WO2015018200A1

WO2015018200A1 - 防火墙设备中检测引擎的升级方法及装置

Info

Publication number: WO2015018200A1
Application number: PCT/CN2014/072541
Authority: WO
Inventors: 李世光; 蒋武
Original assignee: 华为技术有限公司
Priority date: 2013-08-08
Filing date: 2014-02-26
Publication date: 2015-02-12
Also published as: CN104348660B; CN104348660A

Abstract

本发明实施例提供一种防火墙设备中检测引擎的升级方法及装置。本发明防火墙设备中检测引擎的升级方法，包括：根据检测引擎的软件升级数据包生成一个新版本的第一功能组件，并在检测引擎中运行新版本的第一功能组件，用以使用新版本的第一功能组件对第一会话进行检测；若存在至少一个第二会话，则使用旧版本的第一功能组件对第二会话的后续报文进行检测，直到所有第二会话老化为止；在所有第二会话老化后，销毁旧版本的第一功能组件。本发明实施例只是对需要升级的功能组件进行升级，并在会话老化后对该会话进行检测的功能组件进行销毁，资源占用较小，升级效率高，且已有的业务流量的安全检测不受影响。

Description

防火墙设备中检测引擎的升级方法及装置本申请要求于 2013 年 8 月 8 日提交中国专利局、申请号为 201310344399.0、发明名称为 "防火墙设备中检测引擎的升级方法及装置" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明实施例涉及网络技术，尤其涉及一种防火墙设备中检测引擎的升级方法及装置。

背景技术网关设备的一个基本要求是设备工作的可靠性，例如用户流量不因软件版本的升级而中断，用户的业务不受影响。对下一代防火墙（Next Generation Firewall, 简称 NGFW )这种网关设备来说，需要有更高的要求。 NGFW不仅有传统防火墙的基本转发控制功能，还有基于应用、用户等策略控制，并且根据特定的策略对流经该设备的应用层流量做安全检测，这些安全检测包括入侵防 4卸系统 ( Intrusion Prevention System, 简称 IPS )、反病毒 ( Anti- Virus, 简称 AV )、统一资源定位符（Uniform Resource Locator, 简称 URL )过滤、数据泄漏防护（ Data Leak Prevention, 简称 DLP )等。

由于网络上应用层流量的内容变化很快，针对应用层业务的攻击威胁同样变化很快。为了能够对这些变化的威胁进行及时检测，就需要保证 NGFW 设备上用以检测上述威胁的组件，比如威胁特征库或者检测引擎，能够及时进行升级。现有技术中的升级方式，一种是新的检测引擎替换旧的检测引擎，升级成功后旧的检测引擎将不可用；另一种是新的检测引擎成功加载后，在运行新的检测引擎时仍然继续使用旧的检测引擎，也就是在相当长的一段时间内， NGFW设备中同时运行多种检测引擎。

上述第一种方式，由于升级完成后旧的检测引擎不可用，那么为了保证流经 NGFW设备的流量不受影响，就需要对升级之前已经建立的会话的后续报文流量做通过（ bypass )处理，实际上对这部分流量的应用层检测已经失效，此时如果发生攻击，则 NGFW设备无法检测出来会造成漏检；第二种方式，同时运行多份检测引擎，对 NGFW设备的处理资源的消耗很大，影响效率。发明内容本发明实施例提供一种检测引擎升级处理方法及装置，用以减少现有技术中由于检测引擎升级导致的漏检问题。

第一方面，本发明实施例提供一种防火墙设备中检测引擎的升级处理方法，包括：根据检测引擎的软件升级数据包生成一个新版本的第一功能组件，并在所述检测引擎中运行所述新版本的第一功能组件，用以使用所述新版本的第一功能组件对第一会话进行检测，所述第一会话是指运行所述新版本的第一功能组件后与所述防火墙设备新建立的会话；

若存在至少一个第二会话，则使用旧版本的第一功能组件对所述第二会话的后续报文进行检测，直到所有所述第二会话老化为止，所述第二会话是指运行所述新版本的第一功能组件时已与所述防火墙设备建立的会话；

在所有所述第二会话老化后，销毁所述旧版本的第一功能组件。

结合第一方面，在第一方面的第一种实现方式中，所述在所述检测引擎中运行所述新版本的第一功能组件之后，还包括：

接收报文，根据所述报文的报文头确定所述报文属于所述第一会话的报文，或者属于所述第二会话的报文；

若属于所述第一会话的报文，则应用所述新版本的第一功能组件进行检测；若属于所述第二会话的报文，则应用所述旧版本的第一功能组件进行检测。

结合第一方面的第一种实现方式，在第一方面的第二种实现方式中，所述若存在至少一个第二会话，则使用旧版本的第一功能组件对所述第二会话的后续报文进行检测，直到所有所述第二会话老化为止之前，还包括：

建立并存储旧版本的第一功能组件、所述第二会话以及所述第二会话的会话状态三者的对应关系，以供对所有所述第二会话是否老化进行判断。

结合第一方面的第二种实现方式，在第一方面的第三种实现方式中，所述接收报文之后，还包括：

当所述文的标志位为结束连线 FIN或连线复位 RST时，如果所述 4艮文所属会话为所述第二会话，则在所述对应关系中将所述 ·艮文所属会话的会话状态设置为老化状态。

结合第一方面、或上述第一方面的任意一种实现方式，在第一方面的第四种实现方式中，还包括：

若所述软件升级数据包中还包括至少一个第二功能组件的升级数据包，则生成新版本的第二功能组件，并在所述检测引擎中运行所述新版本的第二功能组件。

第二方面，本发明实施例提供一种防火墙设备中检测引擎的升级装置，包括：

安装模块，用于根据所述检测引擎的软件升级数据包生成一个新版本的第一功能组件，并在所述检测引擎中运行所述新版本的第一功能组件；

检测模块，用于使用所述安装模块生成并运行的所述新版本的第一功能组件对第一会话进行检测，所述第一会话是指运行所述新版本的第一功能组件后与所述防火墙设备新建立的会话；

所述检测模块，还用于若存在至少一个第二会话，则使用旧版本的第一功能组件对所述第二会话的后续报文进行检测，直到所有所述第二会话老化为止，所述第二会话是指运行所述新版本的第一功能组件时已与所述防火墙设备建立的会话；

所述销毁模块，用于根据所述检测模块的触发，在所有所述第二会话老化后，销毁所述旧版本的第一功能组件。

结合第二方面，在第二方面的第一种实现方式中，所述装置还包括：接收模块，用于接收报文，根据所述报文的报文头确定所述报文属于所述第一会话的报文，或者属于所述第二会话的报文；

所述检测模块，还用于若属于所述第一会话的报文，则应用所述新版本的第一功能组件进行检测；若属于所述第二会话的报文，则应用所述旧版本的第一功能组件进行检测。

结合第二方面的第一种实现方式，在第二方面的第二种实现方式中，所述装置还包括：

存储模块，用于建立并存储旧版本的第一功能组件、所述第二会话以及所述第二会话的会话状态三者的对应关系，以供所述检测模块对所有所述第二会话是否老化进行判断。

结合第二方面的第二种实现方式，在第二方面的第三种实现方式中，所述存储模块还用于：

当所述接收模块接收的所述报文的标志位为 FIN或 RST时，如果所述报文所属会话为所述第二会话，则在所述对应关系中将所述 "¾文所属会话的会话状态设置为老化状态。

结合第二方面、或上述第二方面的任意一种实现方式，在第二方面的第四种实现方式中，所述安装模块还用于：

本发明实施例防火墙设备中检测引擎的升级方法及装置，通过根据检测引擎的软件升级数据包生成一个新版本的第一功能组件，并在所述检测引擎中运行所述新版本的第一功能组件，用以使用所述新版本的第一功能组件对第一会话进行检测，所述第一会话是指运行所述新版本的第一功能组件后与所述防火墙设备新建立的会话；若存在至少一个第二会话，则使用旧版本的第一功能组件对所述第二会话的后续报文进行检测，直到所有所述第二会话老化为止，所述第二会话是指运行所述新版本的第一功能组件时已与所述防火墙设备建立的会话；在所有所述第二会话老化后，销毁所述旧版本的第一功能组件，由于只是对需要升级的相应功能组件进行升级而不是对整个检测引擎进行升级，且在所有的第二会话老化之后将对所述第二会话进行检测的旧版本的功能组件销毁，与现有技术更新整个检测引擎的方案相比，资源占用较小，升级效率高，实现了在下一代防火墙上检测引擎的各个功能组件的平滑升级且已有的业务流量的安全检测不受影响。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图 1为本发明防火墙设备中检测引擎的升级方法实施例一的流程图；图 2 为本发明防火墙设备中检测引擎的升级方法实施例一的应用场景示意图；

图 3 为本发明防火墙设备中检测引擎的升级方法实施例一的功能组件升级状态示意图一；

图 4 为本发明防火墙设备中检测引擎的升级方法实施例一的功能组件升级状态示意图二；

图 5 为本发明防火墙设备中检测引擎的升级方法实施例一的功能组件升级状态示意图三；

图 6为本发明防火墙设备中检测引擎的升级装置实施例一的结构示意图；图 7为本发明防火墙设备中检测引擎的升级装置实施例二的结构示意图；图 8为本发明检测引擎升级设备实施例一的结构示意图。具体实施方式为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图 1为本发明防火墙设备中检测引擎的升级方法实施例一的流程图，图 2 为本发明防火墙设备中检测引擎的升级方法实施例一的应用场景示意图，图 3 为本发明防火墙设备中检测引擎的升级方法实施例一的功能组件升级状态示意图一，图 4为本发明防火墙设备中检测引擎的升级方法实施例一的功能组件升级状态示意图二，图 5 为本发明防火墙设备中检测引擎的升级方法实施例一的功能组件升级状态示意图三。本实施例的执行主体为防火墙设备中检测引擎的升级装置，该装置可以通过软件和 /或硬件实现。本实施例的方案应用在网络接入设备或者网络交换设备中，例如网关设备、防火墙、以及 NGFW 中。

如图 1所示，本实施例的方法可以包括：

步骤 101、根据检测引擎的软件升级数据包生成一个新版本的第一功能组件，并在检测引擎中运行新版本的第一功能组件，用以使用新版本的第一功能组件对第一会话进行检测，第一会话是指运行新版本的第一功能组件后与防火墙设备新建立的会话。

具体地，如图 2所示，本实施例的防火墙设备中检测引擎的升级装置例如可以设置在 NGFW中， NGFW主要部署在互联网出口、办公网出口，对服务器以及办公网的用户主机进行防护。 NGFW主要以应用识别为基础，对于网络中的应用层流量进行安全检测，如 IPS检测、 AV检测、 URL过滤等安全防护功能。其中在网络中部署有升级服务器，若升级服务器或 NGFW中有检测引擎中新版本的功能组件如 IPS 功能组件的软件升级数据包，且检测引擎的升级装置检测获知到检测引擎中一功能组件如 IPS功能组件或 AV功能组件需要进行升级，则根据检测引擎的软件升级数据包生成一个新版本的第一功能组件，并在检测引擎中运行新版本的第一功能组件，用以使用新版本的第一功能组件对第一会话进行检测，第一会话是指运行新版本的第一功能组件后与防火墙设备新建立的会话，如果新版本的第一功能组件如 AV功能组件，对应的还有新的特征库则同时加载更新，特征库例如包括多种病毒的信息。

本实施例中对功能组件升级的检测可以定时触发检测如升级服务器与 NGFW通信实时获取 NGFW中检测引擎的各功能组件的版本状态，与升级服务器中的版本状态进行比较获知是否进行升级，也可以手动触发检测如在升级服务器与 NGFW 没有通信的情况下，可以手动将软件升级数据包下载到 NGFW中，由 NGFW中的升级组件判断是否需要升级。如多个功能组件需要同时升级，则可以对每个功能组件分别同时升级也可以按顺序升级，即一个功能组件升级完成后再升级下一个功能组件。

步骤 102、若存在至少一个第二会话，则使用旧版本的第一功能组件对第二会话的后续报文进行检测，直到所有第二会话老化为止，第二会话是指运行新版本的第一功能组件时已与防火墙设备建立的会话。

具体地，如图 3 所示，若第二会话为运行新版本的第一功能组件时已与防火墙设备建立的会话，如会话 1 , 则使用旧版本的第一功能组件，如 IPS功能组件版本 1 对第二会话的后续报文进行安全检测，第二会话的后续报文是指运行所述新版本的第一功能组件后，接收到的属于所述第二会话的报文，由于 AV功能组件没有进行升级，会话 1的报文由 IPS功能组件版本 1进行安全检测之后，发送到 AV功能组件版本 1进行安全检测；若第一会话为运行新版本的第一功能组件后与防火墙设备新建立的会话，如会话 2, 则使用新版本的第一功能组件如 IPS功能组件版本 2对第一会话进行安全检测，如图 4 所示，若在发送到 AV功能组件之前， AV功能组件进行升级生成新的版本 2 并且已经在检测引擎中运行，则会话 2 的报文将使用新版本的功能组件 AV 功能组件版本 2进行安全检测，如图 3所示，若 AV功能组件没有进行升级则继续使用 AV功能组件版本 1进行安全检测。

本实施例中，如图 3 所示，进行会话流分发后会进行应用识别，即对收到的报文进行应用识别查找相应的功能组件进行安全检测。附图 3 只是以功能组件为 IPS功能组件和 AV功能组件为例进行说明，实际应用中可以包含更多的功能组件，例如 URL过滤功能组件、 DLP功能组件等。进行安全检测之后，根据安全检测的结果进行相应的动作，如阻断、告警、日志、放行等。

步骤 103、在所有第二会话老化后，销毁旧版本的第一功能组件。

具体地，如图 5 所示，在检测引擎中运行新版本的第一功能组件之前已与防火墙设备建立的会话如会话 1全部老化后，则销毁会话 1使用的检测引擎中旧版本的功能组件如 IPS功能组件版本 1 ,会话 2继续使用 IPS功能组件版本 2及 AV 功能组件版本 1 进行安全检测，老化是指一个传输控制协议 ( Transmission Control Protocol , 简称 TCP )连接的双方都已经发送结束连线 FIN或者连线复位 RST报文。若后续检测引擎的升级装置检测获知到检测引擎中 IPS 功能组件需要再次进行升级处理，则根据获取的软件升级数据包在检测引擎中生成一新版本的第一功能组件如 IPS功能组件版本 3 ,并运行此功能组件，此时新建立的会话 3使用新的 IPS功能组件版本 3及 AV功能组件版本 2进行安全检测，当会话 2老化之后 (且没有其他会话使用 IPS功能组件版本 2及 AV功能组件版本 1进行检测 ) 则销毁会话 2使用的检测引擎中 IPS功能组件版本 2及 AV功能组件版本 1。

本实施例上述第一功能组件、第二功能组件、第一会话和第二会话中的 "第一"、 "第二 "并不是表示顺序关系，而是为了区别不同的功能组件和会话，以下文件中提到的第一、第二等也是为了区别不同的组件、版本、会话等。

本实施例，通过根据检测引擎的软件升级数据包生成一个新版本的第一功能组件，并在所述检测引擎中运行所述新版本的第一功能组件，用以使用所述新版本的第一功能组件对第一会话进行检测，所述第一会话是指运行所述新版本的第一功能组件后与所述防火墙设备新建立的会话；若存在至少一个第二会话，则使用旧版本的第一功能组件对所述第二会话的后续报文进行检测，直到所有所述第二会话老化为止，所述第二会话是指运行所述新版本的第一功能组件时已与所述防火墙设备建立的会话；在所有所述第二会话老化后，销毁所述旧版本的第一功能组件，由于只是对需要升级的相应功能组件进行升级而不是对整个检测引擎进行升级，且在所有的第二会话老化之后将对所述第二会话进行检测的旧版本的功能组件销毁，资源占用较小，升级效率高，实现了在下一代防火墙上检测引擎的各个功能组件的平滑升级且已有的业务流量的安全检测不受影响。

在本发明防火墙设备中检测引擎的升级方法实施例二中，在图 1 所示方法实施例的基石出上，进一步地，所述方法还可以包括：

接收报文，根据报文的报文头确定报文属于第一会话的报文，或者属于第二会话的报文；

若第一会话的报文，则应用新版本的第一功能组件进行检测；若属于第二会话的报文，则应用旧版本的第一功能组件进行检测。

具体地，如图 3所示， NGFW接收报文，根据报文的报文头确定报文属于第一会话如会话 2的报文，或者属于第二会话如会话 1 的报文；若第一会话如会话 2的报文，则应用新版本的第一功能组件如 IPS功能组件版本 2进行检，若属于第二会话如会话 1的报文，则应用旧版本的第一功能组件如 IPS 功能组件版本 1进行检测。

进一步地，所述若存在至少一个第二会话，则使用旧版本的第一功能组件对所述第二会话的后续报文进行检测，直到所有所述第二会话老化为止之前，本实施例的方法还包括：

建立并存储旧版本的第一功能组件、第二会话以及第二会话的会话状态三者的对应关系，以供对所有所述第二会话是否老化进行判断；

可选地，还可以建立并存储新版本的第一功能组件、第一会话以及第一会话的会话状态三者的对应关系，以便于所述第一功能组件再次升级时，对所有所述第一会话是否老化进行判断。

具体地，如图 3 所示，在防火墙设备中检测引擎的升级装置中例如可以建立并存储： IPS功能组件版本 1及 AV功能组件版本 1、会话 1 以及会话 1 的会话状态的对应关系， IPS功能组件版本 2及 AV功能组件版本 1、会话 2 以及会话 2的会话状态的对应关系，如图 4所示，会话 2与 IPS功能组件版本 2及 AV功能组件版本 2的对应关系，如表 1所示，以供对所有会话是否老化进行判断，便于判断各个功能组件是否进行销毁以及会话的后续报文使用哪个版本的功能组件进行安全检测，如表 1 所示，第一列表示对应关系编号，第二列表示功能组件版本，第三列表示会话，第四列表示会话状态。

表 1

进一步地，所述接收报文之后，还可以包括:

当 ·艮文的标志位为结束连线 FIN或连线复位 RST时，如果所述>¾文所述会话为所述第二会话，则在所述对应关系中将所述 >¾文所属会话的会话状态设置为老化状态。

可选地，如果所述 4艮文所述会话为所述第一会话，则在所述对应关系中将所述报文所属会话的会话状态设置为老化状态。

具体地，如表 1所示，当发送的业务报文的标志位为结束连线 FIN或连线复位 RST时，且报文所属的会话为会话 1 , 将会话 1所对应的对应关系 1、 2中的会话状态设置为老化状态，此时如果没有其他的会话在使用 IPS功能组件版本 1进行检测，则由于使用 IPS功能组件版本 1进行检测的所有会话都已老化，因此将 IPS功能组件版本 1进行销毁，后续新建立的会话的报文，都使用 IPS功能组件版本 2和 AV功能组件版本 1进行检测。进一步地，所述方法还可以还包括：

若软件升级数据包中还包括至少一个第二功能组件的升级数据包，则生成新版本的第二功能组件，并在检测引擎中运行新版本的第二功能组件。

具体地，若软件升级数据包中还包括至少一个第二功能组件的升级数据包，如同时包括 IPS功能组件及 AV功能组件的升级数据包，则生成新版本的第一功能组件如 IPS功能组件版本 2以及生成新版本的第二功能组件如 AV功能组件版本 2, 并在检测引擎中运行新版本的第二功能组件；若软件升级数据包中还包括两个第二功能组件的升级数据包，如 AV功能组件以及 DLP功能组件的升级数据包，则生成两个新版本的第二功能组件如 AV功能组件版本 2 以及 DLP功能组件版本 2。

本实施例，通过建立并存储新版本的第一功能组件、第一会话以及第一会话的会话状态三者的对应关系，以供对所有所述第一会话是否老化进行判断，建立并存储旧版本的第一功能组件、第二会话以及第二会话的会话状态三者的对应关系，以供对所有所述第二会话是否老化进行判断；接收报文，根据报文的报文头确定报文属于第一会话的报文，或者属于第二会话的报文，若第一会话的报文，则应用新版本的第一功能组件进行检测，若属于第二会话的报文，则应用旧版本的第一功能组件进行检测，当报文的标志位为结束连线 FIN或连线复位 RST时，将报文所属会话的会话状态设置为老化状态，若软件升级数据包中还包括至少一个第二功能组件的升级数据包，则生成新版本的第二功能组件，并在检测引擎中运行新版本的第二功能组件，资源占用较小，升级效率高，实现了在下一代防火墙上检测引擎的各个功能组件的平滑升级且已有的业务流量的安全检测不受影响。

图 6为本发明防火墙设备中检测引擎的升级装置实施例一的结构示意图，如图 6所示，本实施例的装置 50可以包括：安装模块 501、检测模块 502和销毁模块 503 , 其中，安装模块 501用于根据所述检测引擎的软件升级数据包生成一个新版本的第一功能组件，并在所述检测引擎中运行所述新版本的第一功能组件；检测模块 502用于使用所述安装模块 501生成并运行的所述新版本的第一功能组件对第一会话进行检测，所述第一会话是指运行所述新版本的第一功能组件后与所述防火墙设备新建立的会话；所述检测模块 502, 还用于若存在至少一个第二会话，则使用旧版本的第一功能组件对所述第二会话的后续报文进行检测，直到所有所述第二会话老化为止，所述第二会话是指运行所述新版本的第一功能组件时已与所述防火墙设备建立的会话；销毁模块 503用于根据所述检测模块 502的触发，在所有所述第二会话老化后，销毁所述旧版本的第一功能组件。

本实施例的装置，可以用于执行图 1 所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再贅述。

图 7为本发明防火墙设备中检测引擎的升级装置实施例二的结构示意图，如图 7所示，本实施例的装置 50在图 5所示装置结构的基础上，进一步地，还可以包括：接收模块 504, 该接收模块 504用于接收报文，根据所述报文的报文头确定所述报文属于所述第一会话的报文，或者属于所述第二会话的报文；所述检测模块 502, 还用于若属于所述第一会话的报文，则应用所述新版本的第一功能组件进行检测；若属于所述第二会话的报文，则应用所述旧版本的第一功能组件进行检测。

进一步地，本实施例的装置，还可以包括：

存储模块 505, 该存储模块 505用于建立并存储旧版本的第一功能组件、所述第二会话以及所述第二会话的会话状态三者的对应关系，以供所述检测模块对所有所述第二会话是否老化进行判断。

可选地，该存储模块 505还可以用于建立并存储旧版本的第一功能组件、所述第一会话以及所述第一会话的会话状态三者的对应关系，以供所述检测模块对所有所述第一会话是否老化进行判断。

所述存储模块 505还用于：

当所述接收模块 504接收的所述报文的标志位为结束连线 FIN或连线复位 RST时，如果所述报文所属会话为所述第二会话，则在所述存储模块 505 存储的所述对应关系中将所述报文所属会话的会话状态设置为老化状态。

可选地，所述存储模块 505还用于：

当所述接收模块 504接收的所述报文的标志位为结束连线 FIN或连线复位 RST时，如果所述报文所属会话为所述第一会话，则在所述存储模块 505 存储的所述对应关系中将所述报文所属会话的会话状态设置为老化状态。

可选地，所述安装模块 501还用于：

本实施例的装置，可以用于执行方法实施例二的技术方案，其实现原理和技术效果类似，此处不再贅述。

图 8为本发明检测引擎的升级设备实施例一的结构示意图。如图 8所示，本实施例提供的检测引擎的升级设备 70包括总线 701、接收器 702、处理器 703和存储器 704。其中，总线 701用于连接接收器 702、处理器 703和存储器 704, 并传输信息；接收器 702用于接收报文，存储器 704存储执行指令，当检测引擎的升级设备 70运行时，处理器 703与存储器 704之间通信，处理器 703运行存储器 704中存储的代码，执行如下操作：

根据检测引擎的软件升级数据包生成一个新版本的第一功能组件，并在所述检测引擎中运行所述新版本的第一功能组件，用以使用所述新版本的第一功能组件对第一会话进行检测，所述第一会话是指运行所述新版本的第一功能组件后与所述防火墙设备新建立的会话；

优选地，所述若存在至少一个第二会话，则使用旧版本的第一功能组件对所述第二会话的后续报文进行检测，直到所有所述第二会话老化为止之前，所述存储器 704还用于：

建立并存储旧版本的第一功能组件、第二会话以及第二会话的会话状态三者的对应关系，以供对所有所述第二会话是否老化进行判断。

可选地，所述存储器 704还用于建立并存储新版本的第一功能组件、第一会话以及第一会话的会话状态三者的对应关系，以供对所有所述第一会话是否老化进行判断。

可选地，所述处理器 703还用于根据所述接收器 702所述报文的报文头确定所述报文属于所述第一会话的报文，或者属于所述第二会话的报文；若属于所述第一会话的报文，则应用所述新版本的第一功能组件进行检测；若属于所述第二会话的报文，则应用所述旧版本的第一功能组件进行检测。

可选地，所述处理器 703还用于当所述接收器 702接收的所述报文的标志位为结束连线 FIN或连线复位 RST时，如果所述报文所属会话为所述第二会话，则在所述对应关系中将所述报文所属会话的会话状态设置为老化状态。

可选地，所述处理器 703还用于：

当所述接收器 702接收的所述报文的标志位为结束连线 FIN或连线复位 RST 时，如果所述 ·艮文所属会话为所述第一会话，则在所述对应关系中将所述报文所属会话的会话状态设置为老化状态。

可选地，所述处理器 703还用于：

本实施例的设备，可以用于执行方法实施例的技术方案，其实现原理和技术效果类似，此处不再贅述。

在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）或处理器（processor )执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括： U盘、移动硬盘、只读存储器（Read-Only Memory, ROM ) 、随机存取存储器 ( Random Access Memory, RAM ) 、磁碟或者光盘等各种可以存储程序代码的介质。

本领域技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。上述描述的装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再贅述。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

权利要求

1、一种防火墙设备中检测引擎的升级方法，其特征在于，包括：根据所述检测引擎的软件升级数据包生成一个新版本的第一功能组件 , 并在所述检测引擎中运行所述新版本的第一功能组件，用以使用所述新版本的第一功能组件对第一会话进行检测，所述第一会话是指运行所述新版本的第一功能组件后与所述防火墙设备新建立的会话；

2、根据权利要求 1所述的方法，其特征在于，所述在所述检测引擎中运行所述新版本的第一功能组件之后，还包括：

3、根据权利要求 2所述的方法，其特征在于，所述若存在至少一个第二会话，则使用旧版本的第一功能组件对所述第二会话的后续报文进行检测，直到所有所述第二会话老化为止之前，还包括：

4、根据权利要求 3所述的方法，其特征在于，所述接收报文之后，还包括：

5、根据权利要求 1至 4中任一所述的方法，其特征在于，还包括：若所述软件升级数据包中还包括至少一个第二功能组件的升级数据包，则生成新版本的第二功能组件，并在所述检测引擎中运行所述新版本的第二功能组件。

6、一种防火墙设备中检测引擎的升级装置，其特征在于，包括：安装模块，用于根据所述检测引擎的软件升级数据包生成一个新版本的第一功能组件，并在所述检测引擎中运行所述新版本的第一功能组件；

销毁模块，用于根据所述检测模块的触发，在所有所述第二会话老化后，销毁所述旧版本的第一功能组件。

7、根据权利要求 6所述的装置，其特征在于，所述装置还包括：接收模块，用于接收报文，根据所述报文的报文头确定所述报文属于所述第一会话的报文，或者属于所述第二会话的报文；

8、根据权利要求 7所述的装置，其特征在于，所述装置还包括：存储模块，用于建立并存储旧版本的第一功能组件、所述第二会话以及所述第二会话的会话状态三者的对应关系，以供所述检测模块对所有所述第二会话是否老化进行判断。

9、根据权利要求 8所述的装置，其特征在于，所述存储模块还用于：当所述接收模块接收的所述报文的标志位为 FIN或 RST时，如果所述报文所属会话为所述第二会话，则在所述对应关系中将所述 "¾文所属会话的会话状态设置为老化状态。

10、根据权利要求 6至 9中任一所述的装置，其特征在于，所述安装模块还用于：