[发明专利]防火墙设备中检测引擎的升级方法及装置

说明书

本发明实施例提供一种防火墙设备中检测引擎的升级方法及装置。本发明防火墙设备中检测引擎的升级方法，包括：根据检测引擎的软件升级数据包生成一个新版本的第一功能组件，并在检测引擎中运行新版本的第一功能组件，用以使用新版本的第一功能组件对第一会话进行检测；若存在至少一个第二会话，则使用旧版本的第一功能组件对第二会话的后续报文进行检测，直到所有第二会话老化为止；在所有第二会话老化后，销毁旧版本的第一功能组件。本发明实施例只是对需要升级的功能组件进行升级，并在会话老化后对该会话进行检测的功能组件进行销毁，资源占用较小，升级效率高，且已有的业务流量的安全检测不受影响。

技术领域

本发明实施例涉及网络技术，尤其涉及一种防火墙设备中检测引擎的升级方法及装置。

背景技术

网关设备的一个基本要求是设备工作的可靠性，例如用户流量不因软件版本的升级而中断，用户的业务不受影响。对下一代防火墙（Next Generation Firewall，简称NGFW）这种网关设备来说，需要有更高的要求，NGFW不仅有传统防火墙的基本转发控制功能，还有基于应用、用户等策略控制，并且根据特定的策略对流经该设备的应用层流量做安全检测，这些安全检测包括入侵防御系统（Intrusion Prevention System，简称IPS）、反病毒（Anti-Virus，简称AV）、统一资源定位符（Uniform Resource Locator，简称URL）过滤、数据泄漏防护（Data Leak Prevention，简称DLP）等。

由于网络上应用层流量的内容变化很快，针对应用层业务的攻击威胁同样变化很快。为了能够对这些变化的威胁进行及时检测，就需要保证NGFW设备上用以检测上述威胁的组件，比如威胁特征库或者检测引擎，能够及时进行升级。现有技术中的升级方式，一种是新的检测引擎替换旧的检测引擎，升级成功后旧的检测引擎将不可用；另一种是新的检测引擎成功加载后，在运行新的检测引擎时仍然继续使用旧的检测引擎，也就是在相当长的一段时间内，NGFW设备中同时运行多种检测引擎。

上述第一种方式，由于升级完成后旧的检测引擎不可用，那么为了保证流经NGFW设备的流量不受影响，就需要对升级之前已经建立的会话的后续报文流量做通过（bypass）处理，实际上对这部分流量的应用层检测已经失效，此时如果发生攻击，则NGFW设备无法检测出来会造成漏检；第二种方式，同时运行多份检测引擎，对NGFW设备的处理资源的消耗很大，影响效率。

发明内容

本发明实施例提供一种检测引擎升级处理方法及装置，用以减少现有技术中由于检测引擎升级导致的漏检问题。

第一方面，本发明实施例提供一种防火墙设备中检测引擎的升级处理方法，包括：根据检测引擎的软件升级数据包生成一个新版本的第一功能组件，并在所述检测引擎中运行所述新版本的第一功能组件，用以使用所述新版本的第一功能组件对第一会话进行检测，所述第一会话是指运行所述新版本的第一功能组件后与所述防火墙设备新建立的会话；

若存在至少一个第二会话，则使用旧版本的第一功能组件对所述第二会话的后续报文进行检测，直到所有所述第二会话老化为止，所述第二会话是指运行所述新版本的第一功能组件时已与所述防火墙设备建立的会话；

在所有所述第二会话老化后，销毁所述旧版本的第一功能组件。

结合第一方面，在第一方面的第一种实现方式中，所述在所述检测引擎中运行所述新版本的第一功能组件之后，还包括：

接收报文，根据所述报文的报文头确定所述报文属于所述第一会话的报文，或者属于所述第二会话的报文；

若属于所述第一会话的报文，则应用所述新版本的第一功能组件进行检测；若属于所述第二会话的报文，则应用所述旧版本的第一功能组件进行检测。