述 ACL规则发送至至少一个防火墙系统。所述防火墙系统获取所述 ACL规则。

具体的，可参考步骤 403与步骤 501 , 本发明在此不再赘述。 606、所述防火墙系统生效获取的所述 ACL规则。

具体的，可参考步骤 502, 本发明在此不再赘述。

607、所述防火墙系统根据生效后的所述 ACL规则对第一节点进行安全保护。

具体的，可参考步骤 503, 本发明在此不再赘述。

需要说明的是，防火墙系统在将获取的 ACL规则生效之后，根据生效后的 ACL 规则确定接收到的外部网络发送的数据包是否为网络安全威胁信息，在确定接收到的外部网络发送的数据包为网络安全威胁信息时，此时，防火墙系统获取网络安全威胁信息的方法有两种，第一种方法为防火墙系统将接收到的数据包确定为网络安全威胁信息；第二种方法为防火墙系统接收第一节点发送的网络安全威胁信息。

本发明实施例提供了一种生成访问控制列表规则的方法，服务器在获取到网络安全威胁信息及安全策略信息后，根据获取的网络安全威胁信息及安全策略信息生成访问控制列表 ACL 规则，并将生成的 ACL 规则分别发送至对应的防火墙系统，防火墙系统在接收到服务器发送的 ACL规则后，生效接收到的 ACL规则，并根据生效后的 ACL 规则对第一节点进行安全保护。这样，由于服务器获取到的网络安全威胁信息为整个网络系统中遇到的安全威胁信息，因此根据此安全威胁信息及安全策略信息生成的 ACL 规则可以防备整个网络系统遇到的所有网络安全威胁，从而提高了整个网络系统的安全性。如图 7 所示，其为本发明实施例提供的一种服务器的结构示意图，可参考图 7所示，该服务器包括：发送器 7 0 1 , 存储器 7 02 , 以及分别与发送器 7 01、存储器 7 02连接的处理器 7 0 3。

其中，存储器 7 02 中存储一组程序代码，且处理器 7 0 3用于调用存储器 7 02 中存储的程序代码。发送器 7 01 及处理器 7 0 3用于执行以下操作：

所述处理器 7 0 3 , 用于获取网络安全威胁信息及安全策略信息。其中，所述网络安全威胁信息的包头信息中包括源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息。

具体的，所述处理器 7 0 3可以接收防火墙系统发送的网络安全威胁信息；所述处理器 7 0 3 获取的安全策略信息为接收用户根据需求配置的过滤规则信息。

需要说明的是，所述处理器 7 0 3还可以根据其他方式获取网络安全威胁信息及安全策略信息，本发明对此不作限制。

所述所述处理器 7 0 3 , 用于根据获取的所述网络安全威胁信息及所述安全策略信息生成访问控制列表 A C L规则。

具体的，所述处理器 7 0 3根据获取的网络安全威胁信息及安全策略信息生成 ACL规则有两种方式，具体如下：

第一种方式，所述处理器 7 0 3在接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据获取的用户配置的安全策略信息确定此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，并根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与可以通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为允许指令的 ACL规则。

第二种方式，所述处理器 7 0 3在接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据获取的用户配置的安全策略信息确定此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，从而根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与不允许通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为禁止指令的 ACL规则。

进一步的，所述处理器 7 0 3根据安全策略信息的不同，生成的 ACL规则也不同，具体为：

在所述安全策略信息包括：支持安全等级划分的安全策略信息的情况下，所述处理器 7 0 3 , 具体用于根据获取的所述网络安全威胁信息及所述支持安全等级划分的安全策略信息生成不同安全等级的 ACL规则。

具体的，所述处理器 7 0 3 , 在安全策略信息包括支持安全等级划分的安全策略信息的情况下，在接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据获取的用户配置的支持安全等级划分的安全策略信息，确定在每一个安全等级下，此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，从而根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与每一个安全等级下允许通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个安全等级对应的 ACL规则。需要说明的是，所述处理器 7 0 3根据网络安全威胁信息与支持安全等级划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为禁止指令的每一个安全等级对应的 ACL 规则的方法，可参考所述处理器 7 0 3 根据此网络安全威胁信息与支持安全等级划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个安全等级对应的 ACL规则的方法，本发明在此不再赘述。

在所述安全策略信息包括：支持区域划分的安全策略信息的情况下，所述处理器 7 0 3 , 具体用于根据获取的所述网络安全威胁信息及所述支持区域划分的安全策略信息生成不同区域的 ACL规则。

具体的，所述处理器 7 0 3 , 在安全策略信息包括支持区域划分的安全策略信息的情况下，在接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据获取的用户配置的支持区域划分的安全策略信息，确定在每一个区域下，此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，从而根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与每一个区域下允许通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个区域对应的 ACL规则。

需要说明的是，所述处理器 7 0 3根据网络安全威胁信息与支持区域划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为禁止指令的每一个区域对应的 ACL 规则的方法，可参考所述处理器 7 0 3 根据此网络安全威胁信息与支持区域划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个区域的对应 ACL规则的方法，本发明在此不再赘述。

在所述安全策略信息包括：支持安全等级划分且支持区域划分的安全策略信息的情况下，所述处理器 7 0 3 , 具体用于根据获取的所述网络安全威胁信息及所述支持安全等级划分且支持区域划分的安全策略信息生成不同区域的不同安全等级的 ACL规则。具体的，所述处理器 7 0 3 , 在安全策略信息包括支持安全等级划分且支持区域划分的安全策略信息的情况下，在接收到防火墙系统发送的网络安全威胁信息后，解析出此网络安全威胁信息的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并根据获取的用户配置的支持区域划分的安全策略信息，确定在每一个区域的每一个安全等级下，此网络安全威胁信息可以通过的网络接口信息及不可以通过的网络接口信息，从而根据此网络安全威胁信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与每一个区域的每一个安全等级下允许通过的网络接口信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个区域的每一个安全等级对应的 ACL规则。

需要说明的是，所述处理器 7 0 3根据网络安全威胁信息与支持安全等级划分且支持区域划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为禁止指令的每一个区域的每一个安全等级的 ACL规则的方法，可参考所述处理器 7 0 3根据此网络安全威胁信息与支持安全等级划分且支持区域划分的安全策略信息生成与此网络安全威胁信息对应的执行指令为允许指令的每一个区域的每一个安全等级对应的 ACL规则的方法，本发明在此不再赘述。

所述发送器 7 01 , 用于将所述处理器 7 0 3 生成的所述 ACL规则发送至至少一个防火墙系统。

进一步的，在安全策略信息包括：支持安全等级划分的安全策略信息的情况下，所述发送器 7 01 , 具体用于将所述处理器 7 0 3 生成的所述不同安全等级的 ACL 规则发送至与安全等级对应的防火墙系统。

具体的，所述发送器 7 01在所述处理器 7 0 3根据支持安全等级划分的安全策略信息生成不同安全等级的 ACL 规则时，根据用户配置的每个防火墙系统对应的保护节点的安全等级的不同，确定每个防火墙系统对应的保护节点的安全等级，并将生成的不同安全等级的 ACL规则分别发送至与保护节点的安全等级对应的防火墙系统。

在安全策略信息包括：支持区域划分的安全策略信息的情况下，所述发送器 7 0 1 , 具体用于将所述处理器 7 0 3 生成的所述不同区域的 ACL规则发送至与区域对应的防火墙系统。

具体的，所述发送器 7 01在所述处理器 7 0 3根据支持区域划分的安全策略信息生成不同区域的 ACL 规则时，根据用户配置的每个防火墙系统对应的保护节点的区域的不同，确定每个防火墙系统对应的保护节点的区域，并将生成的不同区域的 ACL 规则分别发送至与保护节点的区域对应的防火墙系统。

在安全策略信息包括：支持安全等级划分且支持区域划分的安全策略信息的情况下，所述发送器 7 01 , 具体用于将所述处理器 7 0 3 所述不同区域的不同安全等级的 ACL 规则发送至与所述区域对应的防火墙系统。

具体的，所述发送器 7 01 , 在所述处理器 7 0 3 根据支持安全等级划分且支持区域划分的安全策略信息生成不同区域的不同安全等级的 ACL 规则时，根据用户配置的每个防火墙系统对应的保护节点的区域的不同，确定每个防火墙系统对应的保护节点所在的区域及安全等级，并将生成的不同区域的不同安全等级的 ACL 规则分别发送至与保护节点所在的区域对应的防火墙系统。

进一步的，所述处理器 7 0 3 , 还用于获取第一信息。

其中，所述第一信息包括第一 ACL规划信息和 /或用户使用需求信息。所述用户使用需求信息为用户根据新的需求确定的安全数据包信息，和 /或不安全数据包信息。

所述处理器 7 0 3 , 具体用于具体用于在所述第一信息包括所述第一 ACL规划信息的情况下，根据所述第一 ACL规划信息、所述网络安全威胁信息及所述安全策略信息生成所述 ACL规则。

所述处理器 7 0 3 , 具体用于在所述第一信息包括所述用户使用需求信息的情况下，根据所述用户使用需求信息，所述网络安全威胁信息及所述安全策略信息生成所述 ACL规则。

所述处理器 703, 具体用于在所述第一信息包括所述第一 ACL 规划信息及所述用户使用需求信息的情况下，根据所述第一 ACL 规划信息，所述用户使用需求信息，所述网络安全威胁信息及所述安全策略信息生成所述 ACL规则。

需要说明的是，所述处理器 703根据获取的第一 ACL规划信息、网络安全威胁信息及安全策略信息生成的 ACL规则是对第一 ACL规划信息的更新，或者是新生成的 ACL规则；所述处理器 703根据获取的第一 ACL 规划信息、用户使用需求信息，网络安全威胁信息及安全策略信息生成的 ACL规则是对第一 ACL规划信息的更新，或者是新生成的 ACL规则，本发明对此不做限制。

所述处理器 703, 具体用于根据第一 ACL 规则，所述网络安全威胁信息及所述安全策略信息生成所述 ACL规则。

其中，所述第一 ACL规则为所述处理器 703在根据当前获取到的第一 ACL规划信息，和 /或网络安全威胁信息及安全策略信息生成 ACL规则之前的所有 ACL规则的集合。

需要说明的是，所述处理器 703根据获取的第一 ACL规则、网络安全威胁信息及安全策略信息生成的 ACL规则是对第一 ACL规则的更新，或者是新生成的 ACL规则，本发明对此不做限制。

或者，所述处理器 703, 具体用于根据第一 ACL 规则，所述网络安全威胁信息，所述安全策略信息及所述第一信息生成所述 ACL 规则。

需要说明的是，所述处理器 703根据获取的第一 ACL规则、网络安全威胁信息，安全策略信息及第一 ACL规划信息生成的 ACL规则是新生成的 ACL规则；或者是对第一 ACL规则的更新，或者是对第一 ACL规划信息的更新；所述处理器 703根据获取的第一 ACL规则、网络安全威胁信息，安全策略信息，第一 ACL 规划信息及用户使用需求信息生成的 ACL规则是新生成的 ACL规则；或者是对第一 ACL 规则的更新，或者是对第一 ACL 规划信息的更新；本发明对此不做限制。

本发明实施例提供了一种服务器，服务器在获取到网络安全威胁信息及安全策略信息后，根据获取的网络安全威胁信息及安全策略信息生成访问控制列表 ACL规则，并将生成的 ACL规则分别发送至对应的防火墙系统。这样，由于服务器获取到的网络安全威胁信息为整个网络系统中遇到的安全威胁信息，因此根据此安全威胁信息及安全策略信息生成的 A C L 规则可以防备整个网络系统遇到的所有网络安全威胁，从而提高了整个网络系统的安全性。

可以参考如图 7 所示的服务器的实施例的实现，相对应的，如图 8所示，提供一种防火墙系统的结构示意图，该防火墙系统包括：接收器 8 01 , 发送器 8 02 , 存储器 8 0 3 , 以及分别与接收器 8 01、发送器 8 02、存储器 8 0 3连接的处理器 8 04。

其中，存储器 8 0 3 中存储一组程序代码，且处理器 8 04用于调用存储器 8 0 3 中存储的程序代码。接收器 8 0 1 , 发送器 8 02 及处理器 8 04用于执行以下操作：

所述处理器 8 04 , 用于获取访问控制列表 ACL规则。

具体的，所述处理器 8 04获取 ACL规则有两种方式，具体如下：第一种方式，所述处理器 8 04 , 具体用于触发所述接收器 8 01 接收服务器发送的 ACL规则。

进一步的，所述处理器 8 04 , 具体用于触发所述接收器 8 0 1 接收所述服务器发送的与安全等级对应的所述 ACL规则。

或者，所述处理器 8 04 , 具体用于触发所述接收器 8 01 接收所述服务器发送的与区域对应的所述 ACL规则。需要说明的是，所述接收器 801接收服务器发送的与区域对应的 ACL规则包括：所述接收器 801接收服务器发送的根据支持区域划分的安全策略信息生成的不同区域的 ACL 规则中的，与防火墙系统管理的区域对应的 ACL规则；或者，所述接收器 801接收服务器发送的根据支持安全等级划分且支持区域划分的安全策略信息生成的不同区域的不同安全等级的 ACL 规则中，与防火墙系统管理的保护节点的安全等级及区域对应的 ACL规则。

第二种方式，所述处理器 804, 具体用于获取用户配置的 ACL 规则。

也就是说，所述处理器 804 可以获取用户根据网络安全威胁信息预先配置的 ACL规则。

所述处理器 804, 还用于生效获取的所述 ACL规则。

具体的，所述处理器 804, 在触发所述接收器 801 接收到服务器发送的 ACL规则或获取到用户配置的 ACL规则时，将接收到的服务器发送的 ACL规则或用户配置的 ACL规则添加至 ACL列表中，更新 ACL 列表，并将更新后的 ACL 列表进行生效，以使得所述处理器 804 在触发所述接收器 801 接收到外部网络发送的数据包时，将接收到的此数据包与更新后的 ACL 列表进行匹配，从而完成所述处理器 804对接收到的此数据包的监控。

需要说明的是，所述处理器 804 在没有触发所述接收器 801 接收服务器发送的 ACL规则或用户配置的 ACL规则时，则不更新 ACL 列表，进而也不对不更新 ACL列表进行生效。

所述处理器 804, 还用于根据生效后的所述 ACL 规则对第一节点进行安全保护。

其中，所述第一节点为所述防火墙系统保护的节点。

具体的，所述处理器 804根据生效后的 ACL规则对第一节点进行安全保护的过程如下：

所述处理器 804, 具体用于触发所述接收器 801 接收外部网络发送的数据包；并根据生效后的 ACL规则，确定所述接收器 801接收到的所述数据包是否为安全数据包；在根据所述生效后的 ACL 规则确定所述接收器 8 01 接收到的所述数据包为安全数据包时，触发所述发送器 8 02将所述数据包发送至所述第一节点。

也就是说，所述处理器 8 04在触发所述接收器 8 0 1接收到外部网络发送的数据包时，解析出此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息，并将解析出的此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与生效后的执行指令为允许指令的 ACL 规则进行匹配，若将解析出的此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与生效后的执行指令为允许指令的任一条 ACL规则中定义的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息匹配，则确定此数据包为安全数据包，并对此数据包执行生效后的执行指令为允许指令的 ACL规则中定义的允许指令，此时，触发所述发送器 8 02将此数据包发送至防火墙系统管理的第一节点。

所述处理器 8 04 , 在根据所述生效后的 ACL规则确定所述接收器 8 01 接收到的所述数据包为不安全数据包时，确定所述数据包是否为网络安全威胁信息；在确定所述数据包为所述网络安全威胁信息时，触发所述发送器 8 02 将所述数据包作为所述网络安全威胁信息发送至所述服务器。

也就是说，所述处理器 8 04 , 在解析出此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与生效后的执行指令为允许指令的任一条 ACL 规则中定义的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息不匹配时，则确定此数据包为不安全数据包，此时，确定此数据包是否为网络安全威胁信息，若确定此数据包为网络安全威胁信息，此时，触发所述发送器 8 02 将此数据包以网络安全威胁信息的格式发送至服务器。需要说明的是，所述处理器 8 04在确定接收到的数据包是否为安全数据包时，还可以将此数据包的包头信息中携带的源地址信息，目的地址信息，源端口号信息及目的端口号信息中的至少一种信息与生效后的执行指令为禁止指令的 ACL 规则进行匹配，本发明对此不作限制。

进一步的，所述接收器 8 01 , 还用于接收所述第一节点发送的网络安全威胁信息。

所述发送器 8 02 , 还用于将所述接收器 8 01 接收到的所述网络安全威胁信息发送至所述服务器。

所述处理器 8 04 , 还用于获取用户使用需求信息。

其中，所述用户使用需求信息为用户根据新的需求确定的安全数据包信息，和 /或不安全数据包信息。

所述发送器 8 02 , 还用于将所述处理器 8 04 获取的所述用户使用需求信息发送至所述服务器。

本发明实施例提供了一种防火墙系统，防火墙系统在获取到 ACL 规则时，将获取到的 ACL 规则进行生效，并根据生效后的 ACL 规则对第一节点进行安全保护。这样，由于服务器获取到的网络安全威胁信息为整个网络系统中遇到的安全威胁信息，因此根据此安全威胁信息及安全策略信息生成的 ACL 规则可以防备整个网络系统遇到的所有网络安全威胁，从而提高了整个网络系统的安全性。

本发明实施例提供的一种生成访问控制列表规则的系统，如图 9所示，包括：服务器 9 01 , 防火墙系统 9 02。其中，

所述服务器 9 01为上述实施例所述的服务器。

所述防火墙系统 9 02为上述实施例所述的防火墙系统。本发明实施例提供了一种生成访问控制列表规则的方法、装置及系统，服务器在获取到网络安全威胁信息及安全策略信息后，根据获取的网络安全威胁信息及安全策略信息生成访问控制列表 A C L 规则，并将生成的 A C L 规则分别发送至对应的防火墙系统，此时，防火墙系统接收服务器发送的 AC L规则，并将接收到的 AC L规则进行生效，并根据生效后的 AC L规则对第一节点进行安全保护。这样，由于服务器获取到的网络安全威胁信息为整个网络系统中遇到的安全威胁信息，因此根据此安全威胁信息及安全策略信息生成的 A C L 规则可以防备整个网络系统遇到的所有网络安全威胁，从而提高了整个网络系统的安全性。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理包括，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括： U 盘、移动硬盘、只读存储器 ( Read-Only Memory, 简称画）、随机存取存储器（ Random Acces s Memory, 简称 RAM )、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

权利要求书

1、一种服务器，其特征在于，包括：

获取单元，用于获取网络安全威胁信息及安全策略信息；生成单元，用于根据所述获取单元获取的所述网络安全威胁信息及所述安全策略信息生成访问控制列表 A C L规则；

发送单元，用于将所述生成单元生成的所述 AC L规则发送至至少一个防火墙系统。

2、根据权利要求 1 所述的服务器，其特征在于，所述安全策略信息包括：支持安全等级划分的安全策略信息；

所述生成单元，具体用于根据所述获取单元获取的所述网络安全威胁信息及所述支持安全等级划分的安全策略信息生成不同安全等级的 AC L规则；

所述发送单元，具体用于将所述生成单元生成的所述不同安全等级的 AC L规则发送至与安全等级对应的防火墙系统。

3、根据权利要求 1 所述的服务器，其特征在于，所述安全策略信息包括：支持区域划分的安全策略信息；

所述生成单元，具体用于根据所述获取单元获取的所述网络安全威胁信息及所述支持区域划分的安全策略信息生成不同区域的 ACL 规则；

所述发送单元，具体用于将所述生成单元生成的所述不同区域的 ACL规则发送至与区域对应的防火墙系统。

4、根据权利要求 1 所述的服务器，其特征在于，所述安全策略信息包括：支持安全等级划分且支持区域划分的安全策略信息；

所述生成单元，具体用于根据所述获取单元获取的所述网络安全威胁信息及所述支持安全等级划分且支持区域划分的安全策略信息生成不同区域的不同安全等级的 ACL规则；

所述发送单元，具体用于将所述生成单元生成的所述不同区域的不同安全等级的 ACL规则发送至与所述区域对应的防火墙系统。

5、根据权利要求 1 - 4任一项所述的服务器，其特征在于，所述获取单元，还用于获取第一信息；其中，所述第一信息包括第一 AC L规划信息和 /或用户使用需求信息；

所述生成单元，具体用于在所述第一信息包括所述第一 ACL规划信息的情况下，根据所述第一 AC L规划信息、所述网络安全威胁信息及所述安全策略信息生成所述 AC L规则；

所述生成单元，具体用于在所述第一信息包括所述用户使用需求信息的情况下，根据所述用户使用需求信息，所述网络安全威胁信息及所述安全策略信息生成所述 AC L规则；

所述生成单元，具体用于在所述第一信息包括所述第一 ACL规划信息及所述用户使用需求信息的情况下，根据所述第一 AC L 规划信息，所述用户使用需求信息，所述网络安全威胁信息及所述安全策略信息生成所述 AC L规则。

6、根据权利要求 5所述的服务器，其特征在于，

所述生成单元，具体用于根据第一 AC L规则，所述获取单元获取的所述网络安全威胁信息及所述安全策略信息生成所述 AC L规则；或者，

所述生成单元，具体用于根据第一 AC L规则，所述获取单元获取的所述网络安全威胁信息，所述安全策略信息及所述第一信息生成所述 ACL规则。

7、一种防火墙系统，其特征在于，包括：

获取单元，用于获取访问控制列表 AC L规则；

处理单元，用于生效所述获取单元获取的所述 ACL规则；所述处理单元，还用于根据生效后的所述 ACL规则对第一节点进行安全保护；其中，所述第一节点为所述防火墙系统保护的节点。

8、根据权利要求 7所述的防火墙系统，其特征在于，还包括：接收单元；

所述获取单元，具体用于触发所述接收单元接收服务器发送的 ACL规则；或者，

所述获取单元，具体用于获取用户配置的 AC L规则。

9、根据权利要求 8所述的防火墙系统，其特征在于，所述获取单元，具体用于触发所述接收单元接收所述服务器发送的与安全等级对应的所述 ACL规则；或者，

所述获取单元，具体用于触发所述接收单元接收所述服务器发送的与区域对应的所述 ACL规则。

1 0、根据权利要求 8或 9所述的防火墙系统，其特征在于，还包括：发送单元；

所述处理单元，具体用于触发所述接收单元接收外部网络发送的数据包；

所述处理单元，具体用于根据生效后的 ACL规则，确定所述接收单元接收到的所述数据包是否为安全数据包；

所述处理单元，具体用于在根据所述生效后的 ACL规则确定所述接收单元接收到的所述数据包为安全数据包时，触发所述发送单元将所述数据包发送至所述第一节点；

所述处理单元，具体用于在根据所述生效后的 ACL规则确定所述接收单元接收到的所述数据包为不安全数据包时，确定所述数据包是否为网络安全威胁信息；

所述处理单元，具体用于在确定所述数据包为所述网络安全威胁信息时，触发所述发送单元将所述数据包作为所述网络安全威胁信息发送至所述服务器。

1 1、根据权利要求 1 0所述的防火墙系统，其特征在于，

所述接收单元，还用于接收所述第一节点发送的网络安全威胁信息；

所述发送单元，还用于将所述接收单元接收到的所述网络安全威胁信息发送至所述服务器。

1 2、根据权利要求 8 - 1 1任一项所述的防火墙系统，其特征在于，所述获取单元，还用于获取用户使用需求信息；

所述发送单元，还用于将所述获取单元获取到的所述用户使用需求信息发送至所述服务器。

1 3、一种生成访问控制列表规则的方法，其特征在于，包括：服务器获取网络安全威胁信息及安全策略信息；

所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成访问控制列表 ACL规则；

所述服务器将生成的所述 AC L规则发送至至少一个防火墙系统。

1 4、根据权利要求 1 3所述的方法，其特征在于，所述安全策略信息包括：支持安全等级划分的安全策略信息；

所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成所述 AC L规则包括：

所述服务器根据获取的所述网络安全威胁信息及所述支持安全等级划分的安全策略信息生成不同安全等级的 ACL规则；

所述服务器将生成的所述 ACL 规则发送至至少一个防火墙系统包括：

所述服务器将生成的所述不同安全等级的 AC L 规则发送至与安全等级对应的防火墙系统。

1 5、根据权利要求 1 3所述的方法，其特征在于，所述安全策略信息包括：支持区域划分的安全策略信息；

所述服务器根据获取的所述网络安全威胁信息及所述支持区域划分的安全策略信息生成不同区域的 ACL规则；

所述服务器将生成的所述不同区域的 AC L 规则发送至与区域对应的防火墙系统。

1 6、根据权利要求 1 3所述的方法，其特征在于，所述安全策略信息包括：支持安全等级划分且支持区域划分的安全策略信息；

所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成所述 AC L规则包括：所述服务器根据获取的所述网络安全威胁信息及所述支持安全等级划分且支持区域划分的安全策略信息生成不同区域的不同安全等级的 AC L规则；

所述服务器将生成的所述不同区域的不同安全等级的 ACL 规则发送至与所述区域对应的防火墙系统。

1 7、根据权利要求 1 3 - 1 6任一项所述的方法，其特征在于，在所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成所述 AC L规则之前，还包括：

所述服务器获取第一信息；其中，所述第一信息包括第一 AC L 规划信息和 /或用户使用需求信息；

在所述第一信息包括所述第一 A C L规划信息的情况下，所述服务器根据获取的所述第一 AC L规划信息、所述网络安全威胁信息及所述安全策略信息生成所述 ACL规则；

在所述第一信息包括所述用户使用需求信息的情况下，所述服务器根据获取的所述用户使用需求信息，所述网络安全威胁信息及所述安全策略信息生成所述 ACL规则；

在所述第一信息包括所述第一 ACL 规划信息及所述用户使用需求信息的情况下，所述服务器根据获取的所述第一 AC L规划信息，所述用户使用需求信息，所述网络安全威胁信息及所述安全策略信息生成所述 AC L规则。

1 8、根据权利要求 1 7所述的方法，其特征在于，所述服务器根据获取的所述网络安全威胁信息及所述安全策略信息生成所述 ACL 规则包括：

所述服务器根据第一 AC L规则，所述网络安全威胁信息及所述安全策略信息生成所述 AC L规则；或者，所述服务器根据第一 AC L规则，所述网络安全威胁信息，所述安全策略信息及所述第一信息生成所述 ACL规则。

1 9、一种生成访问控制列表规则的方法，其特征在于，包括：防火墙系统获取访问控制列表 AC L规则；

所述防火墙系统生效获取的所述 ACL规则；

所述防火墙系统根据生效后的所述 ACL 规则对第一节点进行安全保护；其中，所述第一节点为所述防火墙系统保护的节点。

2 0、根据权利要求 1 9所述的方法，其特征在于，所述防火墙系统获取所述 AC L规则包括：

所述防火墙系统接收服务器发送的 AC L规则；或者，

所述防火墙系统获取用户配置的 ACL规则。

2 1、根据权利要求 2 0所述的方法，其特征在于，所述防火墙系统接收所述服务器发送的 ACL规则包括：

所述防火墙系统接收所述服务器发送的与安全等级对应的所述 ACL规则；或者，

所述防火墙系统接收所述服务器发送的与区域对应的所述 AC L 规则。

2 2、根据权利要求 2 0或 2 1所述的方法，其特征在于，所述防火墙系统根据生效后的所述 ACL规则对第一节点进行安全保护包括：所述防火墙系统接收外部网络发送的数据包；

所述防火墙系统根据生效后的 AC L规则，确定接收到的所述数据包是否为安全数据包；

若所述防火墙系统根据所述生效后的 AC L 规则确定接收到的所述数据包为安全数据包，则所述防火墙系统将接收到的所述数据包发送至所述第一节点；

若所述防火墙系统根据所述生效后的 AC L 规则确定接收到的所述数据包为不安全数据包，则所述防火墙系统确定所述数据包是否为网络安全威胁信息；

若防火墙系统确定所述数据包为所述网络安全威胁信息，则所述防火墙系统将所述数据包作为所述网络安全威胁信息发送至所述服务器。

2 3、根据权利要求 22所述的方法，其特征在于，还包括：所述防火墙系统接收所述第一节点发送的网络安全威胁信息，并将接收到的所述网络安全威胁信息发送至所述服务器。

24、根据权利要求 2 0- 2 3任一项所述的方法，其特征在于，还包括：

所述防火墙系统获取用户使用需求信息，并将获取到的所述用户使用需求信息发送至所述服务器。