WO2020248369A1

WO2020248369A1 - 一种防火墙切换方法及相关装置

Info

Publication number: WO2020248369A1
Application number: PCT/CN2019/102347
Authority: WO
Inventors: 王绪军; 黄成尧; 谢文
Original assignee: 平安科技（深圳）有限公司
Priority date: 2019-06-10
Filing date: 2019-08-23
Publication date: 2020-12-17
Also published as: CN110324826B; CN110324826A

Abstract

本申请实施例适用于安全防护中的访问控制，公开了一种防火墙切换方法及相关装置，所述方法包括：内网防火墙分配设备获取移动无线接入设备与目标内网的第一内网防火墙连接的接入设备状态信息；所述内网防火墙分配设备在确定所述移动无线接入设备满足切换所连接防火墙的条件时，确定所述移动无线接入设备匹配的第二内网防火墙；所述移动无线接入设备与所述第二内网防火墙建立连接，并断开与第一内网防火墙的连接后，通过与第二内网防火墙的连接为用户终端提供访问目标内网的服务。通过本申请可以提高用户对目标内网的访问效率，并保证访问目标内网的访问质量。

Description

一种防火墙切换方法及相关装置

本申请要求于2019年06月10日提交中国专利局、申请号为2019105036765、申请名称为“一种内网访问方法及相关装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信领域，尤其涉及一种防火墙切换方法及相关装置。

背景技术

随着全球经济的一体化，越来越多的企业在全球各地都开展了相关业务，这就需要企业的员工被派遣到全球各地去办公。在一些办公场景中，在外地的企业员工需要访问得到公司内网服务器的一些资源，例如访问企业内网网页、访问内网文件服务器中共享文件夹中存储的文件等。传统的方式中，通常通过VPN(Virtual Private Network，虚拟专用网络)实现，需要在公司内网建立VPN服务器，外地员工通过手机、电脑等在当地连上互联网后，通过互联网连接企业内网的VPN服务器，然后通过VPN服务器访问企业内网。在企业员工通过电脑等终端连接内网时，需要事先配置连接企业内网VPN的参数，例如内网VPN服务器的地址，用户的登录名和密码等，然后进行拨号并连接。用户操作较多且等待时间较长，较为影响连接效率。

申请内容

本申请提供一种防火墙切换方法及相关装置，通过本申请可以提高用户对目标内网的访问效率，并保证访问目标内网的网络质量。

本申请实施例第一方面提供了一种防火墙切换方法，包括：

内网防火墙分配设备获取移动无线接入设备与目标内网的第一内网防火墙连接的接入设备状态信息，所述第一内网防火墙为在接收到所述移动无线接入设备发送的针对目标内网的内网连接请求后，根据所述内网连接请求从针对所述目标内网部署的多个内网防火墙中，确定的所述移动无线接入设备匹配的防火墙，所述接入设备状态信息包含所述移动无线接入设备的实时地理位置；

所述内网防火墙分配设备在根据所述实时地理位置确定所述移动无线接入设备满足切换所连接防火墙的条件时，根据所述接入设备状态信息从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙；

所述内网防火墙分配设备将所述第二内网防火墙的第二IP地址发送给所述移动无线接入设备，以使所述移动无线接入设备根据所述第二IP地址与所述第二内网防火墙建立连接，并在断开与第一内网防火墙的连接后，所述第二内网防火墙将用户终端通过所述移动无线接入设备发送的针对所述目标内网的内网访问请求路由至所述目标内网的内网服务器，所述第二内网防火墙还将所述内网服务器响应所述内网访问请求返回的内网请求响应消息通过所述移动无线接入设备发送至所述用户终端。

本申请实施例第二方面提供了一种内网防火墙分配设备，包括：

状态获取单元，用于获取移动无线接入设备与目标内网的第一内网防火墙连接的接入设备状态信息，所述第一内网防火墙为在接收到所述移动无线接入设备发送的针对目标内网的内网连接请求后，根据所述内网连接请求从针对所述目标内网部署的多个内网防火墙中，确定的所述移动无线接入设备匹配的防火墙，所述接入设备状态信息包含所述移动无线接入设备的实时地理位置；

防火墙确定单元，用于在根据所述实时地理位置确定所述移动无线接入设备满足切换所连接防火墙的条件时，根据所述接入设备状态信息从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙；

地址发送单元，用于将所述第二内网防火墙的第二IP地址发送给所述移动无线接入设备，以使所述移动无线接入设备根据所述第二IP地址与所述第二内网防火墙建立连接，并断开与第一内网防火墙的连接后，所述第二内网防火墙将用户终端通过所述移动无线接入设备发送的针对所述目标内网的内网访问请求路由至所述目标内网的内网服务器，所述第二内网防火墙还将所述内网服务器响应所述内网访问请求返回的内网请求响应消息通过所述移动无线接入设备发送至所述用户终端。

本申请实施例第三方面提供了一种内网防火墙分配设备，包括处理器、存储器以及通信接口，所述处理器、存储器和通信接口相互连接，其中，所述通信接口用于接收和发送数据，所述存储器用于存储程序代码，所述处理器用于调用所述程序代码，所述程序代码当被计算机执行时使所述计算机执行上述第一方面和第一方面各个可能的实现方式中的任意一种方法。

本申请实施例第四方面提供了一种计算机非易失性可读存储介质，所述计算机非易失性可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被计算机执行时使所述计算机执行上述第一方面和第一方面各个可能的实现方式中的任意一种方法。

通过本申请实施例，用户在访问目标内网之前无需配置任何参数，提高了针对目标内网的访问效率，同时内网防火墙分配设备在根据实时地理位置确定移动无线接入设备满足切换所连接防火墙的条件时，为移动无线接入设备重新分配第二内网防火墙，保证了与移动无线接入设备连接的内网防火墙总是与接入设备状态信息匹配的最优内网防火墙，保证了用户终端访问内网的网络质量。

附图说明

图1为本申请实施例提供的一种内网访问***的框架示意图；

图2为本申请实施例提供的一种防火墙切换方法的***交互示意图；

图3为本申请实施例提供的另一种防火墙切换方法的***交互示意图；

图4为本申请实施例提供的一种内网防火墙分配设备的结构示意图；

图5为本申请实施例提供的另一种内网防火墙分配设备的结构示意图。

具体实施方式

下面将结合图1至图5，对本申请实施例提供的防火墙切换方法及相关装置进行说明。

图1为本申请实施例提供的一种内网访问***的框架示意图，如图所示，在该内网访问***框架中，内网防火墙1、内网防火墙2和内网防火墙3为针对目标内网部署的3个内网防火墙，移动无线接入设备1和移动无线接入设备2分别与内网防火墙1相连接，移动无线接入设备3与内网防火墙3相连接，用户终端1与移动无线接入设备2相连接，用户终端2与移动无线接入设备相连接。

这里，目标内网为将特定企业、特定机构、特定学校等的一个局部地理范围内的各种计算机、服务器和数据库等互相连接起来的局域通信网络。目标内网中的终端或服务器在于所述目标内网中的终端或服务器等进行通信时，通过数据链路层实现，通信消息无需经过路由器的路由；在于所述目标内网外的终端或服务器进行通信时，通过网络层实现，目标内网内的终端或服务器发送的通信消息需要经过路由器经过网络地址转换后，路由至所述目标内网外的终端或服务器，目标内网外的终端或服务器返回的通信消息需要路由器经过网络地址转换后，路由至目标内网的终端或服务器。

这里，针对目标内网部署的内网防火墙可以是部署在全球各地的针对进出目标内网的数据包进行过滤的防火墙，内网防火墙通过广域网与目标内网的路由器相连接，进而通过目标内网的路由器实现于目标内网的内网服务器的连接。

这里，移动无线接入设备为可移动的，能发射无线网络信号的，且有路由功能的无线接入设备。移动无线接入设备将通过***SIM(Subscriber Identification Module，用户身份识别)卡接入数据网络，也可以通过***网线的方式接入有线网络，还可以通过连接WIFI的方式接入无线网络。用户终端可以接入移动无线接入设备发射的无线网络与移动无线接入设备连接。

这里，内网防火墙分配装置可以是具有针对目标内网的域名解析功能的，且存储有针对目标内网部署的各个内网防火墙IP地址和部署位置的设备，如GTM(Global Traffic Manager，全局流量管理)设备等。

这里，用户终端可以为包括笔记本电脑、手机、平板电脑等具有无线网络接收功能的终端设备。

参见图2，图2为本申请实施例提供的一种防火墙切换方法的***交互示意图，如图所示，所述方法可以包括：

S201，移动无线接入设备向内网防火墙分配设备发送针对目标内网的内网连接请求。

具体的，所述移动无线接入设备可以是在被触发启动后，即向所述内网防火墙分配设备发送内网连接请求，也可以是在接收到用户发送的访问目标内网的功能启动指令后，向所述内网防火墙分配设备发送内网连接请求，还可以是在接收到所连接的用户终端发送的针对目标内网的内网访问请求时，向所述内网防火墙分配设备发送内网连接请求。所述内网连接请求可以携带所述目标内网的内网域名，以使所述内网防火墙分配设备对所述内网域名进行解析后，确定为针对目标内网的内网连接请求。

S202，所述内网防火墙分配设备根据所述内网连接请求确定所述移动无线接入设备当前的地理位置。

具体的，所述内网连接请求可以携带所述移动无线接入设备的地理位置，所述内网防火墙分配设备直接从所述内网连接请求中获取所述移动无线接入设备的地理位置；所述内网连接请求也可以携带所述移动无线接入设备的定位信息，所述内网防火墙分配设备可以从所述内网连接请求中获取所述定位信息，根据所述定位信息通过定位技术，确定所述移动无线接入设备的地点位置，例如，所述定位信息可以是所述移动无线接入设备的IP地址、GPS数据、WIFI接入点信息、连接基站信息等，所述定位技术可以是IP定位技术、GPS定位技术、WIFI定位技术、基站定位技术等。

这里，所述移动无线接入设备发送的内网连接请求可以携带所述移动无线接入设备的身份验证信息，所述内网防火墙分配设备可以根据内网连接请求中的身份验证信息，对移动无线接入设备进行身份验证，在身份验证通过后确定移动无线接入设备当前的地理位置，其中，内网连接请求携带的身份验证信息可以包括接入设备识别码、用户输入的用户名和密码或移动无线接入设备的数字证书中的一种。

S203，所述内网防火墙分配设备根据所述当前的地理位置，从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙。

这里，所述内网防火墙分配设备中可以存储针对多个内网的分别部署的防火墙的IP地址和部署位置，例如，针对公司M有子公司A和子公司B，子公司A和子公司B分别有针对各自子公司的内网，且内网之间需要通过外网连接，公司M的移动无线接入设备中可以同时存储针对子公司A内网的部署的各个内网防火墙的IP地址和部署位置，以及针对子公司B内网部署的各个内网防火墙的IP地址和部署位置。所述内网连接请求可以携带所述目标内网的内网域名，以使所述内网防火墙分配设备在接收到所述内网连接请求后，对所述内网域名进行解析后确定所述内网连接请求为针对所述目标内网的内网连接请求，进而获取针对所述目标内网部署的多个内网防火墙的IP地址和部署位置。

其中，一种确定所述第一内网防火墙的实现方式中，所述内网防火墙分配设备可以根据所述地理位置，和针对所述目标内网部署的各个内网防火墙的部署位置，将所述针对所述目标内网部署的多个内网防火墙中，距离所述移动无线接入设备最近的内网防火墙确定为所述第一内网防火墙。

另一种确定所述第一内网防火墙的实现方式中，预先将针对所述目标内网的全部的访问区域划分成针对所述目标内网的各个内网防火墙的内网访问子区域，在所述内网防火墙分配设备中预先设置针对所述内网访问子区域与所述目标内网的内网防火墙的对应关系。所述内网防火墙分配设备根据所述移动无线接入设备的地理位置，确定所述移动无线接入设备所处于的第一内网访问子区域，进而将所述第一内网访问子区域对应的内网防火墙确定为所述第一内网防火墙。

S204，所述内网防火墙分配设备将所述第一内网防火墙的第一IP地址发送给所述移动无线接入设备。

S205，所述移动无线接入设备根据所述第一IP地址与所述第一内网防火墙建立连接。

具体的，所述移动无线接入设备根据所述第一IP地址，向所述第一内网防火墙发送防火墙连接请求，以使所述第一内网防火墙根据所述防火墙连接请求对所述移动接入设备的身份验证通过后，建立与所述移动无线接入设备的连接。

一种实现方式中，所述防火墙连接请求中携带所述移动无线接入设备的接入设备识别码，如MAC地址，所述第一内网防火墙在确定所述接入设备识别码为预设的允许连接接入设备识别码中的其中一个时，确定对所述移动无线接入设备的身份认证通过。

另一种实现方式中，所述防火墙连接请求中携带用户通过所述移动无线接入设备输入的用户名和密码，所述第一内网防火墙在确定所述用户名和密码为预设的允许连接用户名和密码中的其中一组时，确定对所述移动无线接入设备的身份认证通过。

又一种实现方式中，所述防火墙连接请求中携带所述移动无线接入设备的数字证书，所述第一内网防火墙根据所述接入设备数字证书中携带的所述接入设备数字证书的发布方信息，确定所述接入设备数字证书的证书发布方；所述第一内网防火墙获取所述证书发布方的发布方数字证书后，通过所述发布方数字证书中包含的发布方公钥，并使用所述发布方公钥对所述接入设备数字证书中的数字签名进行解密得到所述接入设备数字证书的证书指纹，所述第一内网防火墙在将使用指定的哈希算法对所述接入设备数字证书进行哈希计算得到数字证书哈希值；所述第一内网防火墙在确定所述第一内网防火墙进行哈希计算得到的数字证书哈希值与所述接入设备证书指纹一致时，确定对所述移动无线接入设备的身份认证通过。

这里，所述移动无线接入设备发起三次握手与所述第一内网防火墙建立基于TCP/IP协议的连接，具体步骤如下：所述移动无线接入设备向所述第一内网防火墙发送SYN(Synchronize Sequence Numbers，同步序列编号)数据包；所述第一内网防火墙接收到所述SYN数据包后，向所述移动无线接入设备发送SYN+ACK(ACKnowledge Character，确认字符)数据包；所述移动无线接入设备接收到所述SYN+ACK数据包后，向所述第一内网防火墙反馈ACK数据包；所述第一内网防火墙接收到所述移动无线接入设备反馈的ACK数据包后，所述移动无线接入设备与所述第一内网防火墙之间的连接建立完成。

S206，所述内网防火墙分配设备获取所述移动无线接入设备与所述第一内网防火墙连接的接入设备状态信息。

所述接入设备状态信息可以包含所述接入设备状态信息被获取时，所述移动无线接入设备的实时地理位置，也可以包含在所述接入设备状态信息被获取时，所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的网络延迟。所述移动无线接入设备的实时地理位置可以是所述内网防火墙分配设备根据所述移动无线接入设备发送的定位信息通过IP定位、GPS定位、WIFI定位、基站定位等定位方式确定得到的，也可以是所述移动无线接入设备直接向所述内网防火墙直接发送的。所述移动无线接入设备与各个内网防火墙之间的网络延迟可以是所述移动无线接入设备与各个内网防火墙之间的单向网络延迟，也可以是往返网络延迟。所述移动无线接入设备与各个内网防火墙之间的网络延迟可以是所述内网防火墙分配设备确定得到的，也可以是所述移动无线接入设备或所述各个内网防火墙确定得到后，发送给所述内网防火墙分配设备的。

S207，所述内网防火墙分配设备在根据所述实时地理位置确定所述移动无线接入设备满足切换所连接防火墙的条件时，根据所述接入设备状态信息从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙。

具体的，所述内网防火墙分配设备可以周期性地获取所述移动无线接入设备当前的接入设备状态信息，进而周期性地根据所述接入状态信息包含的实时地理位置判断所述移动无线接入设备在当前周期中是否满足切换所连接防火墙的条件；也可以在接收到移动无线接入设备发送的防火墙切换请求时，获取所述移动无线接入设备的接入设备状态信息，进而根据所述接入状态信息包含的实时地理位置判断所述移动无线接入设备是否确实满足切换所连接防火墙的条件，所述防火墙切换请求为所述移动无线接入设备在根据自身地理位置，或自身访问内网的网络状况等，确定自身满足更换所连接的内网防火墙时，发送的切换所连接的防火墙的请求。例如，所述移动无线接入设备对自身与所述第一内网防火墙之间消息传输的丢包率进行监控，在确定丢包率大于预设阈值时，向所述内网防火墙分配设备发送防火墙切换请求。

这里，与步骤S203中所述内网防火墙分配设备为所述移动无线接入设备确定所述第一内网防火墙的实现方式相对应，所述内网防火墙分配设备确定所述移动无线接入设备满足切换所连接防火墙的条件可以包括：一种实现方式中，所述内网防火墙分配设备获取针对所述目标内网部署的多个内网防火墙的部署位置，所述内网防火墙分配设备在根据所述实时地理位置和针对所述目标内网部署的多个内网防火墙的部署位置，确定所述第一内网防火墙不为针对所述目标内网部署的多个内网防火墙中，距离所述移动无线接入设备最近的防火墙时，确定所述移动无线接入设备满足所述切换所连接防火墙的条件；另一种实现方式中，所述内网防火墙分配设备在确定所述移动无线接入设备从所述第一内网访问子区域转移至针对所述目标内网的第二内网访问子区域时，确定所述移动无线接入设备满足所述切换所连接防火墙的条件。

所述内网防火墙分配设备根据所述接入设备状态信息从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙的一种实现方式可以为：所述内网防火墙分配设备根据所述接入设备状态信息中包含的实时地理位置，从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备对应的第二内网防火墙。所述内网防火墙分配设备根据所述移动无线接入设备的所述实时地理位置确定所述第二内网防火墙的实现方式，可参阅步骤S203中所述内网防火墙分配设备根据步骤S202中获取的所述移动无线接入设备的地理位置确定所述第一内网防火墙的实现方式，此处不再赘述。

S208，所述内网防火墙分配设备将所述第二内网防火墙的第二IP地址发送给所述移动无线接入设备。

S209，所述移动无线接入设备根据所述第二IP地址与所述第二内网防火墙建立连接。

具体的，所述移动无线接入设备发起三次握手与所述第二内网防火墙建立基于TCP/IP协议的连接，可参阅步骤S205中所述移动无线接入设备与所述第一内网防火墙建立连接的实现方式，此处不再赘述。

S210，所述移动无线接入设备断开与所述第一内网防火墙的连接。

所述移动无线接入设备发起四次挥手断开与所述第一内网防火墙的TCP/IP连接，具体步骤如下：所述移动无线接入设备向所述第一内网防火墙发送FIN(Finish Character，结束字符)数据包；所述第一内网防火墙接收到所述FIN数据包后，向所述移动无线接入设备发送ACK数据包；所述第一内网防火墙向所述移动无线接入设备发送FIN数据包；所述移动无线接入设备接收到所述FIN数据包后，向所述第一内网防火墙发送ACK数据包；所述第一内网防火墙分配设备接收到所述ACK数据包后，所述移动无线接入设备与所述第一内网防火墙之间的连接断开完成。

S211，用户终端向所述移动无线接入设备发送针对目标内网的内网访问请求。

具体的，步骤S211之前，所述用户终端可以向所述移动无线接入设备发送无线网络连接请求，所述移动无线接入设备可以直接与所述用户终端建立连接，也可以通过所述无线网络连接请求携带的用户终端身份信息进行验证后，建立与所述用户终端的连接。所述用户终端身份信息可以为所述用户终端接收到的用户输入的接入所述移动无线接入设备建立的无线网络的用户名与密码，还可以为用户终端接收到的用户输入的生物特征信息，还可以为所述用户终端的终端设备标识信息。

这里，步骤S211在步骤S210之后执行，即步骤S211中所述用户终端的所述内网访问请求为所述移动无线接入设备与所述第二内网防火墙断开连接后，所述用户终端对所述目标内网的内网访问请求。

S212，所述移动无线接入设备将所述内网访问请求发送给所述第二内网防火墙。

S213，所述第二内网防火墙将所述内网访问请求路由至所述目标内网的内网服务器。

具体的，所述内网访问请求为针对目标内网中的服务器的访问请求，例如针对所述目标内网中Web服务器的访问请求、针对所述目标内网中FTP服务器的访问请求、针对所述目标内网中邮件服务器的访问请求等。所述第二内网防火墙接收到所述移动无线接入设备发送的内网访问请求之后，通过外网将所述内网访问请求发送给所述目标内网的路由器，所述目标内网的路由器通过所述目标内网将所述内网访问请求路由至所述目标内网中对应的内网服务器。

S214，所述内网服务器向所述第二内网防火墙返回响应所述内网访问请求的内网请求响应消息。

具体的，所述内网服务器响应所述内网访问请求生成内网请求响应消息后，将所述内网请求响应消息通过所述目标内网发送给所述目标内网的路由器，所述目标内网的路由器通过外网将所述内网请求响应消息发送给所述第二内网防火墙。例如，若所述内网访问请求为请求获取目标内网中文件服务器中的某文件，则所述内网请求响应消息可以为文件服务器发送的该文件。

S215，所述第二内网防火墙将所述内网请求响应消息发送给所述移动无线接入设备。

S216，所述移动无线接入设备将所述内网请求响应消息发送给所述用户终端。

本申请实施例中，内网防火墙分配设备接收到移动无线接入设备发送的针对目标内网的内网连接请求后，根据所述内网连接请求从针对目标内网部署的多个内网防火墙中为移动无线接入设备分配匹配的第一内网防火墙，在移动无线接入设备与第一内网防火墙建立连接后，内网防火墙分配设备根据移动无线接入设备的实时地理位置判断是否满足切换防火墙的条件，在确定满足上述条件时，内网防火墙分配设备根据移动无线接入设备与第一内网防火墙连接的接入设备状态信息，为移动无线接入设备分配切换的第二内网防火墙，移动无线接入设备与第二内网防火墙建立连接后，断开与第一内网防火墙的连接，并通过与第二内网防火墙的连接为用户终端提供访问目标内网的服务。通过本申请实施例，用户在访问目标内网之前无需配置任何参数，提高了针对目标内网的访问效率，同时内网防火墙分配设备在根据实时地理位置确定移动无线接入设备满足切换所连接防火墙的条件时，为移动无线接入设备重新分配第二内网防火墙，保证了与移动无线接入设备连接的内网防火墙总是与接入设备状态信息匹配的最优内网防火墙，保证了用户终端访问内网的网络质量。

参见图3，图3为本申请实施例提供的另一种防火墙切换方法的***交互示意图，如图所示，所述方法可以包括：

S301，移动无线接入设备向内网防火墙分配设备发送针对目标内网的内网连接请求。

S302，所述内网防火墙分配设备根据所述内网连接请求确定所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间当前的网络延迟。

具体的，所述内网防火墙分配设备确定所述移动无线接入设备与各个内网防火墙之间当前的网络延迟的一种实现方式可以为：所述内网防火墙分配设备向各个内网防火墙发送所述移动无线接入设备的接入设备IP地址，各个内网防火墙根据所述接入设备IP地址向所述移动无线接入设备发送网络延迟测试消息，所述移动无线接入设备将接收到的网络延迟测试消息转发给所述内网防火墙分配设备，所述内网防火墙分配设备接收到的网络延迟测试消息中携带针对所述目标内网部署的各个内网防火墙发送所述网络延迟测试消息的发送时间数据，以及所述移动无线接入设备接收所述网络延迟测试消息的接收时间数据，所述内网防火墙分配设备根据接收到的各个网络延迟测试消息中携带的发送时间数据和接收时间数据，确定所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的网络延迟。

所述内网防火墙分配设备确定所述移动无线接入设备与各个内网防火墙之间当前的网络延迟的另一种实现方式可以为：所述内网防火墙分配设备向所述移动无线接入设备发送针对所述目标内网部署的各个内网防火墙的防火墙IP地址，所述移动无线接入设备根据所述防火墙IP地址，向各个内网防火墙发送网络延迟测试消息，各个内网防火墙将接收到的网络延迟测试消息转发给所述内网防火墙分配设备，所述内网防火墙分配设备接收到的网络延迟测试消息中携带所述移动无线接入设备发送所述网络延迟测试消息的发送时间数据，以及所述针对所述目标内网部署的各个内网防火墙接收所述网络延迟测试消息的接收时间数据；所述内网防火墙分配设备根据接收到的各个网络延迟测试消息中携带的发送时间数据和接收时间数据，确定所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的目标网络延迟。

所述移动无线接入设备确定所述移动无线接入设备与各个内网防火墙之间当前的网络延迟的一种实现方式可以为：所述内网防火墙分配设备向所述移动无线接入设备发送针对所述目标内网部署的各个内网防火墙的防火墙IP地址，所述移动无线接入设备根据所述IP地址，向各个内网防火墙发送网络延迟测试消息，各个内网防火墙在接收到所述网络延迟测试消息后，向所述移动无线接入设备返回所述网络延迟测试消息；所述移动无线接入设备根据向各个内网防火墙发送所述网络延迟测试消息的发送时间数据，以及接收到各个内网防火墙返回的网络延迟测试消息的接收时间数据，确定所述移动无线接入设备与各个内网防火墙之间的网络延迟。

针对目标内网部署的各个内网防火墙确定所述移动无线接入设备与各个内网防火墙之间当前的网络延迟的一种实现方式可以为：所述内网防火墙分配设备向各个内网防火墙发送所述移动无线接入设备的接入设备IP地址，各个内网防火墙根据所述接入设备IP地址向所述移动无线接入设备发送网络延迟测试消息，所述移动无线接入设备接收到各个内网防火墙发送的网络延迟测试消息后，将接收到的网络延迟测试消息返回给各个内网防火墙，各个内网防火墙根据向移动无线接入设备发送所述网络延迟测试消息的发送时间数据，以及接收到所述移动无线接入设备返回的网络延迟测试消息的接收时间数据，确定所述移动无线接入设备与自身的网络延迟。

S303，所述内网防火墙分配设备根据所述当前的网络延迟，从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙。

具体的，所述内网防火墙分配设备将所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间当前的网络延迟中，最小的网络延迟对应内网防火墙确定为所述第一内网防火墙。

S304，所述内网防火墙分配设备将所述第一内网防火墙的第一IP地址发送给所述移动无线接入设备。

S305，所述移动无线接入设备根据所述第一IP地址与所述第一内网防火墙建立连接。

S306，所述内网防火墙分配设备获取所述移动无线接入设备的接入设备状态信息。

S307，所述内网防火墙分配设备在根据所述接入设备状态信息包含的实时地理位置确定所述第一内网防火墙不为距离所述移动无线接入设备最近的内网防火墙时，将所述接入设备状态信息包含所述移动无线接入设备与各个内网防火墙之间的实时网络延迟中最小的网络延迟对应的内网防火墙，确定为所述第二内网防火墙。

步骤S307中确定所述第二内网防火墙后，将第二内网防火墙的第二IP地址发送给所述移动无线接入设备，以使所述移动无线接入设备将所连接的内网防火墙从所述第一内网防火墙切换至所述第二内网防火墙，具体实现步骤参阅图2对应的实施例中步骤S208～步骤S216的实现方式，此处不再赘述。

本申请实施例中，内网防火墙分配设备接收到移动无线接入设备发送的针对目标内网的内网连接请求后，将针对目标内网部署的多个内网防火墙与移动无线接入设备之间当前的网络延迟最小的第一内网防火墙分配给移动无线接入设备，在移动无线接入设备与第一内网防火墙建立连接后，内网防火墙在确定所述第一内网防火墙不是距离所述移动无线接入设备最近的内网防火墙时，将与移动无线接入设备之间网络延迟最小的内网防火墙确定为移动无线接入设备分配切换的第二内网防火墙，移动无线接入设备与第二内网防火墙建立连接后，断开与第一内网防火墙的连接，并通过与第二内网防火墙的连接为用户终端提供访问目标内网的服务。通过本申请实施例，用户在访问目标内网之前无需配置任何参数，提高了针对目标内网的访问效率，同时内网防火墙分配设备确定所述移动无线接入设备满足切换所连接内网防火墙的条件时，保证了移动无线接入设备切换与移动无线接入设备之间网络延迟最小的第二内网防火墙相连，保证了用户终端访问内网的网络质量。

参阅图4，图4为本申请实施例提供的一种移动无线接入设备的结构示意图，如图所示，所述内网防火墙分配设备40可以至少包括状态获取单元401、防火墙确定单元402和地址发送单元403，其中：

状态获取单元401，用于获取移动无线接入设备与目标内网的第一内网防火墙连接的接入设备状态信息，所述第一内网防火墙为在接收到所述移动无线接入设备发送的针对目标内网的内网连接请求后，根据所述内网连接请求从针对所述目标内网部署的多个内网防火墙中，确定的所述移动无线接入设备匹配的防火墙，所述接入设备状态信息包含所述移动无线接入设备的实时地理位置；

防火墙确定单元402，用于在根据所述实时地理位置确定所述移动无线接入设备满足切换所连接防火墙的条件时，根据所述接入设备状态信息从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙；

地址发送单元403，用于将所述第二内网防火墙的第二IP地址发送给所述移动无线接入设备，以使所述移动无线接入设备根据所述第二IP地址与所述第二内网防火墙建立连接，并断开与第一内网防火墙的连接后，所述第二内网防火墙将用户终端通过所述移动无线接入设备发送的针对所述目标内网的内网访问请求路由至所述目标内网的内网服务器，所述第二内网防火墙还将所述内网服务器响应所述内网访问请求返回的内网请求响应消息通过所述移动无线接入设备发送至所述用户终端。

其中，所述防火墙确定单元402具体用于：

获取针对所述目标内网部署的多个内网防火墙的部署位置；

在根据所述实时地理位置和针对所述目标内网部署的多个内网防火墙的部署位置，确定所述第一内网防火墙不为针对所述目标内网部署的多个内网防火墙中，距离所述移动无线接入设备最近的防火墙时，确定所述移动无线接入设备满足所述切换所连接防火墙的条件。

其中，所述状态获取单元401还用于：

接收所述移动无线接入设备针对所述目标内网发送的内网连接请求；

根据所述内网连接请求确定所述移动无线接入设备当前的地理位置；

根据所述当前的地理位置，从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙；

将所述第一内网防火墙的第一IP地址发送给所述移动无线接入设备，以使所述移动无线接入设备根据所述第一IP地址与所述第一内网防火墙建立连接。

其中，所述状态获取单元401具体用于：

根据所述当前的地理位置，确定所述移动无线接入设备所处于的针对所述目标内网的第一内网访问子区域；

根据预设的内网访问子区域和所述目标内网的防火墙的对应关系，确定所述第一内网访问子区域对应的所述第一内网防火墙；

所述防火墙确定单元具体用于：

在确定所述移动无线接入设备从所述第一内网访问子区域转移至针对所述目标内网的第二内网访问子区域时，确定所述移动无线接入设备满足所述切换所连接防火墙的条件。

其中，所述内网防火墙连接请求携带所述移动无线接入设备的身份验证信息；

所述状态获取单元401具体用于：

根据所述身份验证信息对所述移动无线接入设备进行身份验证；

在所述身份验证通过后，确定所述移动无线接入设备当前的地理位置。

其中，所述防火墙确定单元402具体用于：

根据所述实时地理位置，从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙。

其中，所述接入设备状态信息包含在所述接入设备状态信息被获取时，所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的网络延迟；

所述防火墙确定单元402，具体用于：

将所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的网络延迟中，最小的网络延迟对应的防火墙确定为所述第二内网防火墙。

其中，所述防火墙确定单元402，还用于：

向针对目标内网部署的各个内网防火墙发送所述移动无线接入设备的接入设备IP地址，以使所述各个内网防火墙根据所述接入设备IP地址向所述移动无线接入设备发送网络延迟测试消息；

接收所述移动无线接入设备转发的所述各个内网防火墙发送的网络延迟测试消息，所述内网防火墙分配设备接收到的网络延迟测试消息中携带所述各个内网防火墙发送所述网络延迟测试消息的发送时间数据，以及所述移动无线接入设备接收所述网络延迟测试消息的接收时间数据；

根据接收到的各个网络延迟测试消息中携带的发送时间数据和接收时间数据，确定所述移动无线接入设备与所述各个内网防火墙之间的网络延迟。

其中，所述状态获取单元401具体用于：

周期性地获取移动无线接入设备与目标内网的第一内网防火墙连接的接入设备状态信息，或，在接收到所述移动无线接入设备发送的防火墙切换请求时，获取移动无线接入设备与目标内网的第一内网防火墙连接的接入设备状态信息，所述防火墙切换请求为所述移动无线接入设备在确定所述移动无线接入设备满足更换所连接的内网防火墙时，发送的切换所连接的防火墙的请求。

具体实现中，所述内网防火墙分配设备可以通过其内置的各个功能模块执行如图2至图3的防火墙切换方法中所述内网防火墙分配设备执行的各个步骤，具体实施细节可参阅图2至图3对应的实施例中各个步骤的实现细节，此处不再赘述。

本申请实施例中，状态获取单元接收到移动无线接入设备发送的针对目标内网的内网连接请求后，根据所述内网连接请求从针对目标内网部署的多个内网防火墙中为移动无线接入设备分配匹配的第一内网防火墙，在移动无线接入设备与第一内网防火墙建立连接后，状态获取单元获取所述移动无线接入设备的实时地理位置，防火墙确定单元根据移动无线接入设备的实时地理位置判断是否满足切换防火墙的条件，在确定满足上述条件时，根据移动无线接入设备与第一内网防火墙连接的接入设备状态信息，为移动无线接入设备分配切换的第二内网防火墙，地址发送单元将第二内网防火墙的第二IP地址发送给移动无线接入设备后，移动无线接入设备与第二内网防火墙建立连接后，断开与第一内网防火墙的连接，并通过与第二内网防火墙的连接为用户终端提供访问目标内网的服务。通过本申请实施例，用户在访问目标内网之前无需配置任何参数，提高了针对目标内网的访问效率，同时防火墙确定单元在根据实时地理位置确定移动无线接入设备满足切换所连接防火墙的条件时，为移动无线接入设备重新分配第二内网防火墙，保证了与移动无线接入设备连接的内网防火墙总是与接入设备状态信息匹配的最优内网防火墙，保证了用户终端访问内网的网络质量。

参见图5，图5为本申请实施例提供的另一种内网防火墙分配设备的结构示意图，如图所示，所述内网防火墙分配设备50包括处理器501、存储器502以及通信接口503。处理器501连接到存储器502和通信接口503，例如处理器501可以通过总线连接到存储器502和通信接口503。

处理器501被配置为支持内网防火墙分配设备执行图2-图3所述的防火墙切换方法中内网防火墙分配设备的相应的功能。该处理器501可以是中央处理器(Central Processing Unit，CPU)，网络处理器(Network Processor，NP)，硬件芯片或者其任意组合。上述硬件芯片可以是专用集成电路(Application-Specific Integrated Circuit，ASIC)，可编程逻辑器件(Programmable Logic Device，PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(Complex Programmable Logic Device，CPLD)，现场可编程逻辑门阵列(Field-Programmable Gate Array，FPGA)，通用阵列逻辑(Generic Array Logic,GAL)或其任意组合。

存储器502用于存储程序代码等。存储器502包括内部存储器，内部存储器可以包括以下至少一项：易失性存储器(例如动态随机存取存储器(DRAM)、静态RAM(SRAM)、同步动态RAM(SDRAM)等)和非易失性存储器(例如一次性可编程只读存储器(OTPROM)、可编程ROM(PROM)、可擦除可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)。存储器502还可以包括外部存储器，外部存储器可以包括以下至少一项：硬盘(Hard Disk Drive，HDD)或固态硬盘(Solid-State Drive，SSD)、闪驱，例如高密度闪存(CF)、安全数字(SD)、微型SD、迷你型SD、极限数字(xD)、存储棒等。

所述通信接口503用于接收或发送数据。

处理器501可以调用所述程序代码以执行以下操作：

获取移动无线接入设备与目标内网的第一内网防火墙连接的接入设备状态信息，所述第一内网防火墙为在接收到所述移动无线接入设备发送的针对目标内网的内网连接请求后，根据所述内网连接请求从针对所述目标内网部署的多个内网防火墙中，确定的所述移动无线接入设备匹配的防火墙，所述接入设备状态信息包含所述移动无线接入设备的实时地理位置；

在根据所述实时地理位置确定所述移动无线接入设备满足切换所连接防火墙的条件时，根据所述接入设备状态信息从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙；

将所述第二内网防火墙的第二IP地址发送给所述移动无线接入设备，以使所述移动无线接入设备根据所述第二IP地址与所述第二内网防火墙建立连接，并断开与第一内网防火墙的连接后，所述第二内网防火墙将用户终端通过所述移动无线接入设备发送的针对所述目标内网的内网访问请求路由至所述目标内网的内网服务器，所述第二内网防火墙还将所述内网服务器响应所述内网访问请求返回的内网请求响应消息通过所述移动无线接入设备发送至所述用户终端。

需要说明的是，各个操作的实现还可以对应参照图2-图3所示的方法实施例的相应描述；所述处理器501还可以用于执行上述方法实施例中的其他操作。

本申请实施例还提供一种计算机非易失性可读存储介质，所述计算机非易失性可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被计算机执行时使所述计算机执行如前述实施例所述的方法，所述计算机可以为上述提到的内网防火墙分配设备的一部分。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random Access Memory，RAM)等。

Claims

一种防火墙切换方法，其特征在于，包括：

内网防火墙分配设备获取移动无线接入设备与目标内网的第一内网防火墙连接的接入设备状态信息，所述第一内网防火墙为在接收到所述移动无线接入设备发送的针对目标内网的内网连接请求后，根据所述内网连接请求从针对所述目标内网部署的多个内网防火墙中，确定的所述移动无线接入设备匹配的防火墙，所述接入设备状态信息包含所述移动无线接入设备的实时地理位置；

所述内网防火墙分配设备在根据所述实时地理位置确定所述移动无线接入设备满足切换所连接防火墙的条件时，根据所述接入设备状态信息从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙；

所述内网防火墙分配设备将所述第二内网防火墙的第二IP地址发送给所述移动无线接入设备，以使所述移动无线接入设备根据所述第二IP地址与所述第二内网防火墙建立连接，并在断开与第一内网防火墙的连接后，所述第二内网防火墙将用户终端通过所述移动无线接入设备发送的针对所述目标内网的内网访问请求路由至所述目标内网的内网服务器，所述第二内网防火墙还将所述内网服务器响应所述内网访问请求返回的内网请求响应消息通过所述移动无线接入设备发送至所述用户终端。
如权利要求1所述的方法，其特征在于，所述内网防火墙分配设备根据所述实时地理位置确定所述移动无线接入设备满足切换所连接防火墙的条件包括：

所述内网防火墙分配设备获取针对所述目标内网部署的多个内网防火墙的部署位置；

所述内网防火墙分配设备在根据所述实时地理位置和针对所述目标内网部署的多个内网防火墙的部署位置，确定所述第一内网防火墙不为针对所述目标内网部署的多个内网防火墙中，距离所述移动无线接入设备最近的防火墙时，确定所述移动无线接入设备满足所述切换所连接防火墙的条件。
如权利要求1～2任一所述的方法，其特征在于，所述内网防火墙分配设备获取移动无线接入设备与目标内网的第一内网防火墙连接的接入设备状态信息之前，所述方法还包括：

所述内网防火墙分配设备接收所述移动无线接入设备针对所述目标内网发送的内网连接请求；

所述内网防火墙分配设备根据所述内网连接请求确定所述移动无线接入设备当前的地理位置；

所述内网防火墙分配设备根据所述当前的地理位置，从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙；

所述内网防火墙分配设备将所述第一内网防火墙的第一IP地址发送给所述移动无线接入设备，以使所述移动无线接入设备根据所述第一IP地址与所述第一内网防火墙建立连接。
如权利要求3所述的方法，其特征在于，所述内网防火墙分配设备根据所述当前的地理位置，从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙包括：

所述内网防火墙分配设备根据所述当前的地理位置，确定所述移动无线接入设备所处于的针对所述目标内网的第一内网访问子区域；

所述内网防火墙分配设备根据预设的内网访问子区域和所述目标内网的防火墙的对应关系，确定所述第一内网访问子区域对应的所述第一内网防火墙；

所述内网防火墙分配设备根据所述实时地理位置确定所述移动无线接入设备满足切换所连接防火墙的条件包括：

所述内网防火墙分配设备在确定所述移动无线接入设备从所述第一内网访问子区域转移至针对所述目标内网的第二内网访问子区域时，确定所述移动无线接入设备满足所述切换所连接防火墙的条件。
如权利要求3所述的方法，其特征在于，所述内网防火墙连接请求携带所述移动无线接入设备的身份验证信息；

所述内网防火墙分配设备根据所述内网连接请求确定所述移动无线接入设备当前的地理位置包括：

所述内网防火墙分配设备根据所述身份验证信息对所述移动无线接入设备进行身份验证；

在所述身份验证通过后，所述内网防火墙分配设备确定所述移动无线接入设备当前的地理位置。
如权利要求1～5任一所述的方法，其特征在于，所述内网防火墙分配设备根据接入设备状态信息从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙包括：

所述内网防火墙分配设备根据所述实时地理位置，从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙。
如权利要求1～6任一所述的方法，其特征在于，所述接入设备状态信息包含在所述接入设备状态信息被获取时，所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的网络延迟；

所述内网防火墙分配设备根据接入设备状态信息从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙包括：

所述内网防火墙分配设备将所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的网络延迟中，最小的网络延迟对应的防火墙确定为所述第二内网防火墙。
如权利要求7所述的方法，其特征在于，所述内网防火墙分配设备根据接入设备状态信息从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙之前，还包括：

所述内网防火墙分配设备向针对目标内网部署的各个内网防火墙发送所述移动无线接入设备的接入设备IP地址，以使所述各个内网防火墙根据所述接入设备IP地址向所述移动无线接入设备发送网络延迟测试消息；

所述内网防火墙分配设备接收所述移动无线接入设备转发的所述各个内网防火墙发送的网络延迟测试消息，所述内网防火墙分配设备接收到的网络延迟测试消息中携带所述各个内网防火墙发送所述网络延迟测试消息的发送时间数据，以及所述移动无线接入设备接收所述网络延迟测试消息的接收时间数据；

所述内网防火墙分配设备根据接收到的各个网络延迟测试消息中携带的发送时间数据和接收时间数据，确定所述移动无线接入设备与所述各个内网防火墙之间的网络延迟。
如权利要求1～8任一所述的方法，其特征在于，所述内网防火墙分配设备获取移动无线接入设备与目标内网的第一内网防火墙连接的接入设备状态信息包括：

所述内网防火墙分配设备周期性地获取移动无线接入设备与目标内网的第一内网防火墙连接的接入设备状态信息，或，在接收到所述移动无线接入设备发送的防火墙切换请求时，获取移动无线接入设备与目标内网的第一内网防火墙连接的接入设备状态信息，所述防火墙切换请求为所述移动无线接入设备在确定所述移动无线接入设备满足更换所连接的内网防火墙时，发送的切换所连接的防火墙的请求。
一种内网防火墙分配设备，其特征在于，包括：

状态获取单元，用于获取移动无线接入设备与目标内网的第一内网防火墙连接的接入设备状态信息，所述第一内网防火墙为在接收到所述移动无线接入设备发送的针对目标内网的内网连接请求后，根据所述内网连接请求从针对所述目标内网部署的多个内网防火墙中，确定的所述移动无线接入设备匹配的防火墙，所述接入设备状态信息包含所述移动无线接入设备的实时地理位置；

防火墙确定单元，用于在根据所述实时地理位置确定所述移动无线接入设备满足切换所连接防火墙的条件时，根据所述接入设备状态信息从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙；

地址发送单元，用于将所述第二内网防火墙的第二IP地址发送给所述移动无线接入设备，以使所述移动无线接入设备根据所述第二IP地址与所述第二内网防火墙建立连接，并断开与第一内网防火墙的连接后，所述第二内网防火墙将用户终端通过所述移动无线接入设备发送的针对所述目标内网的内网访问请求路由至所述目标内网的内网服务器，所述第二内网防火墙还将所述内网服务器响应所述内网访问请求返回的内网请求响应消息通过所述移动无线接入设备发送至所述用户终端。
如权利要求10所述的设备，其特征在于，所述防火墙确定单元具体用于：

获取针对所述目标内网部署的多个内网防火墙的部署位置；

在根据所述实时地理位置和针对所述目标内网部署的多个内网防火墙的部署位置，确定所述第一内网防火墙不为针对所述目标内网部署的多个内网防火墙中，距离所述移动无线接入设备最近的防火墙时，确定所述移动无线接入设备满足所述切换所连接防火墙的条件。
如权利要求10～11所述的设备，其特征在于，所述状态获取单元还用于：

接收所述移动无线接入设备针对所述目标内网发送的内网连接请求；

根据所述内网连接请求确定所述移动无线接入设备当前的地理位置；

根据所述当前的地理位置，从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙；

将所述第一内网防火墙的第一IP地址发送给所述移动无线接入设备，以使所述移动无线接入设备根据所述第一IP地址与所述第一内网防火墙建立连接。
如权利要求12所述的设备，其特征在于，所述状态获取单元具体用于：

根据所述当前的地理位置，确定所述移动无线接入设备所处于的针对所述目标内网的第一内网访问子区域；

根据预设的内网访问子区域和所述目标内网的防火墙的对应关系，确定所述第一内网访问子区域对应的所述第一内网防火墙；

所述防火墙确定单元具体用于：

在确定所述移动无线接入设备从所述第一内网访问子区域转移至针对所述目标内网的第二内网访问子区域时，确定所述移动无线接入设备满足所述切换所连接防火墙的条件。
如权利要求12所述的设备，其特征在于，所述内网防火墙连接请求携带所述移动无线接入设备的身份验证信息；

所述状态获取单元具体用于：

根据所述身份验证信息对所述移动无线接入设备进行身份验证；

在所述身份验证通过后，确定所述移动无线接入设备当前的地理位置。
如权利要求10～14任一所述的设备，其特征在于，所述防火墙确定单元具体用于：

根据所述实时地理位置，从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙。
如权利要求10～15任一所述的设备，其特征在于，所述接入设备状态信息包含在所述接入设备状态信息被获取时，所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的网络延迟；

所述防火墙确定单元，具体用于：

将所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的网络延迟中，最小的网络延迟对应的防火墙确定为所述第二内网防火墙。
如权利要求16所述的设备，其特征在于，所述防火墙确定单元，还用于：

向针对目标内网部署的各个内网防火墙发送所述移动无线接入设备的接入设备IP地址，以使所述各个内网防火墙根据所述接入设备IP地址向所述移动无线接入设备发送网络延迟测试消息；

接收所述移动无线接入设备转发的所述各个内网防火墙发送的网络延迟测试消息，所述内网防火墙分配设备接收到的网络延迟测试消息中携带所述各个内网防火墙发送所述网络延迟测试消息的发送时间数据，以及所述移动无线接入设备接收所述网络延迟测试消息的接收时间数据；

根据接收到的各个网络延迟测试消息中携带的发送时间数据和接收时间数据，确定所述移动无线接入设备与所述各个内网防火墙之间的网络延迟。
如权利要求10～17任一所述的设备，其特征在于，所述状态获取单元具体用于：

周期性地获取移动无线接入设备与目标内网的第一内网防火墙连接的接入设备状态信息，或，在接收到所述移动无线接入设备发送的防火墙切换请求时，获取移动无线接入设备与目标内网的第一内网防火墙连接的接入设备状态信息，所述防火墙切换请求为所述移动无线接入设备在确定所述移动无线接入设备满足更换所连接的内网防火墙时，发送的切换所连接的防火墙的请求。
一种内网防火墙分配设备，其特征在于，包括处理器、存储器以及通信接口，所述处理器、存储器和通信接口相互连接，其中，所述通信接口用于接收和发送数据，所述存储器用于存储程序代码，所述处理器用于调用所述程序代码，执行如权利要求1-9任一项所述的方法。
一种计算机非易失性可读存储介质，其特征在于，所述计算机非易失性可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行如权利要求1-9任一项所述的方法。