[发明专利]一种匹配规则升级方法及装置

说明书

本发明实施例提供了一种匹配规则升级方法及装置，应用于分布式防火墙的任一业务板，所述方法包括：接收主用主控板发送的第一匹配规则升级消息；判断自身当前的内存消耗量是否大于预定阈值；如果是，忽略所述第一匹配规则升级消息，并按照设定的时间间隔检测自身当前的内存消耗量是否大于预定阈值，当检测到自身当前的内存消耗量不大于预定阈值时，向所述主用主控板发送获取匹配规则的请求，接收所述主用主控板发送的第二匹配规则升级消息，删除本地保存的原有匹配规则，并保存所述第二匹配规则升级消息中包含的匹配规则；如果否，删除本地保存的原有匹配规则，并保存接收到的所述匹配规则。本发明实施例能够保证各业务板都正常地进行流量检测。

技术领域

本发明涉及计算机防御技术领域，特别是涉及一种匹配规则升级方法及装置。

背景技术

防火墙一般部署在大中型企业的网络出口、企业内部网络间或者数据中心的出口，对外网访问内网的流量进行检测实现保护内网安全的目的，对内网访问外网的流量进行检测实现企业敏感信息的控制。例如，防火墙可以根据用户配置以及预定义的特征库中携带的匹配规则进行流量检测，实现流量的识别和控制功能。

实际应用中，出于高可用性的考虑，一般会部署分布式防火墙。分布式防火墙通常包括多个主控板和多个业务板，其中，多个主控板中可以包括一个主用主控板和多个备用主控板。主用主控板是整个防火墙的控制中心，由其对各主控板和业务板实现控制功能和表项同步功能。

在实际应用中，分布式防火墙的各主控板和业务板可以保存同样的匹配规则，以根据该匹配规则进行流量检测。并且，为了提高流量检测的准确性，各主控板和业务板中保存的匹配规则可以进行升级。

现有的匹配规则升级方法，主用主控板可以首先从指定服务器下载特征库文件，并解析特征库文件得到最新的匹配规则，并且可以将最新的匹配规则发送给各业务板。各业务板接收到主用主控板发送的匹配规则后，首先删除本地原有的匹配规则，然后保存最新的匹配规则。进而完成匹配规则的升级，从而各业务板可以使用最新的匹配规则继续后续的流量检测。

在实际应用中，对于分布式防火墙来说，流量经过哪个业务板是不确定的，因此，各个业务板的流量压力是不同的，也就是说，可能存在有的业务板流量压力较小，而有的业务板流量压力较大的情况。因此，当各业务板接收到主用主控板发送的最新的匹配规则，将原有的匹配规则删除，进行匹配规则升级时，对于流量压力较大的业务板来说，其可能由于内存不足等原因，不能正确保存最新的匹配规则，从而导致该业务板匹配规则升级失败。并且由于其删除了原有的匹配规则，后续就也无法正常的进行流量检测了。

发明内容

本发明实施例的目的在于提供一种匹配规则升级方法及装置，以保证各业务板都成功地完成匹配规则的升级，进而保证各业务板都正常地进行流量检测。具体技术方案如下：

第一方面，本发明实施例提供了一种匹配规则升级方法，应用于分布式防火墙的任一业务板，所述方法包括：

接收主用主控板发送的第一匹配规则升级消息，其中，所述第一匹配规则升级消息中包括匹配规则；

判断自身当前的内存消耗量是否大于预定阈值；

如果是，忽略所述第一匹配规则升级消息，并按照设定的时间间隔检测自身当前的内存消耗量是否大于预定阈值，当检测到自身当前的内存消耗量不大于预定阈值时，向所述主用主控板发送获取匹配规则的请求，接收所述主用主控板发送的第二匹配规则升级消息，删除本地保存的原有匹配规则，并保存所述第二匹配规则升级消息中包含的匹配规则；

如果否，删除本地保存的原有匹配规则，并保存接收到的所述第一匹配规则升级消息中包含的匹配规则。

第二方面，本发明实施例提供了一种匹配规则升级方法，应用于分布式防火墙的主用主控板，所述方法包括：

获取匹配规则；