防火墻設(shè)備中檢測(cè)引擎的升級(jí)方法及裝置制造方法

防火墻設(shè)備中檢測(cè)引擎的升級(jí)方法及裝置制造方法
【專利摘要】本發(fā)明實(shí)施例提供一種防火墻設(shè)備中檢測(cè)引擎的升級(jí)方法及裝置。本發(fā)明防火墻設(shè)備中檢測(cè)引擎的升級(jí)方法，包括：根據(jù)檢測(cè)引擎的軟件升級(jí)數(shù)據(jù)包生成一個(gè)新版本的第一功能組件，并在檢測(cè)引擎中運(yùn)行新版本的第一功能組件，用以使用新版本的第一功能組件對(duì)第一會(huì)話進(jìn)行檢測(cè)；若存在至少一個(gè)第二會(huì)話，則使用舊版本的第一功能組件對(duì)第二會(huì)話的后續(xù)報(bào)文進(jìn)行檢測(cè)，直到所有第二會(huì)話老化為止；在所有第二會(huì)話老化后，銷毀舊版本的第一功能組件。本發(fā)明實(shí)施例只是對(duì)需要升級(jí)的功能組件進(jìn)行升級(jí)，并在會(huì)話老化后對(duì)該會(huì)話進(jìn)行檢測(cè)的功能組件進(jìn)行銷毀，資源占用較小，升級(jí)效率高，且已有的業(yè)務(wù)流量的安全檢測(cè)不受影響。
【專利說(shuō)明】防火墻設(shè)備中檢測(cè)引擎的升級(jí)方法及裝置

【技術(shù)領(lǐng)域】
[0001] 本發(fā)明實(shí)施例涉及網(wǎng)絡(luò)技術(shù)，尤其涉及一種防火墻設(shè)備中檢測(cè)引擎的升級(jí)方法及 裝直。

【背景技術(shù)】
[0002] 網(wǎng)關(guān)設(shè)備的一個(gè)基本要求是設(shè)備工作的可靠性，例如用戶流量不因軟件版本的升 級(jí)而中斷，用戶的業(yè)務(wù)不受影響。對(duì)下一代防火墻（NextGenerationFirewall,簡(jiǎn)稱NGFW) 這種網(wǎng)關(guān)設(shè)備來(lái)說(shuō)，需要有更高的要求，NGFW不僅有傳統(tǒng)防火墻的基本轉(zhuǎn)發(fā)控制功能，還 有基于應(yīng)用、用戶等策略控制，并且根據(jù)特定的策略對(duì)流經(jīng)該設(shè)備的應(yīng)用層流量做安全檢 測(cè)，這些安全檢測(cè)包括入侵防御系統(tǒng)（IntrusionPreventionSystem,簡(jiǎn)稱IPS)、反病毒 (Anti-Virus,簡(jiǎn)稱AV)、統(tǒng)一資源定位符（UniformResourceLocator,簡(jiǎn)稱URL)過(guò)濾、數(shù) 據(jù)泄漏防護(hù)（DataLeakPrevention,簡(jiǎn)稱DLP)等。
[0003] 由于網(wǎng)絡(luò)上應(yīng)用層流量的內(nèi)容變化很快，針對(duì)應(yīng)用層業(yè)務(wù)的攻擊威脅同樣變化很 快。為了能夠?qū)@些變化的威脅進(jìn)行及時(shí)檢測(cè)，就需要保證NGFW設(shè)備上用以檢測(cè)上述威脅 的組件，比如威脅特征庫(kù)或者檢測(cè)引擎，能夠及時(shí)進(jìn)行升級(jí)?，F(xiàn)有技術(shù)中的升級(jí)方式，一種 是新的檢測(cè)引擎替換舊的檢測(cè)引擎，升級(jí)成功后舊的檢測(cè)引擎將不可用；另一種是新的檢 測(cè)引擎成功加載后，在運(yùn)行新的檢測(cè)引擎時(shí)仍然繼續(xù)使用舊的檢測(cè)引擎，也就是在相當(dāng)長(zhǎng) 的一段時(shí)間內(nèi)，NGFW設(shè)備中同時(shí)運(yùn)行多種檢測(cè)引擎。
[0004] 上述第一種方式，由于升級(jí)完成后舊的檢測(cè)引擎不可用，那么為了保證流經(jīng)NGFW 設(shè)備的流量不受影響，就需要對(duì)升級(jí)之前已經(jīng)建立的會(huì)話的后續(xù)報(bào)文流量做通過(guò)（bypass) 處理，實(shí)際上對(duì)這部分流量的應(yīng)用層檢測(cè)已經(jīng)失效，此時(shí)如果發(fā)生攻擊，則NGFW設(shè)備無(wú)法 檢測(cè)出來(lái)會(huì)造成漏檢；第二種方式，同時(shí)運(yùn)行多份檢測(cè)引擎，對(duì)NGFW設(shè)備的處理資源的消 耗很大，影響效率。


【發(fā)明內(nèi)容】

[0005] 本發(fā)明實(shí)施例提供一種檢測(cè)引擎升級(jí)處理方法及裝置，用以減少現(xiàn)有技術(shù)中由于 檢測(cè)引擎升級(jí)導(dǎo)致的漏檢問(wèn)題。
[0006] 第一方面，本發(fā)明實(shí)施例提供一種防火墻設(shè)備中檢測(cè)引擎的升級(jí)處理方法，包括： 根據(jù)檢測(cè)引擎的軟件升級(jí)數(shù)據(jù)包生成一個(gè)新版本的第一功能組件，并在所述檢測(cè)引擎中運(yùn) 行所述新版本的第一功能組件，用以使用所述新版本的第一功能組件對(duì)第一會(huì)話進(jìn)行檢 測(cè)，所述第一會(huì)話是指運(yùn)行所述新版本的第一功能組件后與所述防火墻設(shè)備新建立的會(huì) 話；
[0007] 若存在至少一個(gè)第二會(huì)話，則使用舊版本的第一功能組件對(duì)所述第二會(huì)話的后續(xù) 報(bào)文進(jìn)行檢測(cè)，直到所有所述第二會(huì)話老化為止，所述第二會(huì)話是指運(yùn)行所述新版本的第 一功能組件時(shí)已與所述防火墻設(shè)備建立的會(huì)話；
[0008] 在所有所述第二會(huì)話老化后，銷毀所述舊版本的第一功能組件。
[0009] 結(jié)合第一方面，在第一方面的第一種實(shí)現(xiàn)方式中，所述在所述檢測(cè)引擎中運(yùn)行所 述新版本的第一功能組件之后，還包括：
[0010] 接收?qǐng)?bào)文，根據(jù)所述報(bào)文的報(bào)文頭確定所述報(bào)文屬于所述第一會(huì)話的報(bào)文，或者 屬于所述第二會(huì)話的報(bào)文；
[0011] 若屬于所述第一會(huì)話的報(bào)文，則應(yīng)用所述新版本的第一功能組件進(jìn)行檢測(cè)；若屬 于所述第二會(huì)話的報(bào)文，則應(yīng)用所述舊版本的第一功能組件進(jìn)行檢測(cè)。
[0012] 結(jié)合第一方面的第一種實(shí)現(xiàn)方式，在第一方面的第二種實(shí)現(xiàn)方式中，所述若存在 至少一個(gè)第二會(huì)話，則使用舊版本的第一功能組件對(duì)所述第二會(huì)話的后續(xù)報(bào)文進(jìn)行檢測(cè)， 直到所有所述第二會(huì)話老化為止之前，還包括：
[0013] 建立并存儲(chǔ)舊版本的第一功能組件、所述第二會(huì)話以及所述第二會(huì)話的會(huì)話狀態(tài) 三者的對(duì)應(yīng)關(guān)系，以供對(duì)所有所述第二會(huì)話是否老化進(jìn)行判斷。
[0014] 結(jié)合第一方面的第二種實(shí)現(xiàn)方式，在第一方面的第三種實(shí)現(xiàn)方式中，所述接收?qǐng)?bào) 文之后，還包括：
[0015] 當(dāng)所述報(bào)文的標(biāo)志位為結(jié)束連線FIN或連線復(fù)位RST時(shí)，如果所述報(bào)文所屬會(huì)話 為所述第二會(huì)話，則在所述對(duì)應(yīng)關(guān)系中將所述報(bào)文所屬會(huì)話的會(huì)話狀態(tài)設(shè)置為老化狀態(tài)。
[0016] 結(jié)合第一方面、或上述第一方面的任意一種實(shí)現(xiàn)方式，在第一方面的第四種實(shí)現(xiàn) 方式中，還包括：
[0017] 若所述軟件升級(jí)數(shù)據(jù)包中還包括至少一個(gè)第二功能組件的升級(jí)數(shù)據(jù)包，則生成新 版本的第二功能組件，并在所述檢測(cè)引擎中運(yùn)行所述新版本的第二功能組件。
[0018] 第二方面，本發(fā)明實(shí)施例提供一種防火墻設(shè)備中檢測(cè)引擎的升級(jí)裝置，包括：
[0019] 安裝模塊，用于根據(jù)所述檢測(cè)引擎的軟件升級(jí)數(shù)據(jù)包生成一個(gè)新版本的第一功能 組件，并在所述檢測(cè)引擎中運(yùn)行所述新版本的第一功能組件；
[0020] 檢測(cè)模塊，用于使用所述安裝模塊生成并運(yùn)行的所述新版本的第一功能組件對(duì)第 一會(huì)話進(jìn)行檢測(cè)，所述第一會(huì)話是指運(yùn)行所述新版本的第一功能組件后與所述防火墻設(shè)備 新建立的會(huì)話；
[0021] 所述檢測(cè)模塊，還用于若存在至少一個(gè)第二會(huì)話，則使用舊版本的第一功能組件 對(duì)所述第二會(huì)話的后續(xù)報(bào)文進(jìn)行檢測(cè)，直到所有所述第二會(huì)話老化為止，所述第二會(huì)話是 指運(yùn)行所述新版本的第一功能組件時(shí)已與所述防火墻設(shè)備建立的會(huì)話；
[0022] 所述銷毀模塊，用于根據(jù)所述檢測(cè)模塊的觸發(fā)，在所有所述第二會(huì)話老化后，銷毀 所述舊版本的第一功能組件。
[0023] 結(jié)合第二方面，在第二方面的第一種實(shí)現(xiàn)方式中，所述裝置還包括：
[0024] 接收模塊，用于接收?qǐng)?bào)文，根據(jù)所述報(bào)文的報(bào)文頭確定所述報(bào)文屬于所述第一會(huì) 話的報(bào)文，或者屬于所述第二會(huì)話的報(bào)文；
[0025] 所述檢測(cè)模塊，還用于若屬于所述第一會(huì)話的報(bào)文，則應(yīng)用所述新版本的第一功 能組件進(jìn)行檢測(cè)；若屬于所述第二會(huì)話的報(bào)文，則應(yīng)用所述舊版本的第一功能組件進(jìn)行檢 測(cè)。
[0026] 結(jié)合第二方面的第一種實(shí)現(xiàn)方式，在第二方面的第二種實(shí)現(xiàn)方式中，所述裝置還 包括：
[0027] 存儲(chǔ)模塊，用于建立并存儲(chǔ)舊版本的第一功能組件、所述第二會(huì)話以及所述第二 會(huì)話的會(huì)話狀態(tài)三者的對(duì)應(yīng)關(guān)系，以供所述檢測(cè)模塊對(duì)所有所述第二會(huì)話是否老化進(jìn)行判 斷。
[0028] 結(jié)合第二方面的第二種實(shí)現(xiàn)方式，在第二方面的第三種實(shí)現(xiàn)方式中，所述存儲(chǔ)模 塊還用于：
[0029] 當(dāng)所述接收模塊接收的所述報(bào)文的標(biāo)志位為FIN或RST時(shí)，如果所述報(bào)文所屬會(huì) 話為所述第二會(huì)話，則在所述對(duì)應(yīng)關(guān)系中將所述報(bào)文所屬會(huì)話的會(huì)話狀態(tài)設(shè)置為老化狀 態(tài)。
[0030] 結(jié)合第二方面、或上述第二方面的任意一種實(shí)現(xiàn)方式，在第二方面的第四種實(shí)現(xiàn) 方式中，所述安裝模塊還用于：
[0031] 若所述軟件升級(jí)數(shù)據(jù)包中還包括至少一個(gè)第二功能組件的升級(jí)數(shù)據(jù)包，則生成新 版本的第二功能組件，并在所述檢測(cè)引擎中運(yùn)行所述新版本的第二功能組件。
[0032] 本發(fā)明實(shí)施例防火墻設(shè)備中檢測(cè)引擎的升級(jí)方法及裝置，通過(guò)根據(jù)檢測(cè)引擎的軟 件升級(jí)數(shù)據(jù)包生成一個(gè)新版本的第一功能組件，并在所述檢測(cè)引擎中運(yùn)行所述新版本的第 一功能組件，用以使用所述新版本的第一功能組件對(duì)第一會(huì)話進(jìn)行檢測(cè)，所述第一會(huì)話是 指運(yùn)行所述新版本的第一功能組件后與所述防火墻設(shè)備新建立的會(huì)話；若存在至少一個(gè)第 二會(huì)話，則使用舊版本的第一功能組件對(duì)所述第二會(huì)話的后續(xù)報(bào)文進(jìn)行檢測(cè)，直到所有所 述第二會(huì)話老化為止，所述第二會(huì)話是指運(yùn)行所述新版本的第一功能組件時(shí)已與所述防火 墻設(shè)備建立的會(huì)話；在所有所述第二會(huì)話老化后，銷毀所述舊版本的第一功能組件，由于只 是對(duì)需要升級(jí)的相應(yīng)功能組件進(jìn)行升級(jí)而不是對(duì)整個(gè)檢測(cè)引擎進(jìn)行升級(jí)，且在所有的第二 會(huì)話老化之后將對(duì)所述第二會(huì)話進(jìn)行檢測(cè)的舊版本的功能組件銷毀，與現(xiàn)有技術(shù)更新整個(gè) 檢測(cè)引擎的方案相比，資源占用較小，升級(jí)效率高，實(shí)現(xiàn)了在下一代防火墻上檢測(cè)引擎的各 個(gè)功能組件的平滑升級(jí)且已有的業(yè)務(wù)流量的安全檢測(cè)不受影響。

【專利附圖】

【附圖說(shuō)明】
[0033] 為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作一簡(jiǎn)單地介紹，顯而易見(jiàn)地，下面描述中的附圖是本發(fā) 明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)性的前提下，還可以 根據(jù)這些附圖獲得其他的附圖。
[0034]圖1為本發(fā)明防火墻設(shè)備中檢測(cè)引擎的升級(jí)方法實(shí)施例一的流程圖；
[0035] 圖2為本發(fā)明防火墻設(shè)備中檢測(cè)引擎的升級(jí)方法實(shí)施例一的應(yīng)用場(chǎng)景示意圖；
[0036] 圖3為本發(fā)明防火墻設(shè)備中檢測(cè)引擎的升級(jí)方法實(shí)施例一的功能組件升級(jí)狀態(tài) 示意圖一；
[0037] 圖4為本發(fā)明防火墻設(shè)備中檢測(cè)引擎的升級(jí)方法實(shí)施例一的功能組件升級(jí)狀態(tài) 示意圖二；
[0038] 圖5為本發(fā)明防火墻設(shè)備中檢測(cè)引擎的升級(jí)方法實(shí)施例一的功能組件升級(jí)狀態(tài) 不意圖二；
[0039] 圖6為本發(fā)明防火墻設(shè)備中檢測(cè)引擎的升級(jí)裝置實(shí)施例一的結(jié)構(gòu)示意圖；
[0040] 圖7為本發(fā)明防火墻設(shè)備中檢測(cè)引擎的升級(jí)裝置實(shí)施例二的結(jié)構(gòu)示意圖；
[0041] 圖8為本發(fā)明檢測(cè)引擎升級(jí)設(shè)備實(shí)施例一的結(jié)構(gòu)示意圖。

【具體實(shí)施方式】
[0042] 為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合本發(fā)明實(shí)施例 中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例是 本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員 在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。
[0043] 圖1為本發(fā)明防火墻設(shè)備中檢測(cè)引擎的升級(jí)方法實(shí)施例一的流程圖，圖2為本發(fā) 明防火墻設(shè)備中檢測(cè)引擎的升級(jí)方法實(shí)施例一的應(yīng)用場(chǎng)景示意圖，圖3為本發(fā)明防火墻設(shè) 備中檢測(cè)引擎的升級(jí)方法實(shí)施例一的功能組件升級(jí)狀態(tài)示意圖一，圖4為本發(fā)明防火墻設(shè) 備中檢測(cè)引擎的升級(jí)方法實(shí)施例一的功能組件升級(jí)狀態(tài)示意圖二，圖5為本發(fā)明防火墻設(shè) 備中檢測(cè)引擎的升級(jí)方法實(shí)施例一的功能組件升級(jí)狀態(tài)示意圖三。本實(shí)施例的執(zhí)行主體為 防火墻設(shè)備中檢測(cè)引擎的升級(jí)裝置，該裝置可以通過(guò)軟件和/或硬件實(shí)現(xiàn)。本實(shí)施例的方 案應(yīng)用在網(wǎng)絡(luò)接入設(shè)備或者網(wǎng)絡(luò)交換設(shè)備中，例如網(wǎng)關(guān)設(shè)備、防火墻、以及NGFW中。
[0044] 如圖1所示，本實(shí)施例的方法可以包括：
[0045] 步驟101、根據(jù)檢測(cè)引擎的軟件升級(jí)數(shù)據(jù)包生成一個(gè)新版本的第一功能組件，并在 檢測(cè)引擎中運(yùn)行新版本的第一功能組件，用以使用新版本的第一功能組件對(duì)第一會(huì)話進(jìn)行 檢測(cè)，第一會(huì)話是指運(yùn)行新版本的第一功能組件后與防火墻設(shè)備新建立的會(huì)話。
[0046] 具體地，如圖2所示，本實(shí)施例的防火墻設(shè)備中檢測(cè)引擎的升級(jí)裝置例如可以設(shè) 置在NGFW中，NGFW主要部署在互聯(lián)網(wǎng)出口、辦公網(wǎng)出口，對(duì)服務(wù)器以及辦公網(wǎng)的用戶主機(jī) 進(jìn)行防護(hù)。NGFW主要以應(yīng)用識(shí)別為基礎(chǔ)，對(duì)于網(wǎng)絡(luò)中的應(yīng)用層流量進(jìn)行安全檢測(cè)，如IPS檢 測(cè)、AV檢測(cè)、URL過(guò)濾等安全防護(hù)功能。其中在網(wǎng)絡(luò)中部署有升級(jí)服務(wù)器，若升級(jí)服務(wù)器或 NGFW中有檢測(cè)引擎中新版本的功能組件如IPS功能組件的軟件升級(jí)數(shù)據(jù)包，且檢測(cè)引擎的 升級(jí)裝置檢測(cè)獲知到檢測(cè)引擎中一功能組件如IPS功能組件或AV功能組件需要進(jìn)行升級(jí)， 則根據(jù)檢測(cè)引擎的軟件升級(jí)數(shù)據(jù)包生成一個(gè)新版本的第一功能組件，并在檢測(cè)引擎中運(yùn)行 新版本的第一功能組件，用以使用新版本的第一功能組件對(duì)第一會(huì)話進(jìn)行檢測(cè)，第一會(huì)話 是指運(yùn)行新版本的第一功能組件后與防火墻設(shè)備新建立的會(huì)話，如果新版本的第一功能組 件如AV功能組件，對(duì)應(yīng)的還有新的特征庫(kù)則同時(shí)加載更新，特征庫(kù)例如包括多種病毒的信 肩、。
[0047] 本實(shí)施例中對(duì)功能組件升級(jí)的檢測(cè)可以定時(shí)觸發(fā)檢測(cè)如升級(jí)服務(wù)器與NGFW通信 實(shí)時(shí)獲取NGFW中檢測(cè)引擎的各功能組件的版本狀態(tài)，與升級(jí)服務(wù)器中的版本狀態(tài)進(jìn)行比 較獲知是否進(jìn)行升級(jí)，也可以手動(dòng)觸發(fā)檢測(cè)如在升級(jí)服務(wù)器與NGFW沒(méi)有通信的情況下，可 以手動(dòng)將軟件升級(jí)數(shù)據(jù)包下載到NGFW中，由NGFW中的升級(jí)組件判斷是否需要升級(jí)。如多 個(gè)功能組件需要同時(shí)升級(jí)，則可以對(duì)每個(gè)功能組件分別同時(shí)升級(jí)也可以按順序升級(jí)，即一 個(gè)功能組件升級(jí)完成后再升級(jí)下一個(gè)功能組件。
[0048] 步驟102、若存在至少一個(gè)第二會(huì)話，則使用舊版本的第一功能組件對(duì)第二會(huì)話的 后續(xù)報(bào)文進(jìn)行檢測(cè)，直到所有第二會(huì)話老化為止，第二會(huì)話是指運(yùn)行新版本的第一功能組 件時(shí)已與防火墻設(shè)備建立的會(huì)話。
[0049] 具體地，如圖3所示，若第二會(huì)話為運(yùn)行新版本的第一功能組件時(shí)已與防火墻設(shè) 備建立的會(huì)話，如會(huì)話1，則使用舊版本的第一功能組件，如IPS功能組件版本1對(duì)第二會(huì)話 的后續(xù)報(bào)文進(jìn)行安全檢測(cè)，第二會(huì)話的后續(xù)報(bào)文是指運(yùn)行所述新版本的第一功能組件后， 接收到的屬于所述第二會(huì)話的報(bào)文，由于AV功能組件沒(méi)有進(jìn)行升級(jí)，會(huì)話1的報(bào)文由IPS 功能組件版本1進(jìn)行安全檢測(cè)之后，發(fā)送到AV功能組件版本1進(jìn)行安全檢測(cè)；若第一會(huì)話 為運(yùn)行新版本的第一功能組件后與防火墻設(shè)備新建立的會(huì)話，如會(huì)話2,則使用新版本的第 一功能組件如IPS功能組件版本2對(duì)第一會(huì)話進(jìn)行安全檢測(cè)，如圖4所示，若在發(fā)送到AV 功能組件之前，AV功能組件進(jìn)行升級(jí)生成新的版本2并且已經(jīng)在檢測(cè)引擎中運(yùn)行，則會(huì)話 2的報(bào)文將使用新版本的功能組件AV功能組件版本2進(jìn)行安全檢測(cè)，如圖3所示，若AV功 能組件沒(méi)有進(jìn)行升級(jí)則繼續(xù)使用AV功能組件版本1進(jìn)行安全檢測(cè)。
[0050] 本實(shí)施例中，如圖3所示，進(jìn)行會(huì)話流分發(fā)后會(huì)進(jìn)行應(yīng)用識(shí)別，即對(duì)收到的報(bào)文進(jìn) 行應(yīng)用識(shí)別查找相應(yīng)的功能組件進(jìn)行安全檢測(cè)。附圖3只是以功能組件為IPS功能組件和 AV功能組件為例進(jìn)行說(shuō)明，實(shí)際應(yīng)用中可以包含更多的功能組件，例如URL過(guò)濾功能組件、 DLP功能組件等。進(jìn)行安全檢測(cè)之后，根據(jù)安全檢測(cè)的結(jié)果進(jìn)行相應(yīng)的動(dòng)作，如阻斷、告警、 日志、放行等。
[0051] 步驟103、在所有第二會(huì)話老化后，銷毀舊版本的第一功能組件。
[0052] 具體地，如圖5所示，在檢測(cè)引擎中運(yùn)行新版本的第一功能組件之前已與防火墻 設(shè)備建立的會(huì)話如會(huì)話1全部老化后，則銷毀會(huì)話1使用的檢測(cè)引擎中舊版本的功能組件 如IPS功能組件版本1，會(huì)話2繼續(xù)使用IPS功能組件版本2及AV功能組件版本1進(jìn)行安 全檢測(cè)，老化是指一個(gè)傳輸控制協(xié)議（TransmissionControlProtocol,簡(jiǎn)稱TCP)連接的 雙方都已經(jīng)發(fā)送結(jié)束連線FIN或者連線復(fù)位RST報(bào)文。若后續(xù)檢測(cè)引擎的升級(jí)裝置檢測(cè)獲 知到檢測(cè)引擎中IPS功能組件需要再次進(jìn)行升級(jí)處理，則根據(jù)獲取的軟件升級(jí)數(shù)據(jù)包在檢 測(cè)引擎中生成一新版本的第一功能組件如IPS功能組件版本3,并運(yùn)行此功能組件，此時(shí)新 建立的會(huì)話3使用新的IPS功能組件版本3及AV功能組件版本2進(jìn)行安全檢測(cè)，當(dāng)會(huì)話2 老化之后(且沒(méi)有其他會(huì)話使用IPS功能組件版本2及AV功能組件版本1進(jìn)行檢測(cè)）則銷 毀會(huì)話2使用的檢測(cè)引擎中IPS功能組件版本2及AV功能組件版本1。
[0053] 本實(shí)施例上述第一功能組件、第二功能組件、第一會(huì)話和第二會(huì)話中的"第一"、 "第二"并不是表示順序關(guān)系，而是為了區(qū)別不同的功能組件和會(huì)話，以下文件中提到的第 一、第二等也是為了區(qū)別不同的組件、版本、會(huì)話等。
[0054] 本實(shí)施例，通過(guò)根據(jù)檢測(cè)引擎的軟件升級(jí)數(shù)據(jù)包生成一個(gè)新版本的第一功能組 件，并在所述檢測(cè)引擎中運(yùn)行所述新版本的第一功能組件，用以使用所述新版本的第一功 能組件對(duì)第一會(huì)話進(jìn)行檢測(cè)，所述第一會(huì)話是指運(yùn)行所述新版本的第一功能組件后與所述 防火墻設(shè)備新建立的會(huì)話；若存在至少一個(gè)第二會(huì)話，則使用舊版本的第一功能組件對(duì)所 述第二會(huì)話的后續(xù)報(bào)文進(jìn)行檢測(cè)，直到所有所述第二會(huì)話老化為止，所述第二會(huì)話是指運(yùn) 行所述新版本的第一功能組件時(shí)已與所述防火墻設(shè)備建立的會(huì)話；在所有所述第二會(huì)話老 化后，銷毀所述舊版本的第一功能組件，由于只是對(duì)需要升級(jí)的相應(yīng)功能組件進(jìn)行升級(jí)而 不是對(duì)整個(gè)檢測(cè)引擎進(jìn)行升級(jí)，且在所有的第二會(huì)話老化之后將對(duì)所述第二會(huì)話進(jìn)行檢測(cè) 的舊版本的功能組件銷毀，資源占用較小，升級(jí)效率高，實(shí)現(xiàn)了在下一代防火墻上檢測(cè)引擎 的各個(gè)功能組件的平滑升級(jí)且已有的業(yè)務(wù)流量的安全檢測(cè)不受影響。
[0055] 在本發(fā)明防火墻設(shè)備中檢測(cè)引擎的升級(jí)方法實(shí)施例二中，在圖1所示方法實(shí)施例 的基礎(chǔ)上，進(jìn)一步地，所述方法還可以包括：
[0056] 接收?qǐng)?bào)文，根據(jù)報(bào)文的報(bào)文頭確定報(bào)文屬于第一會(huì)話的報(bào)文，或者屬于第二會(huì)話 的報(bào)文；
[0057] 若第一會(huì)話的報(bào)文，則應(yīng)用新版本的第一功能組件進(jìn)行檢測(cè)；若屬于第二會(huì)話的 報(bào)文，則應(yīng)用舊版本的第一功能組件進(jìn)行檢測(cè)。
[0058] 具體地，如圖3所示，NGFW接收?qǐng)?bào)文，根據(jù)報(bào)文的報(bào)文頭確定報(bào)文屬于第一會(huì)話如 會(huì)話2的報(bào)文，或者屬于第二會(huì)話如會(huì)話1的報(bào)文；若第一會(huì)話如會(huì)話2的報(bào)文，則應(yīng)用新 版本的第一功能組件如IPS功能組件版本2進(jìn)行檢，若屬于第二會(huì)話如會(huì)話1的報(bào)文，則應(yīng) 用舊版本的第一功能組件如IPS功能組件版本1進(jìn)行檢測(cè)。
[0059] 進(jìn)一步地，所述若存在至少一個(gè)第二會(huì)話，則使用舊版本的第一功能組件對(duì)所述 第二會(huì)話的后續(xù)報(bào)文進(jìn)行檢測(cè)，直到所有所述第二會(huì)話老化為止之前，本實(shí)施例的方法還 包括：
[0060] 建立并存儲(chǔ)舊版本的第一功能組件、第二會(huì)話以及第二會(huì)話的會(huì)話狀態(tài)三者的對(duì) 應(yīng)關(guān)系，以供對(duì)所有所述第二會(huì)話是否老化進(jìn)行判斷；
[0061] 可選地，還可以建立并存儲(chǔ)新版本的第一功能組件、第一會(huì)話以及第一會(huì)話的會(huì) 話狀態(tài)三者的對(duì)應(yīng)關(guān)系，以便于所述第一功能組件再次升級(jí)時(shí)，對(duì)所有所述第一會(huì)話是否 老化進(jìn)行判斷。
[0062] 具體地，如圖3所示，在防火墻設(shè)備中檢測(cè)引擎的升級(jí)裝置中例如可以建立并存 儲(chǔ)：IPS功能組件版本1及AV功能組件版本1、會(huì)話1以及會(huì)話1的會(huì)話狀態(tài)的對(duì)應(yīng)關(guān)系， IPS功能組件版本2及AV功能組件版本1、會(huì)話2以及會(huì)話2的會(huì)話狀態(tài)的對(duì)應(yīng)關(guān)系，如圖 4所示，會(huì)話2與IPS功能組件版本2及AV功能組件版本2的對(duì)應(yīng)關(guān)系，如表1所示，以供 對(duì)所有會(huì)話是否老化進(jìn)行判斷，便于判斷各個(gè)功能組件是否進(jìn)行銷毀以及會(huì)話的后續(xù)報(bào)文 使用哪個(gè)版本的功能組件進(jìn)行安全檢測(cè)，如表1所示，第一列表示對(duì)應(yīng)關(guān)系編號(hào)，第二列表 示功能組件版本，第三列表示會(huì)話，第四列表示會(huì)話狀態(tài)。
[0063]表1
[0064]

【權(quán)利要求】
1. 一種防火墻設(shè)備中檢測(cè)引擎的升級(jí)方法，其特征在于，包括： 根據(jù)所述檢測(cè)引擎的軟件升級(jí)數(shù)據(jù)包生成一個(gè)新版本的第一功能組件，并在所述檢測(cè) 引擎中運(yùn)行所述新版本的第一功能組件，用W使用所述新版本的第一功能組件對(duì)第一會(huì)話 進(jìn)行檢測(cè)，所述第一會(huì)話是指運(yùn)行所述新版本的第一功能組件后與所述防火墻設(shè)備新建立 的會(huì)話； 若存在至少一個(gè)第二會(huì)話，則使用舊版本的第一功能組件對(duì)所述第二會(huì)話的后續(xù)報(bào)文 進(jìn)行檢測(cè)，直到所有所述第二會(huì)話老化為止，所述第二會(huì)話是指運(yùn)行所述新版本的第一功 能組件時(shí)已與所述防火墻設(shè)備建立的會(huì)話； 在所有所述第二會(huì)話老化后，銷毀所述舊版本的第一功能組件。
2. 根據(jù)權(quán)利要求1所述的方法，其特征在于，所述在所述檢測(cè)引擎中運(yùn)行所述新版本 的第一功能組件之后，還包括： 接收?qǐng)?bào)文，根據(jù)所述報(bào)文的報(bào)文頭確定所述報(bào)文屬于所述第一會(huì)話的報(bào)文，或者屬于 所述第二會(huì)話的報(bào)文； 若屬于所述第一會(huì)話的報(bào)文，則應(yīng)用所述新版本的第一功能組件進(jìn)行檢測(cè)；若屬于所 述第二會(huì)話的報(bào)文，則應(yīng)用所述舊版本的第一功能組件進(jìn)行檢測(cè)。
3. 根據(jù)權(quán)利要求2所述的方法，其特征在于，所述若存在至少一個(gè)第二會(huì)話，則使用舊 版本的第一功能組件對(duì)所述第二會(huì)話的后續(xù)報(bào)文進(jìn)行檢測(cè)，直到所有所述第二會(huì)話老化為 止之前，還包括： 建立并存儲(chǔ)舊版本的第一功能組件、所述第二會(huì)話W及所述第二會(huì)話的會(huì)話狀態(tài)H者 的對(duì)應(yīng)關(guān)系，W供對(duì)所有所述第二會(huì)話是否老化進(jìn)行判斷。
4. 根據(jù)權(quán)利要求3所述的方法，其特征在于，所述接收?qǐng)?bào)文之后，還包括： 當(dāng)所述報(bào)文的標(biāo)志位為結(jié)束連線FIN或連線復(fù)位RST時(shí)，如果所述報(bào)文所屬會(huì)話為所 述第二會(huì)話，則在所述對(duì)應(yīng)關(guān)系中將所述報(bào)文所屬會(huì)話的會(huì)話狀態(tài)設(shè)置為老化狀態(tài)。
5. 根據(jù)權(quán)利要求1至4中任一所述的方法，其特征在于，還包括： 若所述軟件升級(jí)數(shù)據(jù)包中還包括至少一個(gè)第二功能組件的升級(jí)數(shù)據(jù)包，則生成新版本 的第二功能組件，并在所述檢測(cè)引擎中運(yùn)行所述新版本的第二功能組件。
6. -種防火墻設(shè)備中檢測(cè)引擎的升級(jí)裝置，其特征在于，包括： 安裝模塊，用于根據(jù)所述檢測(cè)引擎的軟件升級(jí)數(shù)據(jù)包生成一個(gè)新版本的第一功能組 件，并在所述檢測(cè)引擎中運(yùn)行所述新版本的第一功能組件； 檢測(cè)模塊，用于使用所述安裝模塊生成并運(yùn)行的所述新版本的第一功能組件對(duì)第一會(huì) 話進(jìn)行檢測(cè)，所述第一會(huì)話是指運(yùn)行所述新版本的第一功能組件后與所述防火墻設(shè)備新建 立的會(huì)話； 所述檢測(cè)模塊，還用于若存在至少一個(gè)第二會(huì)話，則使用舊版本的第一功能組件對(duì)所 述第二會(huì)話的后續(xù)報(bào)文進(jìn)行檢測(cè)，直到所有所述第二會(huì)話老化為止，所述第二會(huì)話是指運(yùn) 行所述新版本的第一功能組件時(shí)已與所述防火墻設(shè)備建立的會(huì)話； 銷毀模塊，用于根據(jù)所述檢測(cè)模塊的觸發(fā)，在所有所述第二會(huì)話老化后，銷毀所述舊版 本的第一功能組件。
7. 根據(jù)權(quán)利要求6所述的裝置，其特征在于，所述裝置還包括： 接收模塊，用于接收?qǐng)?bào)文，根據(jù)所述報(bào)文的報(bào)文頭確定所述報(bào)文屬于所述第一會(huì)話的 報(bào)文，或者屬于所述第二會(huì)話的報(bào)文； 所述檢測(cè)模塊，還用于若屬于所述第一會(huì)話的報(bào)文，則應(yīng)用所述新版本的第一功能組 件進(jìn)行檢測(cè)；若屬于所述第二會(huì)話的報(bào)文，則應(yīng)用所述舊版本的第一功能組件進(jìn)行檢測(cè)。
8. 根據(jù)權(quán)利要求7所述的裝置，其特征在于，所述裝置還包括： 存儲(chǔ)模塊，用于建立并存儲(chǔ)舊版本的第一功能組件、所述第二會(huì)話W及所述第二會(huì)話 的會(huì)話狀態(tài)H者的對(duì)應(yīng)關(guān)系，W供所述檢測(cè)模塊對(duì)所有所述第二會(huì)話是否老化進(jìn)行判斷。
9. 根據(jù)權(quán)利要求8所述的裝置，其特征在于，所述存儲(chǔ)模塊還用于： 當(dāng)所述接收模塊接收的所述報(bào)文的標(biāo)志位為FIN或RST時(shí)，如果所述報(bào)文所屬會(huì)話為 所述第二會(huì)話，則在所述對(duì)應(yīng)關(guān)系中將所述報(bào)文所屬會(huì)話的會(huì)話狀態(tài)設(shè)置為老化狀態(tài)。
10. 根據(jù)權(quán)利要求6至9中任一所述的裝置，其特征在于，所述安裝模塊還用于： 若所述軟件升級(jí)數(shù)據(jù)包中還包括至少一個(gè)第二功能組件的升級(jí)數(shù)據(jù)包，則生成新版本 的第二功能組件，并在所述檢測(cè)引擎中運(yùn)行所述新版本的第二功能組件。
【文檔編號(hào)】H04L12/24GK104348660SQ201310344399
【公開(kāi)日】2015年2月11日 申請(qǐng)日期:2013年8月8日 優(yōu)先權(quán)日:2013年8月8日
【發(fā)明者】李世光, 蔣武 申請(qǐng)人:華為技術(shù)有限公司