[发明专利]防火墙设备中检测引擎的升级方法及装置

权利要求书

1.一种防火墙设备中检测引擎的升级方法，其特征在于，所述检测引擎包括第一功能组件和至少一个第二功能组件，所述第一功能组件和每个所述第二功能组件实现相互独立的安全检测功能，所述第一功能组件和所述第二功能组件以串行的方式对报文进行处理，所述方法包括：

根据所述检测引擎的软件升级数据包生成一个新版本的第一功能组件，并在所述检测引擎中运行所述新版本的第一功能组件，使用所述新版本的第一功能组件对第一会话进行检测，所述第一会话是指运行所述新版本的第一功能组件后与所述防火墙设备新建立的会话；

若在所述第一会话的报文被所述新版本的第一功能组件发送到所述第二功能组件之前，所述第二功能组件未进行升级，则使用旧版本的第二功能组件对所述第一会话进行检测，建立并存储新版本的第一功能组件、旧版本的第二功能组件、所述第一会话以及所述第一会话状态四者的对应关系，以供对所述第一会话是否老化进行判断；

若存在至少一个第二会话，则使用旧版本的第一功能组件对所述第二会话的后续报文进行检测，直到所有所述第二会话老化为止，所述第二会话是指运行所述新版本的第一功能组件时已与所述防火墙设备建立的会话；

在所有所述第二会话老化后，销毁所述旧版本的第一功能组件。

2.根据权利要求1所述的方法，其特征在于，所述在所述检测引擎中运行所述新版本的第一功能组件之后，还包括：

接收报文，根据所述报文的报文头确定所述报文属于所述第一会话的报文，或者属于所述第二会话的报文；

若属于所述第一会话的报文，则应用所述新版本的第一功能组件进行检测；若属于所述第二会话的报文，则应用所述旧版本的第一功能组件进行检测。

3.根据权利要求2所述的方法，其特征在于，所述若存在至少一个第二会话，则使用旧版本的第一功能组件对所述第二会话的后续报文进行检测，直到所有所述第二会话老化为止之前，还包括：

建立并存储旧版本的第一功能组件、所述第二会话以及所述第二会话的会话状态三者的对应关系，以供对所有所述第二会话是否老化进行判断。

4.根据权利要求3所述的方法，其特征在于，所述接收报文之后，还包括：

当所述报文的标志位为结束连线FIN或连线复位RST时，如果所述报文所属会话为所述第二会话，则在所述对应关系中将所述报文所属会话的会话状态设置为老化状态。

5.根据权利要求1至4中任一所述的方法，其特征在于，还包括：

若所述软件升级数据包中还包括至少一个第二功能组件的升级数据包，则生成新版本的第二功能组件，并在所述检测引擎中运行所述新版本的第二功能组件。

6.一种防火墙设备中检测引擎的升级装置，其特征在于，所述检测引擎包括第一功能组件和至少一个第二功能组件，所述第一功能组件和每个所述第二功能组件实现相互独立的安全检测功能，所述第一功能组件和所述第二功能组件以串行的方式对报文进行处理，所述装置包括：

安装模块，用于根据所述检测引擎的软件升级数据包生成一个新版本的第一功能组件，并在所述检测引擎中运行所述新版本的第一功能组件；

检测模块，用于使用所述安装模块生成并运行的所述新版本的第一功能组件对第一会话进行检测，所述第一会话是指运行所述新版本的第一功能组件后与所述防火墙设备新建立的会话；

若在所述第一会话的报文被所述新版本的第一功能组件发送到所述第二功能组件之前，所述第二功能组件未进行升级，则所述检测模块，还用于使用旧版本的第二功能组件对所述第一会话进行检测，建立并存储新版本的第一功能组件、旧版本的第二功能组件、所述第一会话以及所述第一会话状态四者的对应关系，以供对所述第一会话是否老化进行判断；

所述检测模块，还用于若存在至少一个第二会话，则使用旧版本的第一功能组件对所述第二会话的后续报文进行检测，直到所有所述第二会话老化为止，所述第二会话是指运行所述新版本的第一功能组件时已与所述防火墙设备建立的会话；

销毁模块，用于根据所述检测模块的触发，在所有所述第二会话老化后，销毁所述旧版本的第一功能组件。