[发明专利]一种安全策略配置方法、系统、域控服务器及防火墙设备

说明书

本发明实施例提供了一种安全策略配置方法、系统、域控服务器及防火墙设备，其中，安全策略配置方法包括：域控服务器在对用户端认证通过后，基于用户端的身份信息，在已配置的预设安全策略中查找用户端对应的第一安全策略，预设安全策略为基于各用户端的身份信息配置的安全策略；域控服务器将用户端的身份信息及第一安全策略发送至防火墙设备，以使防火墙设备根据用户端的身份信息及第一安全策略，配置用户端的安全策略为第一安全策略。通过本方案可以提高防火墙设备中安全策略的配置效率。

技术领域

本发明涉及安全防御技术领域，特别是涉及一种安全策略配置方法、系统、域控服务器及防火墙设备。

背景技术

目前，很多企业网络部署了身份认证机制，企业用户在登录企业内部网络时，需要由企业网络的域控服务器对登录信息(包括登录用户名和登录密码)进行身份认证，身份认证通过后企业用户方可登录企业内部网络。如果企业用户在登录企业内部网络后，需要访问外部网络，防火墙需要对企业用户再进行一次防火墙认证，在通过防火墙认证通过后，企业用户方可访问外部网络。由此可见，企业用户在进行外部网络的访问时，需要进行多次认证。

为了减少企业用户在访问外部网络过程中的认证次数，相应的提出了单点登录方式。域控服务器在对企业用户的登录信息认证通过后，将企业用户的身份信息(例如用户名、IP地址等)同步给防火墙设备，由于防火墙设备已经配置有针对各企业用户的安全策略，防火墙设备可以根据接收到的身份信息，从已配置的安全策略中确定企业用户的访问权限。

但是，随着网络技术的不断发展，网络系统越来越大，网络系统中防火墙设备的数量也不断增多，当防火墙设备的数量巨大时，需要预先对每个防火墙设备进行配置，且在每个防火墙设备中均需要配置各企业用户的安全策略，配置的工作量巨大，导致防火墙设备中安全策略的配置效率较低。

发明内容

本发明实施例的目的在于提供一种安全策略配置方法、系统、域控服务器及防火墙设备，以提高防火墙设备中安全策略的配置效率。具体技术方案如下：

第一方面，本发明实施例提供了一种安全策略配置方法，应用于域控服务器，所述方法包括：

在对用户端认证通过后，基于所述用户端的身份信息，在已配置的预设安全策略中查找所述用户端对应的第一安全策略，其中，所述预设安全策略为基于各用户端的身份信息配置的安全策略；

将所述用户端的身份信息及所述第一安全策略发送至防火墙设备，以使所述防火墙设备根据所述用户端的身份信息及所述第一安全策略，配置所述用户端的安全策略为所述第一安全策略。

第二方面，本发明实施例提供了一种安全策略配置方法，应用于防火墙设备，所述方法包括：

接收域控服务器发送的已认证通过的用户端的身份信息及所述用户端对应的第一安全策略；

根据所述用户端的身份信息及所述第一安全策略，配置所述用户端的安全策略为所述第一安全策略。

第三方面，本发明实施例提供了一种安全策略配置装置，应用于域控服务器，所述装置包括：

查找模块，用于在对用户端认证通过后，基于所述用户端的身份信息，在已配置的预设安全策略中查找所述用户端对应的第一安全策略，其中，所述预设安全策略为基于各用户端的身份信息配置的安全策略；

发送模块，用于将所述用户端的身份信息及所述第一安全策略发送至防火墙设备，以使所述防火墙设备根据所述用户端的身份信息及所述第一安全策略，配置所述用户端的安全策略为所述第一安全策略。

第四方面，本发明实施例提供了一种安全策略配置装置，应用于防火墙设备，所述装置包括：

接收模块，用于接收域控服务器发送的已认证通过的用户端的身份信息及所述用户端对应的第一安全策略；