一种安全策略配置方法及装置与流程

1.本技术涉及计算机通信技术领域，尤其涉及一种安全策略配置方法及装置。


背景技术：

2.安全策略是根据报文的属性信息对报文进行转发控制和深度报文检测(deep packet inspection，dpi)的防控策略。安全策略对报文的控制是通过安全策略中的规则实现的，规则中可以设置匹配报文的过滤条件、处理报文的动作和对于报文内容进行深度检测等功能。每条规则中均可以配置多种过滤条件，例如可以包括：源安全域、目的安全域、源ip地址、目的ip地址、服务等等。
3.目前，在从未使用防火墙设备的组网中，初次上线防火墙设备时，由于并不了解网络中存在哪些主机、开放了哪些服务，导致无法配置精准的安全策略，进而导致对不同的主机和服务间的报文无法进行精细控制。
4.因此，如何在网络中首次使用网络安全设备时，配置满足所接入网络需求的安全策略是值得考虑的技术问题之一。


技术实现要素：

5.有鉴于此，本技术提供一种安全策略配置方法及装置，用以在网络中首次使用网络安全设备时，配置满足所接入网络需求的安全策略。
6.具体地，本技术是通过如下技术方案实现的：
7.根据本技术的第一方面，提供一种安全策略配置方法，应用于首次上线的网络安全设备中，所述方法，包括：
8.在所述网络安全设备启用配置的通用安全策略后，对流经所述网络安全设备的流量进行流量学习，得到至少一条流量学习记录；
9.将得到的流量学习记录进行输出展示；
10.接收针对目标流量学习记录的编辑指令；
11.根据所述编辑指令对所述目标流量学习记录执行对应的编辑操作，得到已编辑记录；
12.接收针对已编辑记录的策略生成指令；
13.根据所述策略生成指令，将所述已编辑记录生成目标安全策略，并在所述网络安全设备中配置所述目标安全策略。
14.根据本技术的第二方面，提供一种安全策略配置装置，设置于首次上线的网络安全设备中，所述装置，包括：
15.学习模块，用于在所述网络安全设备启用配置的通用安全策略后，对流经所述网络安全设备的流量进行流量学习，得到至少一条流量学习记录；
16.展示模块，用于将得到的流量学习记录进行输出展示；
17.第一接收模块，用于接收针对目标流量学习记录的编辑指令；
18.编辑模块，用于根据所述编辑指令对所述目标流量学习记录执行对应的编辑操作，得到已编辑记录；
19.第二接收模块，用于接收针对已编辑记录的策略生成指令；
20.策略生成模块，用于根据所述策略生成指令，将所述已编辑记录生成目标安全策略；
21.配置模块，用于在所述网络安全设备中配置所述目标安全策略。
22.根据本技术的第三方面，提供一种网络安全设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的计算机程序，处理器被计算机程序促使执行本技术实施例第一方面所提供的方法。
23.根据本技术的第四方面，提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本技术实施例第一方面所提供的方法。
24.本技术实施例的有益效果：
25.本技术实施例提供的安全策略配置方法及装置中，网络安全设备在首次上线并启用配置的通用安全策略后，会对流经所述网络安全设备的流量进行流量学习，得到至少一条流量学习记录；将得到的流量学习记录进行输出展示；接收针对目标流量学习记录的编辑指令；根据所述编辑指令对所述目标流量学习记录执行对应的编辑操作，得到已编辑记录；接收针对已编辑记录的策略生成指令；根据所述策略生成指令，将所述已编辑记录生成目标安全策略，并在所述网络安全设备中配置所述目标安全策略。由此一来，实现了在网络安全设备首次上线后安全策略的配置，同时在网络安全设备上配置的安全策略为在用户的指导下生成的，使得配置的安全策略能够满足用户及所接入网络的需求，从而能够达到对报文的精细化控制。
附图说明
26.图1是本技术实施例提供的一种安全策略配置方法的流程示意图；
27.图2是本技术实施例提供的一种安全策略配置装置的结构示意图；
28.图3是本技术实施例提供的一种实施安全策略配置方法的网络安全设备的硬件结构示意图。
具体实施方式
29.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反，它们仅是与如本技术的一些方面相一致的装置和方法的例子。
30.在本技术使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本技术。在本技术中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
31.应当理解，尽管在本技术可能采用术语第一、第二、第三等来描述各种信息，但这
些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本技术范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
32.下面对本技术提供的安全策略配置方法进行详细地说明。
33.参见图1，图1是本技术提供的一种安全策略配置方法的流程图，该方法可以应用于首次上线的网络安全设备中，该网络安全设备可以但不限于为防火墙等设备。该方法可包括如下所示步骤：
34.s101、在网络安全设备启用配置的通用安全策略后，对流经所述网络安全设备的流量进行流量学习，得到至少一条流量学习记录。
35.本步骤中，为了让网络安全设备在首次接入网络时，既能够执行一定的安全防护作用，还能够在网络安全设备中配置适应所接入网络及满足用户需求的安全策略，本实施例提出，会预先在网络安全设备中通用安全策略，该通用安全策略属于较宽泛的安全策略，例如该通用安全策略为全通安全策略。需要说明的是，该全通安全策略的策略规则的执行动作可以为允许，这样，就能够学习到流经该网络安全设备的流量学习记录，即流量的发送方例如主机访问了哪些服务等等。
36.在此基础上，当启用该网络安全设备后，流量在进入所接入网络之前，会先流入该网络安全设备，由该网络安全设备对流经该设备的流量进行学习并记录，从而就可以得到至少一条流量学习记录。值得注意的是，学习到的流量学习记录本质上可以理解为一条安全策略，然后用户通过修改流量学习记录修改安全策略。
37.可选地，在执行步骤s101之前，会开启网络安全设备中的流量学习功能，然后再执行步骤s101。
38.s102、将得到的流量学习记录进行输出展示。
39.本步骤中，用户可以基于具有显示功能的终端设备登录到网络安全设备中，基于此，网络安全设备可以将记录的流量学习记录输出展示给用户，例如以展示页面的形式展示流量学习记录，这样，用户就可以通过终端设备查看到网络安全设备当前学习到的流量学习记录。
40.s103、接收针对目标流量学习记录的编辑指令。
41.本步骤中，为了能够定制满足用户需求的安全策略，用户可以针对需要编辑的流量学习记录即上述目标流量学习记录触发编辑指令。
42.s104、根据所述编辑指令对所述目标流量学习记录执行对应的编辑操作，得到已编辑记录。
43.本步骤中，网络安全设备接收到该编辑指令后，就可以获取用户键入的目标编辑信息，然后对该目标流量学习记录执行对应的编辑操作，即将目标流量学习记录调整为上述目标编辑信息，从而得到该目标流量学习记录对应的已编辑记录。
44.需要说明的是，用户在执行编辑指令时，可以针对批量的流量学习记录触发编辑指令，相应地，安全网络设备可以针对该编辑执行，批量的对流量学习记录执行编辑操作，从而得到各条目标流量学习记录对应的已编辑记录。
45.在基于用户的编辑指令得到已编辑记录后，得到的已编辑记录即为满足用户需求
的已编辑记录。
46.s105、接收针对已编辑记录的策略生成指令。
47.本步骤中，当用户对需要调整的流量学习记录调整完成后，就可以执行安全策略生成流程，即，用户可以针对已编辑记录触发策略生成指令。例如，用户可以选中已编辑记录然后点击“生成策略”选项，从而触发策略生成指令。
48.s106、根据所述策略生成指令，将所述已编辑记录生成目标安全策略，并在所述网络安全设备中配置所述目标安全策略。
49.本步骤中，网络安全设备接收到策略生成指令后，就可以将用户选中的已编辑记录转化为目标安全策略，然后在网络安全设备中配置该目标安全策略，进而基于该目标安全策略实现对流经该网络安全设备的报文的精准控制。由此一来，就实现了在网络安全设备上配置满足用户需求且能够保证所接入网络的安全性的安全策略，同时也实现了对网络安全设备所接入网络中的报文的精细控制。
50.通过实施本技术提供的安全策略配置方法，网络安全设备在首次上线并启用配置的通用安全策略后，会对流经所述网络安全设备的流量进行流量学习，得到至少一条流量学习记录；将得到的流量学习记录进行输出展示；接收针对目标流量学习记录的编辑指令；根据所述编辑指令对所述目标流量学习记录执行对应的编辑操作，得到已编辑记录；接收针对已编辑记录的策略生成指令；根据所述策略生成指令，将所述已编辑记录生成目标安全策略，并在所述网络安全设备中配置所述目标安全策略。由此一来，实现了在网络安全设备首次上线后安全策略的配置，同时在网络安全设备上配置的安全策略为在用户的指导下生成的，使得配置的安全策略能够满足用户需求而且能够达到对报文的精细化控制。
51.可选地，上述编辑指令包括修改指令；则在此基础上，可以按照下述过程执行步骤s104：在接收到修改指令后，输出针对所述修改指令所指示的流量学习记录的修改页面；接收基于所述修改页面输入的第一目标信息，得到第一已编辑记录。
52.具体地，在生成已编辑记录后，会向用户展示包括该已编辑记录及流量学习记录的页面，该页面可以包括修改按钮，当用户点击该修改按钮后，就可以触发修改指令，然后网络安全设备接收到修改指令后，就可以输出针对该修改指令所指示的流量学习记录的修改页面，这样用户就可以基于该修改界面键入第一目标信息，从而得到该流量学习记录对应的第一已编辑记录。
53.需要说明的是，每条流量学习记录可以分别对应一个修改按钮，用户可以针对需要修改的流量学习记录点击该流量学习记录对应的修改按钮，以触发针对该流量学习记录的修改指令，这样，网络安全设备接收到该修改指令后，就可以将该流量学习记录处于可编辑状态并将包括可编辑状态的修改页面输出展示给用户，用户就可以基于该流量学习记录执行修改操作，从而得到已编辑记录。或者，所有流量学习记录对应一个修改按钮，当用户选中该修改按钮时，就可以触发修改指令，然后网络安全设备接收到修改指令后，就可以将所有流量学习记录处于可编辑状态并将包括可编辑状态的修改页面输出展示给用户，这样，用户就可以点击需要修改的流量学习记录执行修改操作，待修改完成后，网络安全设备就得到了已编辑记录。
54.可选地，当上述流量学习记录包括多个可编辑选项，当用户触发修改指令后，所弹出的修改页面就弹出了可编辑选项，用户就可以根据需求对可编辑选项中的内容进行修
改，即填入第一目标信息；此外，该修改页面还包括确定和取消按钮，当用户填入第一目标信息后，用户可以点击确认按钮，网络安全设备会关闭该修改页面，从而得到该流量学习记录对应的已编辑记录。当将修改页面展示给用户后，用户又不需要修改，则用户可以点击取消按钮，则网络安全设备接收到该取消指令后，关闭上述修改页面。
55.可选地，上述可编辑选项可以但不限于包括以下至少一项：源安全域、目标安全域、源ip地址、目的ip地址、协议类型和目的端口等等。相应地，当弹出修改页面后，例如用户可以修改源ip地址，将10.1.1.3修改为10.1.1.6，此外，用户可以修改多个可编辑选项，得到一个流量学习记录的已编辑记录。
56.可选地，基于上述任一实施例，本实施例中的编辑指令还可以包括替换指令，在此基础上，可以按照下述过程执行步骤s104：在接收到替换指令后，输出针对所述替换指令所指示的流量学习记录的替换页面；接收基于所述替换页面输入的第二目标信息，得到第二已编辑记录。
57.具体地，包括流量学习记录的展示页面还可以包括替换按钮，替换按钮的名称可以但不限于为替换、替换学习记录等等。当用户点击该替换按钮后就会触发替换指令，这样，网络安全设备接收到该替换指令后，就可以向用户输出替换页面，然后用户就可以在该替换页面中填入第二目标信息，得到该流量学习记录的第二已编辑记录。
58.具体来说，在执行替换操作时，可以逐条替换也可以批量替换，具体可以参考前述修改操作，此处不再一一详细说明。
59.当上述流量学习记录包括多个可编辑选项，当用户触发替换指令后，所弹出的替换页面就弹出了可编辑选项，用户就可以根据需求对可编辑选项中的内容执行替换操作，即填入第二目标信息；此外，该替换页面也可以包括确定和取消按钮，当用户填入第二目标信息后，用户可以点击确认按钮，网络安全设备会关闭该替换页面，从而得到该流量学习记录对应的已编辑记录，即上述第二已编辑记录。当将替换页面展示给用户后，用户又不需要修改，则用户可以点击取消按钮，则网络安全设备接收到该取消指令后，关闭上述替换页面。
60.同理，上述可编辑选项可以但不限于包括以下至少一项：源安全域、目标安全域、源ip地址、目的ip地址、协议类型和目的端口等等。例如，可以将流量学习记录中的单个ip地址替换为网段、范围段等等。
61.可选地，基于上述任一实施例，本实施例中的编辑指令还可以包括聚合指令；在此基础上，还可以按照下述过程执行步骤s104：在接收到所述聚合指令后，对所述目标流量学习记录中具有相同的目标选项的记录进行聚合处理，得到已编辑记录，所述目标选项至少包括以下一项：源ip地址、目的ip地址和服务。
62.具体地，上述编辑指令还可以包括聚合指令，在此基础上，上述展示页面还可以提供聚合按钮，当用户点击该聚合按钮后就可以触发聚合指令。当用户接收到该聚合指令后，一种可能的实施例中，网络安全设备可以自动将具有相同的目标选项的记录进行聚合处理，同时合并后得到的已编辑记录要保留不同的选项中的值，得到的已编辑记录可以记为第三已编辑记录。例如，以源ip地址为例进行说明，将具有相同的源ip地址的流量学习记录进行聚合处理，并保留该源ip地址所属流量学习记录中其他选项的内容。另一种可能的实施例中，为了满足用户的个性化需求，网络安全设备接收到聚合指令后，会响应于该聚合指
令向用户展示编辑页面，这样，用户就可以在该编辑页面中选择所需要聚合的流量学习记录，然后选择编辑页面中的确定按钮，则网络安全设备就可以执行用户所选中的流量学习记录的聚合操作，从而得到已编辑记录，从而满足了用户的安全策略需求。
63.可选地，基于上述任一实施例，本实施例中的编辑指令还可以包括删除指令，在此基础上，还可以按照下述过程执行步骤s104：在接收到删除指令后，对删除指令所指示的目标流量学习记录执行删除操作，得到已编辑记录。
64.具体地，本技术中的流量学习记录是为了生成安全策略，因此，有些流量学习记录对于用户来说可能是不需要的，因此，网络安全设备会在展示界面上配置删除按钮，当用户点击该删除按钮后方可触发删除指令，网络安全设备接收到该删除指令后，就可以将向用户展示可编辑界面，然后用户针对需要删除的流量学习记录执行删除操作，从而得到已编辑记录，记为第四已编辑记录，这样，网络安全设备就可以剔除该流量学习记录，从而满足用户的需求。
65.此外，本实施例提供的安全策略配置方法还可以提供清空统计数据功能、策略插入、策略创建、策略复制、策略移动、策略启用、策略过滤等功能。有鉴于此，本实施例提供，可以在上述策略配置页面还提供了清空统计数据、插入、创建、复制、移动、启用、策略过滤等选项，当用户点击上述任一选项时即可触发对应的功能。
66.可选地，基于上述任一实施例，本实施例提供的安全策略配置方法，还可以执行下述过程：接收任一条安全策略的禁用指令；将该安全策略配置为禁用。
67.具体地，本实施例提供的安全策略配置方法还可以提供策略禁用功能，基于此，可以在策略配置页面配置禁用选项，当用户选中一条安全策略后，就可以点击该禁用选项时方可触发禁用指令，然后网络安全设备就可以执行针对所选择的安全策略的禁用操作。
68.需要说明的是，启用的目标安全策略一般会放在被学习的安全策略的前边。
69.由此，通过在网络安全设备中增加安全策略的学习功能，帮助用户如管理员掌握实际的所接入网络的网络流量状况，进而生成精细化的目标安全策略，然后在首次上线的网络安全设备上启用上述目标安全策略，从而基于启用的目标安全策略达到对网络安全设备所接入网络的流量的精细化控制。
70.基于同一发明构思，本技术还提供了与上述安全策略配置方法对应的安全策略配置装置。该安全策略配置装置的实施具体可以参考上述对安全策略配置方法的描述，此处不再一一论述。
71.参见图2，图2是本技术一示例性实施例提供的一种安全策略配置装置，设置于首次上线的网络安全设备中，该装置，包括：
72.学习模块201，用于在所述网络安全设备启用配置的通用安全策略后，对流经所述网络安全设备的流量进行流量学习，得到至少一条流量学习记录；
73.展示模块202，用于将得到的流量学习记录进行输出展示；
74.第一接收模块203，用于接收针对目标流量学习记录的编辑指令；
75.编辑模块204，用于根据所述编辑指令对所述目标流量学习记录执行对应的编辑操作，得到已编辑记录；
76.第二接收模块205，用于接收针对已编辑记录的策略生成指令；
77.策略生成模块206，用于根据所述策略生成指令，将所述已编辑记录生成目标安全
策略；
78.配置模块207，用于在所述网络安全设备中配置所述目标安全策略。
79.可选地，基于上述实施例，本实施例中的编辑指令包括修改指令；在此基础上，上述编辑模块204，具体用于在接收到所述修改指令后，输出针对所述修改指令所指示的流量学习记录的修改页面；接收基于所述修改页面输入的第一目标信息，得到第一已编辑记录。
80.可选地，基于上述实施例，本实施例中的编辑指令包括替换指令；在此基础上，上述编辑模块204，具体用于在接收到替换指令后，输出针对所述替换指令所指示的流量学习记录的替换页面；接收基于所述替换页面输入的第二目标信息，得到第二已编辑记录。
81.可选地，基于上述实施例，本实施例中的编辑指令包括聚合指令；在此基础上，上述编辑模块204，具体用于在接收到所述聚合指令后，对所述目标流量学习记录中具有相同的目标选项的记录进行聚合处理，得到第三已编辑记录，所述目标选项至少包括以下一项：源ip地址、目的ip地址和服务。
82.可选地，基于上述实施例，本实施例中的编辑指令包括删除指令；在此基础上，上述编辑模块204，具体用于在接收到所述删除指令后，对所述删除指令所指示的目标流量学习记录执行删除操作，得到第四已编辑记录。
83.可选地，基于上述任一实施例，本实施例提供的安全策略配置装置，还可以包括：
84.第三接收模块(图中未示出)，用于接收任一条安全策略的禁用指令；
85.上述配置模块207，还用于将该安全策略配置为禁用。
86.本技术实施例提供的安全策略配置装置中，网络安全设备在首次上线并启用配置的通用安全策略后，会对流经所述网络安全设备的流量进行流量学习，得到至少一条流量学习记录；将得到的流量学习记录进行输出展示；接收针对目标流量学习记录的编辑指令；根据所述编辑指令对所述目标流量学习记录执行对应的编辑操作，得到已编辑记录；接收针对已编辑记录的策略生成指令；根据所述策略生成指令，将所述已编辑记录生成目标安全策略，并在所述网络安全设备中配置所述目标安全策略。由此一来，实现了在网络安全设备首次上线后安全策略的配置，同时在网络安全设备上配置的安全策略为在用户的指导下生成的，使得配置的安全策略能够满足用户需求而且能够达到对报文的精细化控制。
87.基于同一发明构思，本技术实施例提供了一种网络安全设备，如图3所示，包括处理器301和机器可读存储介质302，机器可读存储介质302存储有能够被处理器301执行的计算机程序，处理器301被计算机程序促使执行本技术任一实施例所提供的安全策略配置方法。此外，该网络安全设备还包括通信接口303和通信总线304，其中，处理器301，通信接口303，机器可读存储介质302通过通信总线304完成相互间的通信。
88.上述网络安全设备提到的通信总线可以是外设部件互连标准(peripheral component interconnect，pci)总线或扩展工业标准结构(extended industry standard architecture，eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
89.通信接口用于上述网络安全设备与其他设备之间的通信。
90.上述机器可读存储介质302可以为存储器，该存储器可以包括随机存取存储器(random access memory，ram)、ddr sram(double data rate synchronous dynamic random access memory，双倍速率同步动态随机存储器)，也可以包括非易失性存储器
(non-volatile memory，nvm)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。
91.上述的处理器可以是通用处理器，包括中央处理器(central processing unit，cpu)、网络处理器(network processor，np)等；还可以是数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field-programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
92.对于网络安全设备以及机器可读存储介质实施例而言，由于其涉及的方法内容基本相似于前述的方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
93.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
94.上述装置中各个单元/模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。
95.对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的，作为单元/模块显示的部件可以是或者也可以不是物理单元/模块，即可以位于一个地方，或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本技术方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
96.以上所述仅为本技术的较佳实施例而已，并不用以限制本技术，凡在本技术的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本技术保护的范围之内。

技术特征：
1.一种安全策略配置方法，其特征在于，应用于首次上线的网络安全设备中，所述方法，包括：在所述网络安全设备启用配置的通用安全策略后，对流经所述网络安全设备的流量进行流量学习，得到至少一条流量学习记录；将得到的流量学习记录进行输出展示；接收针对目标流量学习记录的编辑指令；根据所述编辑指令对所述目标流量学习记录执行对应的编辑操作，得到已编辑记录；接收针对已编辑记录的策略生成指令；根据所述策略生成指令，将所述已编辑记录生成目标安全策略，并在所述网络安全设备中配置所述目标安全策略。2.根据权利要求1所述的方法，其特征在于，所述编辑指令包括修改指令；根据所述编辑指令对所述目标流量学习记录执行对应的编辑操作，得到已编辑记录，包括：在接收到所述修改指令后，输出针对所述修改指令所指示的流量学习记录的修改页面；接收基于所述修改页面输入的第一目标信息，得到第一已编辑记录。3.根据权利要求1所述的方法，其特征在于，所述编辑指令包括替换指令；根据所述编辑指令对所述目标流量学习记录执行对应的编辑操作，得到已编辑记录，包括：在接收到替换指令后，输出针对所述替换指令所指示的流量学习记录的替换页面；接收基于所述替换页面输入的第二目标信息，得到第二已编辑记录。4.根据权利要求1所述的方法，其特征在于，所述编辑指令包括聚合指令；根据所述编辑指令对所述目标流量学习记录执行对应的编辑操作，得到已编辑记录，包括：在接收到所述聚合指令后，对所述目标流量学习记录中具有相同的目标选项的记录进行聚合处理，得到第三已编辑记录，所述目标选项至少包括以下一项：源ip地址、目的ip地址和服务。5.根据权利要求1所述的方法，其特征在于，所述编辑指令包括删除指令；根据所述编辑指令对所述目标流量学习记录执行对应的编辑操作，得到已编辑记录，包括：在接收到所述删除指令后，对所述删除指令所指示的目标流量学习记录执行删除操作，得到第四已编辑记录。6.根据权利要求1所述的方法，其特征在于，还包括：接收任一条安全策略的禁用指令；将该安全策略配置为禁用。7.一种安全策略配置装置，其特征在于，设置于首次上线的网络安全设备中，所述装置，包括：学习模块，用于在所述网络安全设备启用配置的通用安全策略后，对流经所述网络安全设备的流量进行流量学习，得到至少一条流量学习记录；
展示模块，用于将得到的流量学习记录进行输出展示；第一接收模块，用于接收针对目标流量学习记录的编辑指令；编辑模块，用于根据所述编辑指令对所述目标流量学习记录执行对应的编辑操作，得到已编辑记录；第二接收模块，用于接收针对已编辑记录的策略生成指令；策略生成模块，用于根据所述策略生成指令，将所述已编辑记录生成目标安全策略；配置模块，用于在所述网络安全设备中配置所述目标安全策略。8.根据权利要求7所述的装置，其特征在于，所述编辑指令包括修改指令；所述编辑模块，具体用于在接收到所述修改指令后，输出针对所述修改指令所指示的流量学习记录的修改页面；接收基于所述修改页面输入的第一目标信息，得到第一已编辑记录。9.根据权利要求7所述的装置，其特征在于，所述编辑指令包括替换指令；所述编辑模块，具体用于在接收到替换指令后，输出针对所述替换指令所指示的流量学习记录的替换页面；接收基于所述替换页面输入的第二目标信息，得到第二已编辑记录。10.根据权利要求7所述的装置，其特征在于，所述编辑指令包括聚合指令；所述编辑模块，具体用于在接收到所述聚合指令后，对所述目标流量学习记录中具有相同的目标选项的记录进行聚合处理，得到第三已编辑记录，所述目标选项至少包括以下一项：源ip地址、目的ip地址和服务。11.根据权利要求7所述的装置，其特征在于，所述编辑指令包括删除指令；所述编辑模块，具体用于在接收到所述删除指令后，对所述删除指令所指示的目标流量学习记录执行删除操作，得到第四已编辑记录。12.根据权利要求7所述的装置，其特征在于，还包括：第三接收模块，用于接收任一条安全策略的禁用指令；所述配置模块，还用于将该安全策略配置为禁用。

技术总结
本申请提供了一种安全策略配置方法及装置，应用于首次上线的网络安全设备中。所述方法，包括：在所述网络安全设备启用配置的通用安全策略后，对流经所述网络安全设备的流量进行流量学习，得到至少一条流量学习记录；将得到的流量学习记录进行输出展示；接收针对目标流量学习记录的编辑指令；根据所述编辑指令对所述目标流量学习记录执行对应的编辑操作，得到已编辑记录；接收针对已编辑记录的策略生成指令；根据所述策略生成指令，将所述已编辑记录生成目标安全策略，并在所述网络安全设备中配置所述目标安全策略。由此在网络中首次使用网络安全设备时，配置满足所接入网络需求的安全策略。全策略。全策略。


技术研发人员：贾婷婷
受保护的技术使用者：新华三信息安全技术有限公司
技术研发日：2022.06.24
技术公布日：2022/11/1