本发明专利技术实施例提供一种防火墙设备中检测引擎的升级方法及装置。本发明专利技术防火墙设备中检测引擎的升级方法,包括:根据检测引擎的软件升级数据包生成一个新版本的第一功能组件,并在检测引擎中运行新版本的第一功能组件,用以使用新版本的第一功能组件对第一会话进行检测;若存在至少一个第二会话,则使用旧版本的第一功能组件对第二会话的后续报文进行检测,直到所有第二会话老化为止;在所有第二会话老化后,销毁旧版本的第一功能组件。本发明专利技术实施例只是对需要升级的功能组件进行升级,并在会话老化后对该会话进行检测的功能组件进行销毁,资源占用较小,升级效率高,且已有的业务流量的安全检测不受影响。
【技术实现步骤摘要】
【专利摘要】本专利技术实施例提供一种防火墙设备中检测引擎的升级方法及装置。本专利技术防火墙设备中检测引擎的升级方法,包括:根据检测引擎的软件升级数据包生成一个新版本的第一功能组件,并在检测引擎中运行新版本的第一功能组件,用以使用新版本的第一功能组件对第一会话进行检测;若存在至少一个第二会话,则使用旧版本的第一功能组件对第二会话的后续报文进行检测,直到所有第二会话老化为止;在所有第二会话老化后,销毁旧版本的第一功能组件。本专利技术实施例只是对需要升级的功能组件进行升级,并在会话老化后对该会话进行检测的功能组件进行销毁,资源占用较小,升级效率高,且已有的业务流量的安全检测不受影响。【专利说明】防火墙设备中检测引擎的升级方法及装置
本专利技术实施例涉及网络技术,尤其涉及一种防火墙设备中检测引擎的升级方法及 装直。
技术介绍
网关设备的一个基本要求是设备工作的可靠性,例如用户流量不因软件版本的升 级而中断,用户的业务不受影响。对下一代防火墙(NextGenerationFirewall,简称NGFW) 这种网关设备来说,需要有更高的要求,NGFW不仅有传统防火墙的基本转发控制功能,还 有基于应用、用户等策略控制,并且根据特定的策略对流经该设备的应用层流量做安全检 测,这些安全检测包括入侵防御系统(IntrusionPreventionSystem,简称IPS)、反病毒 (Anti-Virus,简称AV)、统一资源定位符(UniformResourceLocator,简称URL)过滤、数 据泄漏防护(DataLeakPrevention,简称DLP)等。 由于网络上应用层流量的内容变化很快,针对应用层业务的攻击威胁同样变化很 快。为了能够对这些变化的威胁进行及时检测,就需要保证NGFW设备上用以检测上述威胁 的组件,比如威胁特征库或者检测引擎,能够及时进行升级。现有技术中的升级方式,一种 是新的检测引擎替换旧的检测引擎,升级成功后旧的检测引擎将不可用;另一种是新的检 测引擎成功加载后,在运行新的检测引擎时仍然继续使用旧的检测引擎,也就是在相当长 的一段时间内,NGFW设备中同时运行多种检测引擎。 上述第一种方式,由于升级完成后旧的检测引擎不可用,那么为了保证流经NGFW 设备的流量不受影响,就需要对升级之前已经建立的会话的后续报文流量做通过(bypass) 处理,实际上对这部分流量的应用层检测已经失效,此时如果发生攻击,则NGFW设备无法 检测出来会造成漏检;第二种方式,同时运行多份检测引擎,对NGFW设备的处理资源的消 耗很大,影响效率。
技术实现思路
本专利技术实施例提供一种检测引擎升级处理方法及装置,用以减少现有技术中由于 检测引擎升级导致的漏检问题。 第一方面,本专利技术实施例提供一种防火墙设备中检测引擎的升级处理方法,包括: 根据检测引擎的软件升级数据包生成一个新版本的第一功能组件,并在所述检测引擎中运 行所述新版本的第一功能组件,用以使用所述新版本的第一功能组件对第一会话进行检 测,所述第一会话是指运行所述新版本的第一功能组件后与所述防火墙设备新建立的会 话; 若存在至少一个第二会话,则使用旧版本的第一功能组件对所述第二会话的后续 报文进行检测,直到所有所述第二会话老化为止,所述第二会话是指运行所述新版本的第 一功能组件时已与所述防火墙设备建立的会话; 在所有所述第二会话老化后,销毁所述旧版本的第一功能组件。 结合第一方面,在第一方面的第一种实现方式中,所述在所述检测引擎中运行所 述新版本的第一功能组件之后,还包括: 接收报文,根据所述报文的报文头确定所述报文属于所述第一会话的报文,或者 属于所述第二会话的报文; 若属于所述第一会话的报文,则应用所述新版本的第一功能组件进行检测;若属 于所述第二会话的报文,则应用所述旧版本的第一功能组件进行检测。 结合第一方面的第一种实现方式,在第一方面的第二种实现方式中,所述若存在 至少一个第二会话,则使用旧版本的第一功能组件对所述第二会话的后续报文进行检测, 直到所有所述第二会话老化为止之前,还包括: 建立并存储旧版本的第一功能组件、所述第二会话以及所述第二会话的会话状态 三者的对应关系,以供对所有所述第二会话是否老化进行判断。 结合第一方面的第二种实现方式,在第一方面的第三种实现方式中,所述接收报 文之后,还包括: 当所述报文的标志位为结束连线FIN或连线复位RST时,如果所述报文所属会话 为所述第二会话,则在所述对应关系中将所述报文所属会话的会话状态设置为老化状态。 结合第一方面、或上述第一方面的任意一种实现方式,在第一方面的第四种实现 方式中,还包括: 若所述软件升级数据包中还包括至少一个第二功能组件的升级数据包,则生成新 版本的第二功能组件,并在所述检测引擎中运行所述新版本的第二功能组件。 第二方面,本专利技术实施例提供一种防火墙设备中检测引擎的升级装置,包括: 安装模块,用于根据所述检测引擎的软件升级数据包生成一个新版本的第一功能 组件,并在所述检测引擎中运行所述新版本的第一功能组件; 检测模块,用于使用所述安装模块生成并运行的所述新版本的第一功能组件对第 一会话进行检测,所述第一会话是指运行所述新版本的第一功能组件后与所述防火墙设备 新建立的会话; 所述检测模块,还用于若存在至少一个第二会话,则使用旧版本的第一功能组件 对所述第二会话的后续报文进行检测,直到所有所述第二会话老化为止,所述第二会话是 指运行所述新版本的第一功能组件时已与所述防火墙设备建立的会话; 所述销毁模块,用于根据所述检测模块的触发,在所有所述第二会话老化后,销毁 所述旧版本的第一功能组件。 结合第二方面,在第二方面的第一种实现方式中,所述装置还包括: 接收模块,用于接收报文,根据所述报文的报文头确定所述报文属于所述第一会 话的报文,或者属于所述第二会话的报文; 所述检测模块,还用于若属于所述第一会话的报文,则应用所述新版本的第一功 能组件进行检测;若属于所述第二会话的报文,则应用所述旧版本的第一功能组件进行检 测。 结合第二方面的第一种实现方式,在第二方面的第二种实现方式中,所述装置还 包括: 存储模块,用于建立并存储旧版本的第一功能组件、所述第二会话以及所述第二 会话的会话状态三者的对应关系,以供所述检测模块对所有所述第二会话是否老化进行判 断。 结合第二方面的第二种实现方式,在第二方面的第三种实现方式中,所述存储模 块还用于: 当所述接收模块接收的所述报文的标志位为FIN或RST时,如果所述报文所属会 话为所述第二会话,则在所述对应关系中将所述报文所属会话的会话状态设置为老化状 态。 结合第二方面、或上述第二方面的任意一种实现方式,在第二方面的第四种实现 方式中,所述安装模块还用于: 若所述软件升级数据包中还包括至少一个第二功能组件的升级数据包,则生成新 版本的第二功能组件,并在所述检测引擎中运行所述新版本的第二功能组件。 本专利技术实施例防火墙设备中检测引擎的升级方法及装置,通过根据检测引擎的软 件升级数据包生成一个新版本的第一功能组件,并本文档来自技高网...
【技术保护点】
一种防火墙设备中检测引擎的升级方法,其特征在于,包括:根据所述检测引擎的软件升级数据包生成一个新版本的第一功能组件,并在所述检测引擎中运行所述新版本的第一功能组件,用以使用所述新版本的第一功能组件对第一会话进行检测,所述第一会话是指运行所述新版本的第一功能组件后与所述防火墙设备新建立的会话;若存在至少一个第二会话,则使用旧版本的第一功能组件对所述第二会话的后续报文进行检测,直到所有所述第二会话老化为止,所述第二会话是指运行所述新版本的第一功能组件时已与所述防火墙设备建立的会话;在所有所述第二会话老化后,销毁所述旧版本的第一功能组件。
【技术特征摘要】
【专利技术属性】
技术研发人员:李世光,蒋武,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。