具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

此外，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

在本发明的描述中，还需要说明的是，除非另有明确的规定和限定，“设置”、“连接”等术语应做广义理解，例如，“连接”可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接连接，也可以通过中间媒介间接连接，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

下面结合附图，对本发明的具体实施方式进行详细说明。

图1是本公开一种实施例提供的基于无线网络设备多网口的智能防火墙配置系统的交互示意图。基于无线网络设备多网口的智能防火墙配置系统可以包括本地无线网络设备10以及与本地无线网络设备10通过多个桥接口通信连接的本地终端设备20和上级路由器30。图1所示的基于无线网络设备多网口的智能防火墙配置系统仅为一种可行的示例，在其它可行的实施例中，该基于无线网络设备多网口的智能防火墙配置系统也可以仅包括图1所示组成部分的其中一部分或者还可以包括其它的组成部分。

本实施例中，本地终端设备20可以包括移动设备、平板计算机、膝上型计算机等或其任意组合。在一些实施例中，移动设备可以包括智能家居设备、可穿戴设备、智能移动设备、虚拟现实设备、或增强现实设备等，或其任意组合。在一些实施例中，智能家居设备可以包括智能电器设备的控制设备、智能监控设备、智能电视、智能摄像机等，或其任意组合。在一些实施例中，可穿戴设备可包括智能手环、智能鞋带、智能玻璃、智能头盔、智能手表、智能服装、智能背包、智能配件等，或其任何组合。在一些实施例中，智能移动设备可以包括智能手机、个人数字助理、游戏设备等，或其任意组合。在一些实施例中，虚拟现实设备和/或增强现实设备可以包括虚拟现实头盔、虚拟现实玻璃、虚拟现实贴片、增强现实头盔、增强现实玻璃、或增强现实贴片等，或其任意组合。例如，虚拟现实设备和/或增强现实设备可以包括各种虚拟现实产品等。

本实施例中，基于无线网络设备多网口的智能防火墙配置系统中的本地无线网络设备10、本地终端设备20和上级路由器30可以通过配合执行以下方法实施例所描述的基于无线网络设备多网口的智能防火墙配置方法，具体本地无线网络设备10、本地终端设备20和上级路由器30的执行步骤部分可以参照以下方法实施例的详细描述。

为了解决前述背景技术中的技术问题，图2为本公开实施例提供的基于无线网络设备多网口的智能防火墙配置方法的流程示意图，本实施例提供的基于无线网络设备多网口的智能防火墙配置方法可以由图1中所示的本地无线网络设备10执行，下面对该基于无线网络设备多网口的智能防火墙配置方法进行详细介绍。

步骤201，响应于上级路由器30发出的外网配置协议数据包，根据第一预设规则在本地无线网络设备10配置的Forward链上拦截外网配置协议数据包。

其中，上级路由器30通过外网配置协议数据包为本地终端设备20配置外网IP地址。

步骤202，响应于本地终端设备20发出的内网配置协议数据包，根据第二预设规则在本地无线网络设备10配置的Prerouting链上拦截内网配置协议数据包。

其中，上级路由器30通过内网配置协议数据包获取本地终端设备20的内网IP地址。

步骤203，获取本地终端设备20的访问指示，访问指示包括访问目的地址。

步骤204，当访问目的地址与本地终端设备20预先配置的地址不匹配时，对访问目的地址进行网络地址转换。

步骤205，当访问目的地址与本地终端设备20预先配置的地址匹配时，根据访问指示执行对应操作。

在本发明实施例中，将所有端口划分成单独的vlan，然后都统一绑定到一个桥接口br-lan上，将br-lan既做为LAN口又做为WAN口使用，即本地无线网络设备10可以配置多个桥接口。为了能够实现上述设置，需要解决现有技术中本地无线网络设备10本身有DHCP服务器，会通过br-lan桥接口向LAN侧接入的主机（即本地终端设备20）分配IP地址，WAN口接上级路由器30，如果上级路由器30也有DHCP服务器，则也是通过br-lan桥接口去获取WAN口的IP地址的问题。

可选的，拦截上级路由DHCP服务器通过br-lan接口将IP地址传给LAN侧主机，由上图可看出，DHCP数据包经过路由判断后，会走防火墙FORWARD链，因此我们只需在FORWARD链上将所有DHCP数据包拦截掉即可（路由本身br-lan口获取IP，会走向INPUT链，并不冲突），我们在路由里下的第一预设规则如下：

iptables -I FORWARD 1 -m physdev --physdev-is-bridged -p udp --dport67 -j DROP（此条规则拦截DHCP请求包）。

iptables -I FORWARD 1 -m physdev --physdev-is-bridged -p udp --sport67 -j DROP (此条规则拦截DHCP的响应包)。

在防火墙filter表的FORWARD链，则会出现相应规则，其次，拦截路由器LAN侧的DHCP服务器将IP分配给上级路由，同样根据防火墙的走向表，我们在PREROUTING链里拦截掉外网获取IP地址的DHCP数据包就可以，在路由里下的第二预设规则如下：

iptables -t mangle -I PREROUTING 1 -m physdev --physdev-in eth3 -pudp --dport 67 -j DROP。

（这里必须判断哪个口是接外网，我们假定eth3口接外网，则下的规则如上。关于判断哪个网口接外网，我们用的方法是，当WAN口获取到IP地址时，从第一个网口开始，在防火墙里屏蔽第一个网口的ICMP包，然后去PING上级网关，如果能PING得通，则接着同样的方法屏蔽下一个网口，直到其中一个网口无法PING通，则证明该网口接了外网线。）防火墙mangle表的PREROUTING链也会配置响应规则。

而内外到外网之间NAT转换，主要是防止LAN侧主机间互访时，也会被当成访问外网而做NAT地址伪装，所以我们在下MASQUERADE规则时，我们只需加一个判断条件，访问的目的地址不是LAN侧IP时，做地址转换即可：

iptables -A zone_wan_postrouting ! -d 192.168.71.0/24 -j MASQUERADE。

而在判断清楚LAN侧主机间互访的情况时，可以根据是否是在LAN侧主机间互访执行对应的操作。

通过上述步骤，解决了防止LAN侧主机获取到外网IP，并防止内网DHCP服务器，把IP地址分配到外网的问题，实现了基于无线网络设备多网口不分LAN-WAN智能盲插功能防火墙的信息配置的方案。

为了能够能加清楚的描述本发明提供的方案，当访问目的地址与本地终端设备20预先配置的地址匹配时，根据访问指示执行对应操作，包括：

子步骤205-1，获取当前的访问指示。

其中，当前时间周期可以为需要对用户的访问指示进行检测的时段，如一天、一小时等。该访问指示则为需要进行检测的用于在不同终端设备内之间交互的指令，可以包括一个或多个已知内容的指示参量。实际应用中，该指示参量可以由用户预先输入，也可以由计算机设备预先处理。

在一些实施例中，可以通过自注意力机制对访问指示进行特征关联处理，此次融合基于当前访问指示中有记录的网络地址参数进行访问指示的初次补全，以加强各操作节点下已知指示参量的空间关联。也即，在获取当前的访问指示时，可以包括以下流程：

（1）获取当前的已知指示参量。

（2）至少基于当前的已知指示参量确定初始访问指示。

（3）通过自注意力机制对初始访问指示进行特征关联处理，得到访问指示。

在一实施方式中，当前已知指示参量构成的访问指示中，有的时间切片内可能没有一个指示参量，则在初次补全时可以通过周边几个有点的特征进行一个加权求和，得到的新指示参量作为这个点的一个初次补全。

由于时间和本地终端地址是离散的表达，不利于深度学习进行梯度更新。因此，在本实施例中，则是将指示参量的网络地址参数转换成自然语言处理时在句中的“词”的问题，将指示参量的时间信息转换成在句中的“位置次序”问题，将每个离散值隐身成一个高维的连续向量，以便直接参与后续网络计算。

也即，在一些实施例中，在通过自注意力机制对初始访问指示进行特征关联处理得到访问指示时，可以包括以下流程：

（1）构建初始访问指示中已知指示参量的知识图谱树。

（2）根据已知指示参量的知识图谱树，确定初始访问指示中已知指示参量两两之间的关联值。

（3）基于已知指示参量两两之间的关联值，确定初始访问指示内每一已知指示参量关于其他已知指示参量的第三预设权重。

其中，第三预设权重用于反映初始访问指示中每一指示参量对其访问指示内其他已知指示参量的可信度。

（4）根据第三预设权重对初始访问指示中的已知指示参量的知识图谱树进行调整，得到访问指示。

在构建初始访问指示中已知指示参量的知识图谱树时，具体可以分别构建每个指示参量的时间表征向量和访问目的地址表征向量，然后通过每一指示参量的时间表征向量和访问目的地址表征向量相加进行处理得到每一指示参量的知识图谱树。

由于原始的时间元素和访问目的地址表征向量确实不是一个维度的，比如时间可以是（小时，分钟），本地终端地址就是网络协议地址等。因此，可以通过一个简单的神经网络，通过指定一个相同的神经元个数变成相同维度的向量。例如，可以直接把每个点的时间表征向量和访问目的地址表征向量知识图谱树成同一个维度的，如时间表征向量就是点在访问指示中的次序位置，第一个点就是“1”，本地终端地址就是一个网格的ID。

在对初始访问指示进行特征关联处理时，通过引入自注意力机制从初始访问指示中获得需要重点关注的特征，也就是一般所说的注意力焦点，而后对这一特征投入更多注意力资源，以获取更多所需要关注目标的细节信息，而抑制其他无用信息，以从众多信息中选择出对当前访问指示的知识图谱树更关键的信息，从而更好的表达各指示参量以及指示参量之间的关系。

具体实施时首先对访问指示构建其中指示参量网络协议地址（即本地终端地址）的嵌入向量、及指示参量在访问指示中所在位置（即时间）的嵌入向量，然后输入至多头注意力自学习模块自学习访问指示中指示参量之间的关系，随后将输出向量进行多头向量聚合和标准化。其中，在进行向量聚合时，可采用Python中的concat方法，将向量进行横向拼接或纵向拼接，得到拼接向量。在执行向量标准化时，可以采用softmax激活函数对输出向量进行归一化处理，以把分量转变成一个[0,1]之间的数值。

在注意力机制中，每个指示参量有3个不同的向量，它们分别是Query向量（Q），Key向量（K）和Value向量（V），长度均是64。它们是通过3个不同的权值矩阵由该单词的嵌入向量X乘以三个不同的权值矩阵WQ、WK、WV得到。其中，三个权值矩阵WQ、WK、WV的尺寸都是相同的，例如尺寸可以为：512x64。

具体实施时，可将输入的指示参量转化成嵌入向量，然后根据嵌入向量得到Q，K，V三个向量。将每个指示参量计算一个与其他指示参量相关度score（代表关联值），即socre=Q*K。为了梯度的稳定，可以利用激活函数softmax对每个score进行数值归一化处理。将归一化处理后的值点乘每个指示参量的Value向量V，得到加权的每个输入向量的评分V，并相加之后得到最终的输出结果：Z=sum(V)，作为输入指示参量注意力向量，通过对该注意力向量进行处理可以得到每一指示参量对应的预设权重。

子步骤205-2，确定访问指示的指示内容与历史特征访问指示的指示内容之间的第一关联关系，包括：分别构建访问指示和历史特征访问指示中每一指示参量的知识图谱树，得到多个第一元素和多个第二元素，确定每一第一元素与每一第二元素之间的第一关联值，得到第一关联关系，其中，历史特征访问指示基于历史时间段内的访问操作确定。

在本实施例中，历史特征访问指示与访问指示的周期长度相同。例如，都为一天、一天中的某个时间段（如星期四的8:00至20:00）等。访问指示的指示内容可以包括：访问指示中每一已知指示参量的指示标记、及在访问指示中的生成时间。历史特征访问指示的指示内容包括：历史特征访问指示中每一指示参量的指示标记、及在历史特征访问指示中的生成时间。其中，指示标记可以为本地终端设备20的地址，如网络协议地址信息。生成时间则可以表征指示参量在访问指示中的时序信息。

在确定访问指示的指示内容与历史特征访问指示的指示内容之间的第一关联关系时，具体可以构建访问指示和历史特征访问指示中每一指示参量的知识图谱树，得到多个第一元素和多个第二元素，然后确定每一第一元素与每一第二元素之间的第一关联值，并基于该第一关联值确定访问指示的指示内容与历史特征访问指示的指示内容之间的第一关联关系。

本实施例中，在基于历史时间段内的访问操作确定历史特征访问指示的方式可以有多种。例如，在一实施方式中，在基于历史时间段内的访问操作确定历史特征访问指示时，包括：

（1）采集历史时间段内的访问操作。

（2）按照预设访问时间节点和访问操作，构建多条历史访问指示。

（3）将多条历史访问指示按时间对齐，从对齐后的多条历史访问指示中确定出同一操作节点下出现频率最高的指示参量，并根据同一操作节点下出现频率最高的指示参量构建得到目标历史访问指示。

（4）通过自注意力机制对目标历史访问指示进行特征关联处理，得到历史特征访问指示。

具体的，可以对长期的历史访问指示访问操作进行处理处理。其中，该历史时段可以为过去一个月、过去一周等。例如，历史时段为过去一个月，则预设访问时间节点可以为一天。

由于历史访问指示也具有稀疏性，因此可以采用挖掘历史中的频繁模式，即先提取出历史访问指示每个操作节点出现次数最多的访问指示点组成一条目标历史访问指示。例如，当前有访问指示P1、P2、P（m-1）等三天的历史访问指示。其中，访问指示P（m-1）表示历史时段内除访问指示P1、P2外任意一天的访问指示，m为大于2的整数。访问指示P1包含已知指示参量T5、T9、T13；访问指示P2包含已知指示参量T3、T7、T11；访问指示P（m-1）包含已知指示参量T1、T5、T9、T13、T16。首先，对用户每天的访问指示按时间对齐，然后抽取出每个操作节点访问频率最高的本地终端地址得到目标历史访问指示。由于P1、P2、P（m-1）等历史访问指示来自不同天，空间关联被减弱，因此再通过自注意力机制对历史访问指示进行特征关联处理，以从众多信息中选择出对历史访问指示的知识图谱树更关键的信息。

在本实施例中，通过自注意力机制对目标历史访问指示进行特征关联处理得到历史特征访问指示时，具体可以构建目标历史访问指示中每一指示参量的知识图谱树，然后根据每一指示参量的知识图谱树确定目标历史访问指示中两两指示参量之间的关联值，并基于两两指示参量之间的关联值，确定目标历史访问指示中每一指示参量关于其他指示参量的第四预设权重的第四预设权重，其中，第四预设权重用于反映目标历史访问指示中每一指示参量对其访问指示内其他指示参量的可信度，最后，根据第四预设权重对目标历史访问指示中的指示参量的知识图谱树进行调整，得到历史特征访问指示。

其中，在构建目标历史访问指示中指示参量的知识图谱树时，具体可以分别构建每个指示参量的时间表征向量和访问目的地址表征向量，然后通过每一指示参量的时间表征向量和访问目的地址表征向量相加进行处理得到每一指示参量的知识图谱树。

具体实施时首先可对历史访问指示构建其中指示参量访问指向嵌入向量、及指示参量在访问指示中所在位置的嵌入向量，然后输入至多头注意力自学习模块中学习其访问指示中指示参量之间的关系，将输出向量进行多头向量聚合和标准化进行多头向量聚合和标准化。接着，通过前馈神经网络将输出结果传递到下一阶段，并输出得到历史访问指示自学习后的增强向量（即历史特征访问指示）。

在一实施方式中，在基于历史时间段内的访问操作确定历史特征访问指示时，具体可以包括：

（1）采集历史时间段内的访问操作。

（2）按照预设访问时间节点和访问操作，构建多条历史访问指示。

（3）通过注意力机制将多条历史访问指示进行处理，得到历史特征访问指示。

具体的，可以直接利用注意力机制对按预设访问时间节点划分得到的多条历史访问指示进行内部处理，以获得历史访问指示中需要重点关注的特征，而后对这一特征投入更多注意力资源，以获取更多所需要关注目标的细节信息而抑制其他无用信息，以从众多信息中选择出对历史访问指示的知识图谱树更关键的信息。

子步骤205-3，根据第一关联关系将历史特征访问指示和访问指示进行处理，得到目标指示参量。

实际应用中，由于观测的稀疏性，基于已知指示参量而得到的访问指示的可信度较低，因此可以再通过注意力机制处理，对访问指示和历史特征访问指示进行指示间的处理，显式地利用历史访问指示的特征提取满足当前时间周期下空间约束的信息。也即，在根据第一关联关系将历史特征访问指示和访问指示进行处理时，可以从历史特征访问指示中提取满足访问指示空间约束的待定指示参量，得到第一待定指示参量集合，然后根据第一关联关系和第一待定指示参量集合对访问指示进行处理，从而得到目标指示参量。

进一步的，在根据第一关联关系和第一待定指示参量集合对访问指示进行处理时，具体可以基于第一关联关系从第一待定指示参量集合中确定第一目标指示参量，并根据第一目标指示参量对访问指示的指示参量信息进行调整，以得到目标指示参量。在一实施方式中，在根据第一目标指示参量对访问指示的指示参量信息进行调整时，具体可以包括以下流程：

（1）基于第一关联值，确定访问指示中每一指示参量关于历史特征访问指示中每一指示参量的第一预设权重，其中，第一预设权重用于反映访问指示中每一指示参量对历史特征访问指示中每一指示参量的可信度。

（2）按照第一预设权重由高到低的顺序从第一待定指示参量集合中确定相应的待定指示参量，作为第一目标指示参量。

（3）根据第一目标指示参量在历史特征访问指示中的生成时间、及第一目标点对应的指示标记，在访问指示中的相应位置生成对应指示参量。

其中，指示标记可以为本地终端设备20的地址，如网络协议地址信息；生成时间则可以表征该第一目标指示参量在历史特征访问指示中的时序信息。

具体的，基于访问指示中每一指示参量关于历史特征访问指示中每一指示参量的预设权重的大小，从第一待定指示参量集合中确定出待检测访问指示重点关注的指示参量，并基于所筛选出指示参量在历史特征访问指示中的特征（即时间信息和空间网络地址参数），在访问指示中确定出的相应位置以构建新的指示参量。

可将访问指示和历史特征访问指示同时输入到多头向量解码编码注意力学习模块中学习访问指示之间各指示参量的关系，将输出向量进行多头向量聚合和标准化。接着，通过前馈神经网络将输出结果传递到下一阶段，并输出得到融合历史访问指示内容后的访问指示（即目标指示参量）。

子步骤205-4，确定目标指示参量的指示内容与访问指示的指示内容之间的第二关联关系，包括：分别构建访问指示和目标指示参量中每一指示参量的知识图谱树，得到多个第三元素和多个第四元素，确定每一第三元素与每一第四元素之间的第二关联值，得到第二关联关系。

在本实施例中，访问指示的指示内容包括：访问指示中每一已知指示参量的指示标记、及在访问指示中的生成时间；目标指示参量的指示内容包括：目标指示参量中每一指示参量的指示标记、及在目标指示参量中的生成时间。其中，指示标记可以为本地终端设备20的地址，如网络协议地址信息。生成时间则可以表征指示参量在访问指示中的时序信息。

在确定目标指示参量的指示内容与访问指示的指示内容之间的第二关联关系时，具体可以分别构建访问指示和目标指示参量中每一指示参量的知识图谱树，得到多个第三元素和多个第四元素，然后确定每一第三元素与每一第四元素之间的第二关联值，并基于该第二关联值确定目标指示参量的指示内容与访问指示的指示内容之间第二关联关系。

子步骤205-5，基于第二关联值，确定访问指示中每一指示参量关于目标指示参量中每一指示参量的第二预设权重，其中，第二预设权重用于反映访问指示中每一指示参量对目标指示参量中每一指示参量的可信度；

子步骤205-6，根据第二预设权重和目标指示参量中指示参量的生成时间，从目标指示参量中确定待定指示参量，得到第二待定指示参量集合，其中，访问指示的指示内容包括：访问指示中每一已知指示参量的指示标记、及在访问指示中的生成时间；目标指示参量的指示内容包括：目标指示参量中每一指示参量的指示标记、及在目标指示参量中的生成时间；

子步骤205-7，基于访问指示中的已知指示参量和操作时序，从第二待定指示参量集合中确定第二目标指示参量；

子步骤205-8，基于操作时序和第二目标指示参量对应的指示标记，在访问指示中的相应位置生成对应指示参量，以对访问指示进行指示参量检验，得到访问指示结果。

该检验是对缺失指示参量进行补全，可通过将编码模块输出的目标指示参量与原始访问指示进行互注意力机制处理，以输出访问指示结果。在一些实施例中，在根据第二关联关系和访问指示中指示参量的操作时序，对访问指示进行指示参量检验，得到访问指示结果时，具体可以包括：

（1）根据第二关联关系和目标指示参量中指示参量的生成时间，从目标指示参量中确定待定指示参量，得到第二待定指示参量集合。

（2）根据该操作时序和第二待定指示参量集合，对访问指示进行指示参量检验，得到访问指示结果。

具体的，在根据第二关联关系和目标指示参量中指示参量的生成时间，从目标指示参量中确定待定指示参量，得到第二待定指示参量集合时，可基于第二关联值确定访问指示中每一指示参量关于目标指示参量中每一指示参量的第二预设权重，其中，第二预设权重用于反映访问指示中每一指示参量对目标指示参量中每一指示参量的可信度。然后，根据第二预设权重和目标指示参量中指示参量的生成时间，从目标指示参量中确定待定指示参量，得到第二待定指示参量集合。

在根据操作时序和第二待定指示参量集合，对访问指示进行指示参量检验时，可基于访问指示中的已知指示参量和操作时序，从第二待定指示参量集合中确定第二目标指示参量，然后基于操作时序和第二目标指示参量对应的指示标记，在访问指示中的相应位置生成对应指示参量，以对访问指示进行指示参量检验。

可将访问指示和目标指示参量同时输入到多头向量解码编码注意力学习模块中学习访问指示之间各指示参量的关系，并将输出向量进行多头向量聚合和标准化。接着，通过前馈神经网络将输出结果传递到下一阶段进行向量聚合和标准化，并通过归一化函数（如softmax激活函数）对输出向量进行归一化处理，选取归一化后分量对应的指示参量作为输出，得到增强后的访问指示（即访问指示结果）。

本方案中以访问指示点的操作时序作为输入注意力机制中的其中一个输入，将融合过历史信息的访问指示作为注意力机制中的另一输入，将访问指示结果中指示参量的操作时序与缺失的指示参量进行注意力机制处理，得到对缺失指示参数的补全值。其中，补全值是一个特征分量，代表缺失指示参量在整个指示参量集合中的索引，根据该索引可以查找唯一的一个实际的本地终端设备20的地址点即该指示参量的本地终端设备20的地址。

具体计算时，缺失指示参数可用一个特殊字符“unknown”来表示，它的特征可以理解为是一个全为0的向量。

例如，用户的访问指示共有四天，前三天的历史访问指示很稠密、第四天的访问指示很稀疏，想通过对前三天历史访问指示的学习，以推测他第四天访问指示中没有进行访问的本地终端设备20。那么，可以第四天的访问指示作为目标，按照每10分钟取一个点，将该访问指示改成了一个句子，例如早上9:00进行访问，大约10:00完成访问，按照10分钟取样则该访问指示就是一个6个词的句子。但是由于访问指示相对稀疏，其中部分词可能没有，这些没有的词就需要从历史访问指示中进行学习。而另外一方面，前三天的历史访问指示不一定是早上9:00到10：00这个时间，因此，可以把历史数据按照它当天时间每10分钟取样一次，然后按照它在句子中的排列次序，并以第四天的指示参量操作时序作为输入，以补全第四天的访问指示。

本发明实施例提供的方法，通过获取当前的访问指示，并根据访问指示的指示内容与历史特征访问指示的指示内容之间的第一关联关系，将历史特征访问指示和访问指示进行处理，得到目标指示参量；根据目标指示参量的指示内容与访问指示的指示内容之间的第二关联关系、及访问指示中指示参量的操作时序，对访问指示进行指示参量检验，以得到访问指示结果。本方案中，通过对用户访问指示的学习，实现对相类似的访问指示进行访问指示的缺失值补全，从而提高访问指示中指示参量信息的稠密性；另外，结合访问指示中指示参量特征之间的关联性，并利用此关联性提升对有用信息的关注、降低对无用信息的关注，提升了访问指示补全信息的准确性，以便最终能够根据访问结果执行对应的操作，提高了本地终端设备20之间交互的安全性。

本发明实施例一种基于无线网络设备多网口的智能防火墙配置装置110，应用于本地无线网络设备10，本地无线网络设备10包括多个桥接口，本地无线网络设备10与本地终端设备20和上级路由器30均通过桥接口通信连接，请结合参考图3，装置包括：

响应模块1101，用于响应于上级路由器30发出的外网配置协议数据包，根据第一预设规则在本地无线网络设备10配置的Forward链上拦截外网配置协议数据包，上级路由器30通过外网配置协议数据包为本地终端设备20配置外网IP地址；响应于本地终端设备20发出的内网配置协议数据包，根据第二预设规则在本地无线网络设备10配置的Prerouting链上拦截内网配置协议数据包，上级路由器30通过内网配置协议数据包获取本地终端设备20的内网IP地址。

获取模块1102，用于获取本地终端设备20的访问指示，访问指示包括访问目的地址。

执行模块1103，用于当访问目的地址与本地终端设备20预先配置的地址不匹配时，对访问目的地址进行网络地址转换；当访问目的地址与本地终端设备20预先配置的地址匹配时，根据访问指示执行对应操作。

进一步地，执行模块1103具体用于：

获取当前的访问指示；确定访问指示的指示内容与历史特征访问指示的指示内容之间的第一关联关系，包括：分别构建访问指示和历史特征访问指示中每一指示参量的知识图谱树，得到多个第一元素和多个第二元素，确定每一第一元素与每一第二元素之间的第一关联值，得到第一关联关系，其中，历史特征访问指示基于历史时间段内的访问操作确定；根据第一关联关系将历史特征访问指示和访问指示进行处理，得到目标指示参量；确定目标指示参量的指示内容与访问指示的指示内容之间的第二关联关系，包括：分别构建访问指示和目标指示参量中每一指示参量的知识图谱树，得到多个第三元素和多个第四元素，确定每一第三元素与每一第四元素之间的第二关联值，得到第二关联关系；基于第二关联值，确定访问指示中每一指示参量关于目标指示参量中每一指示参量的第二预设权重，其中，第二预设权重用于反映访问指示中每一指示参量对目标指示参量中每一指示参量的可信度；根据第二预设权重和目标指示参量中指示参量的生成时间，从目标指示参量中确定待定指示参量，得到第二待定指示参量集合，其中，访问指示的指示内容包括：访问指示中每一已知指示参量的指示标记、及在访问指示中的生成时间；目标指示参量的指示内容包括：目标指示参量中每一指示参量的指示标记、及在目标指示参量中的生成时间；基于访问指示中的已知指示参量和操作时序，从第二待定指示参量集合中确定第二目标指示参量；基于操作时序和第二目标指示参量对应的指示标记，在访问指示中的相应位置生成对应指示参量，以对访问指示进行指示参量检验，得到访问指示结果。

进一步地，访问指示的指示内容包括：访问指示中每一已知指示参量的指示标记、及在访问指示中的生成时间；历史特征访问指示的指示内容包括：历史特征访问指示中每一指示参量的指示标记、及在历史特征访问指示中的生成时间，执行模块1103更进一步具体用于：

从历史特征访问指示中提取满足访问指示空间约束的待定指示参量，得到第一待定指示参量集合；基于第一关联值，确定访问指示中每一指示参量关于历史特征访问指示中每一指示参量的第一预设权重，其中，第一预设权重用于反映访问指示中每一指示参量对历史特征访问指示中每一指示参量的可信度；按照第一预设权重由高到低的顺序从第一待定指示参量集合中确定相应的待定指示参量，作为第一目标指示参量；根据第一目标指示参量在历史特征访问指示中的生成时间、及第一目标点对应的指示标记，在访问指示中的相应位置生成对应指示参量，得到目标指示参量。

进一步地，执行模块1103更进一步具体用于：

获取当前的已知指示参量；至少基于当前的已知指示参量确定初始访问指示；通过自注意力机制对初始访问指示进行特征关联处理，得到访问指示。

进一步地，执行模块1103更进一步具体用于：

构建初始访问指示中已知指示参量的知识图谱树；根据已知指示参量的知识图谱树，确定初始访问指示中已知指示参量两两之间的关联值；基于已知指示参量两两之间的关联值，确定初始访问指示内每一已知指示参量关于其他已知指示参量的第三预设权重，其中，第三预设权重用于反映初始访问指示中每一指示参量对其指示内其他已知指示参量的可信度；根据第三预设权重对初始访问指示中的已知指示参量的知识图谱树进行调整，得到访问指示。

进一步地，执行模块1103更进一步具体用于：

采集历史时间段内的访问操作；按照预设访问时间节点和访问操作，构建多条历史访问指示；将多条历史访问指示按时间对齐，从对齐后的多条历史访问指示中确定出同一操作节点下出现频率最高的指示参量，并根据同一操作节点下出现频率最高的指示参量构建得到目标历史访问指示；通过自注意力机制对目标历史访问指示进行特征关联处理，得到历史特征访问指示。

进一步地，执行模块1103更进一步具体用于：

构建目标历史访问指示中每一指示参量的知识图谱树；根据每一指示参量的知识图谱树，确定目标历史访问指示中两两指示参量之间的关联值；基于两两指示参量之间的关联值，确定目标历史访问指示中每一指示参量关于其他指示参量的第四预设权重，其中，第四预设权重用于反映目标历史访问指示中每一指示参量对其指示内其他指示参量的可信度；根据第四预设权重对目标历史访问指示中的指示参量的知识图谱树进行调整，得到历史特征访问指示。

进一步地，执行模块1103更进一步具体用于：

采集历史时间段内的访问操作；按照预设访问时间节点和访问操作，构建多条历史访问指示；通过注意力机制将多条历史访问指示进行处理，得到历史特征访问指示。

需要说明的是，前述基于无线网络设备多网口的智能防火墙配置装置110的实现原理可以参考前述基于无线网络设备多网口的智能防火墙配置方法的实现原理，在此不再赘述。应理解以上装置的各个模块的划分仅仅是一种逻辑功能的划分，实际实现时可以全部或部分集成到一个物理实体上，也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现；也可以全部以硬件的形式实现；还可以部分模块通过处理元件调用软件的形式实现，部分模块通过硬件的形式实现。例如，基于无线网络设备多网口的智能防火墙配置装置110可以为单独设立的处理元件，也可以集成在上述装置的某一个芯片中实现，此外，也可以以程序代码的形式存储于上述装置的存储器中，由上述装置的某一个处理元件调用并执行以上获取模块1102的功能。其它模块的实现与之类似。此外这些模块全部或部分可以集成在一起，也可以独立实现。这里所描述的处理元件可以是一种集成电路，具有信号的处理能力。在实现过程中，上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。

例如，以上这些模块可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(application specific integrated circuit，ASIC)，或，一个或多个微处理器(digital signal processor，DSP)，或，一个或者多个现场可编程门阵列(field programmable gate array，FPGA)等。再如，当以上某个模块通过处理元件调度程序代码的形式实现时，该处理元件可以是通用处理器，例如中央处理器(centralprocessing unit，CPU)或其它可以调用程序代码的处理器。再如，这些模块可以集成在一起，以片上系统(system-on-a-chip，SOC)的形式实现。

本发明实施例提供一种计算机设备100，计算机设备100包括处理器及存储有计算机指令的非易失性存储器，计算机指令被处理器执行时，计算机设备100执行前述的基于无线网络设备多网口的智能防火墙配置装置110。如图4所示，图4为本发明实施例提供的计算机设备100的结构框图。计算机设备100包括基于无线网络设备多网口的智能防火墙配置装置110、存储器111、处理器112及通信单元113。

为实现数据的传输或交互，存储器111、处理器112以及通信单元113各元件相互之间直接或间接地电性连接。例如，可通过一条或多条通讯总线或信号线实现这些元件相互之间电性连接。基于无线网络设备多网口的智能防火墙配置装置110包括至少一个可以软件或固件（firmware）的形式存储于存储器111中或固化在计算机设备100的操作系统（operating system，OS）中的软件功能模块。处理器112用于执行存储器111中存储的基于无线网络设备多网口的智能防火墙配置装置110，例如基于无线网络设备多网口的智能防火墙配置装置110所包括的软件功能模块及计算机程序等。

本发明实施例提供一种可读存储介质，可读存储介质包括计算机程序，计算机程序运行时控制可读存储介质所在计算机设备100执行前述的基于无线网络设备多网口的智能防火墙配置方法。

综上所述，采用本发明实施例提供的一种基于无线网络设备多网口的智能防火墙配置方法及装置，通过响应于上级路由器发出的外网配置协议数据包，根据第一预设规则在本地无线网络设备配置的Forward链上拦截外网配置协议数据包，上级路由器通过外网配置协议数据包为本地终端设备配置外网IP地址；再响应于本地终端设备发出的内网配置协议数据包，根据第二预设规则在本地无线网络设备配置的Prerouting链上拦截内网配置协议数据包，上级路由器通过内网配置协议数据包获取本地终端设备的内网IP地址；然后获取本地终端设备的访问指示，访问指示包括访问目的地址；接着当访问目的地址与本地终端设备预先配置的地址不匹配时，对访问目的地址进行网络地址转换；然后当访问目的地址与本地终端设备预先配置的地址匹配时，根据访问指示执行对应操作，通过上述步骤，巧妙地对防火墙相关链上的数据包进行拦截，实现了适用范围更广的基于无线网络设备多网口的智能防火墙配置方案。

出于说明目的，前面的描述是参考具体实施例而进行的。但是，上述说明性论述并不打算穷举或将本公开局限于所公开的精确形式。根据上述教导，众多修改和变化都是可行的。选择并描述这些实施例是为了最佳地说明本公开的原理及其实际应用，从而使本领域技术人员最佳地利用本公开，并利用具有不同修改的各种实施例以适于预期的特定应用。