CN106789863A - 一种匹配规则升级方法及装置 - Google Patents
一种匹配规则升级方法及装置 Download PDFInfo
- Publication number
- CN106789863A CN106789863A CN201610265811.3A CN201610265811A CN106789863A CN 106789863 A CN106789863 A CN 106789863A CN 201610265811 A CN201610265811 A CN 201610265811A CN 106789863 A CN106789863 A CN 106789863A
- Authority
- CN
- China
- Prior art keywords
- matched rule
- upgrading message
- rule
- memory consumption
- predetermined threshold
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种匹配规则升级方法及装置,应用于分布式防火墙的任一业务板,所述方法包括:接收主用主控板发送的第一匹配规则升级消息;判断自身当前的内存消耗量是否大于预定阈值;如果是,忽略所述第一匹配规则升级消息,并按照设定的时间间隔检测自身当前的内存消耗量是否大于预定阈值,当检测到自身当前的内存消耗量不大于预定阈值时,向所述主用主控板发送获取匹配规则的请求,接收所述主用主控板发送的第二匹配规则升级消息,删除本地保存的原有匹配规则,并保存所述第二匹配规则升级消息中包含的匹配规则;如果否,删除本地保存的原有匹配规则,并保存接收到的所述匹配规则。本发明实施例能够保证各业务板都正常地进行流量检测。
Description
技术领域
本发明涉及计算机防御技术领域,特别是涉及一种匹配规则升级方法及装置。
背景技术
防火墙一般部署在大中型企业的网络出口、企业内部网络间或者数据中心的出口,对外网访问内网的流量进行检测实现保护内网安全的目的,对内网访问外网的流量进行检测实现企业敏感信息的控制。例如,防火墙可以根据用户配置以及预定义的特征库中携带的匹配规则进行流量检测,实现流量的识别和控制功能。
实际应用中,出于高可用性的考虑,一般会部署分布式防火墙。分布式防火墙通常包括多个主控板和多个业务板,其中,多个主控板中可以包括一个主用主控板和多个备用主控板。主用主控板是整个防火墙的控制中心,由其对各主控板和业务板实现控制功能和表项同步功能。
在实际应用中,分布式防火墙的各主控板和业务板可以保存同样的匹配规则,以根据该匹配规则进行流量检测。并且,为了提高流量检测的准确性,各主控板和业务板中保存的匹配规则可以进行升级。
现有的匹配规则升级方法,主用主控板可以首先从指定服务器下载特征库文件,并解析特征库文件得到最新的匹配规则,并且可以将最新的匹配规则发送给各业务板。各业务板接收到主用主控板发送的匹配规则后,首先删除本地原有的匹配规则,然后保存最新的匹配规则。进而完成匹配规则的升级,从而各业务板可以使用最新的匹配规则继续后续的流量检测。
在实际应用中,对于分布式防火墙来说,流量经过哪个业务板是不确定的,因此,各个业务板的流量压力是不同的,也就是说,可能存在有的业务板流量压力较小,而有的业务板流量压力较大的情况。因此,当各业务板接收到主用主控板发送的最新的匹配规则,将原有的匹配规则删除,进行匹配规则升级时,对于流量压力较大的业务板来说,其可能由于内存不足等原因,不能正确保存最新的匹配规则,从而导致该业务板匹配规则升级失败。并且由于其删除了原有的匹配规则,后续就也无法正常的进行流量检测了。
发明内容
本发明实施例的目的在于提供一种匹配规则升级方法及装置,以保证各业务板都成功地完成匹配规则的升级,进而保证各业务板都正常地进行流量检测。具体技术方案如下:
第一方面,本发明实施例提供了一种匹配规则升级方法,应用于分布式防火墙的任一业务板,所述方法包括:
接收主用主控板发送的第一匹配规则升级消息,其中,所述第一匹配规则升级消息中包括匹配规则;
判断自身当前的内存消耗量是否大于预定阈值;
如果是,忽略所述第一匹配规则升级消息,并按照设定的时间间隔检测自身当前的内存消耗量是否大于预定阈值,当检测到自身当前的内存消耗量不大于预定阈值时,向所述主用主控板发送获取匹配规则的请求,接收所述主用主控板发送的第二匹配规则升级消息,删除本地保存的原有匹配规则,并保存所述第二匹配规则升级消息中包含的匹配规则;
如果否,删除本地保存的原有匹配规则,并保存接收到的所述第一匹配规则升级消息中包含的匹配规则。
第二方面,本发明实施例提供了一种匹配规则升级方法,应用于分布式防火墙的主用主控板,所述方法包括:
获取匹配规则;
向各业务板发送第一匹配规则升级消息,其中,所述匹配规则升级消息中包括所述匹配规则;
当接收到任一业务板发送的获取所述匹配规则的请求时,向该业务板发送包含所述匹配规则的第二匹配规则升级消息,其中,所述获取所述匹配规则的请求是所述任一业务板接收到所述第一匹配规则升级消息时判断自身当前的内存消耗量大于预定阈值后,按照设定的时间间隔检测自身当前的内存消耗量是否大于预定阈值,当检测到自身当前的内存消耗量不大于预定阈值时发送的。
第三方面,本发明实施例提供了一种匹配规则升级装置,应用于分布式防火墙的任一业务板,所述装置包括:
接收模块,用于接收主用主控板发送的第一匹配规则升级消息,其中,所述第一匹配规则升级消息中包括匹配规则;
判断模块,用于判断自身当前的内存消耗量是否大于预定阈值;
第一处理模块,用于当所述判断模块判断结果为是时,忽略所述第一匹配规则升级消息,并按照设定的时间间隔检测自身当前的内存消耗量是否大于预定阈值,当检测到自身当前的内存消耗量不大于预定阈值时,向所述主用主控板发送获取匹配规则的请求,接收所述主用主控板发送的第二匹配规则升级消息,删除本地保存的原有匹配规则,并保存所述第二匹配规则升级消息中包含的匹配规则;
第二处理模块,用于当所述判断模块判断结果为否时,删除本地保存的原有匹配规则,并保存接收到的所述第一匹配规则升级消息中包含的匹配规则。
第四方面,本发明实施例提供了一种匹配规则升级装置,应用于分布式防火墙的主用主控板,所述装置包括:
获取模块,用于获取匹配规则;
第一发送模块,用于向各业务板发送第一匹配规则升级消息,其中,所述匹配规则升级消息中包括所述匹配规则;
第二发送模块,用于当接收到任一业务板发送的获取所述匹配规则的请求时,向该业务板发送包含所述匹配规则的第二匹配规则升级消息,其中,所述获取所述匹配规则的请求是所述任一业务板接收到所述第一匹配规则升级消息时判断自身当前的内存消耗量大于预定阈值后,按照设定的时间间隔检测自身当前的内存消耗量是否大于预定阈值,当检测到自身当前的内存消耗量不大于预定阈值时发送的。
本发明实施例提供了一种匹配规则升级方法及装置,各业务板能够根据自身当前的内存消耗量决定是否进行匹配规则升级,当自身当前的内存消耗量大于预定阈值时,该业务板可能不能成功地保存匹配规则,这种情况下,该业务板可以暂不进行匹配规则升级,并周期性地检测自身当前的内存消耗量,当检测到到自身当前的内存消耗量小于或等于预定阈值时,再进行匹配规则的升级,能够保证各业务板都成功地完成匹配规则的升级,进而保证各业务板都正常地进行流量检测。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种匹配规则升级方法的流程图;
图2为本发明实施例提供的另一种匹配规则升级方法的流程图;
图3为本发明实施例提供的一种匹配规则升级装置的结构示意图;
图4为本发明实施例提供的另一种匹配规则升级装置的结构示意图;
图5(a)、5(b)为本发明实施例提供的匹配规则升级过程。
具体实施方式
为了保证各业务板都成功地完成匹配规则的升级,进而保证各业务板都正常地进行流量检测,本发明实施例提供了一种匹配规则升级方法及装置。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
为了保证各业务板都成功地完成匹配规则的升级,进而保证各业务板都正常地进行流量检测,本发明实施例提供了一种匹配规则升级方法过程,该过程包括以下步骤:
S101,接收主用主控板发送的第一匹配规则升级消息,其中,所述第一匹配规则升级消息中包括匹配规则。
本实施例提供的方法可以应用于分布式防火墙的任一业务板,在本发明实施例中,为了便于描述,可以将进行匹配规则升级的业务板称为目标业务板。
在实际应用中,分布式防火墙中的各业务板都可以进行匹配规则的升级。具体地,各业务板可以接收主用主控板发送的匹配规则,并使用该匹配规则替换本地保存的原有匹配规则,从而完成匹配规则的升级。
在本发明实施例中,目标业务板可以接收主用主控板发送的第一匹配规则升级消息,其中,该第一匹配规则升级消息中可以包括匹配规则,以使目标业务板可以根据该匹配规则,进行匹配规则的升级。
S102,判断自身当前的内存消耗量是否大于预定阈值;如果是,执行步骤S103;否则,执行步骤S104。
在本发明实施例中,当目标业务板接收到主用主控板发送的第一匹配规则升级消息时,其可以判断自身当前的内存消耗量是否大于预定阈值,如70%、80%、85%等,以根据判断结果,执行对应的操作。
具体地,目标业务板可以获得自身当前的内存消耗量,并将获得的内存消耗量与预定阈值进行比较,以确定自身当前的内存消耗量是否大于该预定阈值。
在本发明实施例中,目标业务板获得自身当前的内存消耗量的过程可以采用现有技术,本发明实施例对此过程不进行赘述。
S103,忽略所述第一匹配规则升级消息,并按照设定的时间间隔检测自身当前的内存消耗量是否大于预定阈值,当检测到自身当前的内存消耗量不大于预定阈值时,向所述主用主控板发送获取匹配规则的请求,接收所述主用主控板发送的第二匹配规则升级消息,删除本地保存的原有匹配规则,并保存所述第二匹配规则升级消息中包含的匹配规则。
当目标业务板判断得到自身当前的内存消耗量大于预定阈值时,若目标业务板立刻进行匹配规则的升级,可能会由于内存不足等原因,不能正确保存匹配规则,从而导致目标业务板匹配规则升级失败,进一步地,导致该目标业务板不能进行正常的流量检测。
因此,在本发明实施例中,当目标业务板判断得到自身当前的内存消耗量大于预定阈值时,其可以忽略该第一匹配规则升级消息。也就是说,目标业务板不立刻使用第一匹配规则升级消息中包含的匹配规则替换本地保存的原有匹配规则,进行匹配规则的升级。
目标业务板在忽略第一匹配规则升级消息后,其可以按照设定的时间间隔,如1秒、2秒、3秒等,检测自身当前的内存消耗量是否大于预定阈值。当检测到自身当前的内存消耗量不大于预定阈值时,目标业务板可能就能正确的保存匹配规则,来进行匹配规则的升级了。
具体地,目标业务板可以向主用主控板发送获取匹配规则的请求,以再次获得匹配规则,来进行自身匹配规则的升级。
在本发明实施例中,当主用主控板接收到目标业务板发送的获取匹配规则的请求后,其可以向目标业务板发送第二匹配规则升级消息,其中,该第二匹配规则升级消息中可以包含匹配规则。
因此,目标业务板可以接收主用主控板发送的第二匹配规则升级消息,删除本地保存的原有匹配规则,并保存该第二匹配规则升级消息中包含的匹配规则,从而完成自身匹配规则的升级。
S104,删除本地保存的原有匹配规则,并保存接收到的所述第一匹配规则升级消息中包含的匹配规则。
当目标业务板判断得到自身当前的内存消耗量小于或等于预定阈值时,可以表明目标业务板当前比较空闲,其有足够的内存来进行匹配规则的升级。这种情况下,目标业务板可以直接进行匹配规则的升级。
具体地,目标业务板可以删除本地保存的原有匹配规则,并保存接收到的第一匹配规则升级消息中包含的匹配规则,从而完成匹配规则的升级。
本发明实施例提供了一种匹配规则升级方法,各业务板能够根据自身当前的内存消耗量决定是否进行匹配规则升级,当自身当前的内存消耗量大于预定阈值时,该业务板可能不能成功地保存匹配规则,这种情况下,该业务板可以暂不进行匹配规则升级,并周期性地检测自身当前的内存消耗量,当检测到到自身当前的内存消耗量小于或等于预定阈值时,再进行匹配规则的升级,能够保证各业务板都成功地完成匹配规则的升级,进而保证各业务板都正常地进行流量检测。
进一步地,在本发明实施例中,为了使目标业务板更加准确地进行匹配规则升级,当目标业务板接收到第一匹配规则升级消息,判断得到自身当前的内存消耗量大于预定阈值,忽略该第一匹配规则升级消息时,其可以根据该第一匹配规则升级消息,记录发生过匹配规则升级事件。
并且,当其检测到自身当前的内存消耗量不大于预定阈值时,可以同时检测是否发生过匹配规则升级请求,如果是,则向主用主控板发送获取匹配规则的请求。
可以理解,在其他触发条件下,目标业务板也可能会进行自身当前内存消耗量的检测。因此,通过记录发生过匹配规则升级事件,当目标业务板检测到自身当前的内存消耗量不大于预定阈值,且检测到发生过匹配规则升级事件时,才向主用主控板发送获取匹配规则的请求,能够提高匹配规则升级的准确性,避免了主用主控板未向目标业务板发送第一匹配规则升级消息的情况下,目标业务板向主用主控板发送获取匹配规则的请求。
进一步地,在本发明实施例中,主用主控板向目标业务板发送的第一匹配规则升级消息中包含的匹配规则,可以是主用主控板解析从指定服务器下载的特征库文件得到的。
进一步地,本发明实施例还提供了另一种匹配规则升级方法,应用于分布式防火墙的主用主控板,该过程包括以下步骤:
S201,获取匹配规则。
在本发明实施例中,分布式防火墙中的主用主控板可以获取匹配规则,以完成自身以及该分布式防火墙中各业务板的匹配规则升级。
具体地,主用主控板可以从指定服务器下载特征库文件,并解析该特征库文件,获得该特征库文件中包括的匹配规则。
S202,向各业务板发送第一匹配规则升级消息,其中,所述匹配规则升级消息中包括所述匹配规则。
当主用主控板获得匹配规则后,其可以向各业务板发送第一匹配规则升级消息,其中,该匹配规则升级消息中包括该匹配规则,以使各业务板根据该匹配规则,完成自身的匹配规则的升级。
具体地,主用主控板可以通过组播方式,将第一匹配规则升级消息发送给各业务板。
S203,当接收到任一业务板发送的获取所述匹配规则的请求时,向该业务板发送包含所述匹配规则的第二匹配规则升级消息,其中,所述获取所述匹配规则的请求是所述任一业务板接收到所述第一匹配规则升级消息时判断自身当前的内存消耗量大于预定阈值后,按照设定的时间间隔检测自身当前的内存消耗量是否大于预定阈值,当检测到自身当前的内存消耗量不大于预定阈值时发送的。
在本发明实施例中,为了保证各业务板都成功地完成匹配规则的升级,进而保证各业务板都正常地进行流量检测,各业务板接收到主用主控板发送的第一匹配规则升级消息时,可以判断自身当前的内存消耗量是否大于预定阈值。如果是,该业务板可以忽略第一匹配规则升级消息,并按照设定的时间间隔,如1秒、2秒、3秒等,检测自身当前的内存消耗量是否大于预定阈值。
当检测到自身当前的内存消耗量不大于预定阈值时,该业务板可以向主用主控板发送获取匹配规则的请求,以再次获得匹配规则,来进行自身匹配规则的升级。
在本发明实施例中,当主用主控板接收到任一业务板发送的获取匹配规则的请求后,其可以向该业务板发送第二匹配规则升级消息,其中,该第二匹配规则升级消息中可以包含匹配规则。
从而,该业务板可以接收主用主控板发送的第二匹配规则升级消息,删除本地保存的原有匹配规则,并保存该第二匹配规则升级消息中包含的匹配规则,完成自身匹配规则的升级。
本发明实施例提供了一种匹配规则升级方法,各业务板能够根据自身当前的内存消耗量决定是否进行匹配规则升级,当自身当前的内存消耗量大于预定阈值时,该业务板可能不能成功地保存匹配规则,这种情况下,该业务板可以暂不进行匹配规则升级,并周期性地检测自身当前的内存消耗量,当检测到到自身当前的内存消耗量小于或等于预定阈值时,再进行匹配规则的升级,能够保证各业务板都成功地完成匹配规则的升级,进而保证各业务板都正常地进行流量检测。
进一步地,在本发明实施例中,主用主控板还可以将第一匹配规则升级消息发送给各备用主控板,以使各备用主控板升级自身保存的匹配规则。
可以理解,在实际应用中,可能出现主备倒换的情况。即分布式防火墙的主用主控板可能由于故障或用户输入等原因导致重启,这种情况下,一个备用主控板就会快速升级为新的主用主控板,来控制整个防火墙继续正常运行。
因此,当主用主控板进行匹配规则升级时,将匹配规则发送给各备用主控板,以使各备用主控板升级自身保存的匹配规则,当发生主备倒换后,能够保证新的主用主控板中保存的也是升级后的匹配规则,从而保证分布式防火墙的流量检测业务的正常进行。
相应于上面的方法实施例,本发明实施例还提供了相应的装置实施例。
图3为本发明实施例提供的一种匹配规则升级装置,应用于分布式防火墙的任一业务板,所述装置包括:
接收模块310,用于接收主用主控板发送的第一匹配规则升级消息,其中,所述第一匹配规则升级消息中包括匹配规则;
判断模块320,用于判断自身当前的内存消耗量是否大于预定阈值;
第一处理模块330,用于当所述判断模块320判断结果为是时,忽略所述第一匹配规则升级消息,并按照设定的时间间隔检测自身当前的内存消耗量是否大于预定阈值,当检测到自身当前的内存消耗量不大于预定阈值时,向所述主用主控板发送获取匹配规则的请求,接收所述主用主控板发送的第二匹配规则升级消息,删除本地保存的原有匹配规则,并保存所述第二匹配规则升级消息中包含的匹配规则;
第二处理模块340,用于当所述判断模块320判断结果为否时,删除本地保存的原有匹配规则,并保存接收到的所述第一匹配规则升级消息中包含的匹配规则。
本发明实施例提供了一种匹配规则升级装置,各业务板能够根据自身当前的内存消耗量决定是否进行匹配规则升级,当自身当前的内存消耗量大于预定阈值时,该业务板可能不能成功地保存匹配规则,这种情况下,该业务板可以暂不进行匹配规则升级,并周期性地检测自身当前的内存消耗量,当检测到到自身当前的内存消耗量小于或等于预定阈值时,再进行匹配规则的升级,能够保证各业务板都成功地完成匹配规则的升级,进而保证各业务板都正常地进行流量检测。
进一步地,所述装置还包括:
记录模块(图中未示出),用于根据所述第一匹配规则升级消息,记录发生过匹配规则升级事件;
所述第一处理模块330,具体用于当检测到自身当前的内存消耗量不大于预定阈值,且检测到发生过匹配规则升级事件时,向所述主用主控板发送获取匹配规则的请求。
进一步地,所述匹配规则是所述主用主控板解析从指定服务器下载的特征库文件得到的。
图4为本发明实施例提供的另一种匹配规则升级装置,应用于分布式防火墙的主用主控板,所述装置包括:
获取模块410,用于获取匹配规则;
第一发送模块420,用于向各业务板发送第一匹配规则升级消息,其中,所述匹配规则升级消息中包括所述匹配规则;
第二发送模块430,用于当接收到任一业务板发送的获取所述匹配规则的请求时,向该业务板发送包含所述匹配规则的第二匹配规则升级消息,其中,所述获取所述匹配规则的请求是所述任一业务板接收到所述第一匹配规则升级消息时判断自身当前的内存消耗量大于预定阈值后,按照设定的时间间隔检测自身当前的内存消耗量是否大于预定阈值,当检测到自身当前的内存消耗量不大于预定阈值时发送的。
本发明实施例提供了一种匹配规则升级装置,各业务板能够根据自身当前的内存消耗量决定是否进行匹配规则升级,当自身当前的内存消耗量大于预定阈值时,该业务板可能不能成功地保存匹配规则,这种情况下,该业务板可以暂不进行匹配规则升级,并周期性地检测自身当前的内存消耗量,当检测到到自身当前的内存消耗量小于或等于预定阈值时,再进行匹配规则的升级,能够保证各业务板都成功地完成匹配规则的升级,进而保证各业务板都正常地进行流量检测。
进一步地,所述第一发送模块420,具体用于通过组播方式,将所述第一匹配规则升级消息发送给各业务板。
进一步地,所述获取模块410包括:
下载子模块(图中未示出),用于从指定服务器下载特征库文件;
解析子模块(图中未示出),用于解析所述特征库文件,获得所述特征库文件中包括的所述匹配规则。
进一步地,所述装置还包括:
第三发送模块(图中未示出),用于将所述第一匹配规则升级消息发送给各备用主控板,以使各备用主控板升级自身保存的匹配规则。
下面结合一个具体的实施例对本发明提供的匹配规则升级过程进行详细的说明。
如图5(a)所示,本实施例的分布式防火墙可以包括主用主控板、备用主控板、以及多个业务板(业务板1、业务板2…业务板n)。在本实施例中,以业务板1和业务板2进行匹配规则升级为例来说明本发明实施例的匹配规则升级过程。
如图5(b)所示,主用主控板可以从指定服务器下载特征库文件,并解析该特征库文件,获取该特征库文件包括的匹配规则。
然后,主用主控板可以向第一业务板和第二业务板发送第一匹配规则升级消息,该第一匹配规则升级消息中包含其获取的匹配规则。
业务板1接收到第一匹配规则升级消息后,判断得到自身当前内存消耗量大于预定阈值,因此,其忽略该第一匹配规则升级消息,并周期性地检测自身当前的内存消耗量,当检测到自身当前的内存消耗量不大于预定阈值时,业务板1可以向主用主控板发送获取匹配规则的请求。
主用主控板接收到业务板1发送的获取匹配规则的请求后,可以向业务板1发送第二匹配规则升级消息,该第二匹配规则升级消息中包含其获取的匹配规则。
业务板1接收到第二匹配规则升级消息后,可以删除本地保存的原有匹配规则,并保存第二匹配规则升级消息中包含的匹配规则,从而完成自身匹配规则的升级。
业务板2接收到第一匹配规则升级消息后,判断得到自身当前内存消耗量不大于预定阈值,因此,其可以直接进行匹配规则的升级。即业务板2可以删除本地保存的原有匹配规则,并保存第一匹配规则升级消息中包含的匹配规则,从而完成自身匹配规则的升级。
本发明实施例提供了一种匹配规则升级方法及装置,各业务板能够根据自身当前的内存消耗量决定是否进行匹配规则升级,当自身当前的内存消耗量大于预定阈值时,该业务板可能不能成功地保存匹配规则,这种情况下,该业务板可以暂不进行匹配规则升级,并周期性地检测自身当前的内存消耗量,当检测到到自身当前的内存消耗量小于或等于预定阈值时,再进行匹配规则的升级,能够保证各业务板都成功地完成匹配规则的升级,进而保证各业务板都正常地进行流量检测。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (14)
1.一种匹配规则升级方法,其特征在于,应用于分布式防火墙的任一业务板,所述方法包括:
接收主用主控板发送的第一匹配规则升级消息,其中,所述第一匹配规则升级消息中包括匹配规则;
判断自身当前的内存消耗量是否大于预定阈值;
如果是,忽略所述第一匹配规则升级消息,并按照设定的时间间隔检测自身当前的内存消耗量是否大于预定阈值,当检测到自身当前的内存消耗量不大于预定阈值时,向所述主用主控板发送获取匹配规则的请求,接收所述主用主控板发送的第二匹配规则升级消息,删除本地保存的原有匹配规则,并保存所述第二匹配规则升级消息中包含的匹配规则;
如果否,删除本地保存的原有匹配规则,并保存接收到的所述第一匹配规则升级消息中包含的匹配规则。
2.根据权利要求1所述的方法,其特征在于,所述忽略所述第一匹配规则升级消息后,所述方法还包括:
根据所述第一匹配规则升级消息,记录发生过匹配规则升级事件;
所述当检测到自身当前的内存消耗量不大于预定阈值时,向所述主用主控板发送获取匹配规则的请求包括:
当检测到自身当前的内存消耗量不大于预定阈值,且检测到发生过匹配规则升级事件时,向所述主用主控板发送获取匹配规则的请求。
3.根据权利要求1或2所述的方法,其特征在于,所述匹配规则是所述主用主控板解析从指定服务器下载的特征库文件得到的。
4.一种匹配规则升级方法,其特征在于,应用于分布式防火墙的主用主控板,所述方法包括:
获取匹配规则;
向各业务板发送第一匹配规则升级消息,其中,所述匹配规则升级消息中包括所述匹配规则;
当接收到任一业务板发送的获取所述匹配规则的请求时,向该业务板发送包含所述匹配规则的第二匹配规则升级消息,其中,所述获取所述匹配规则的请求是所述任一业务板接收到所述第一匹配规则升级消息时判断自身当前的内存消耗量大于预定阈值后,按照设定的时间间隔检测自身当前的内存消耗量是否大于预定阈值,当检测到自身当前的内存消耗量不大于预定阈值时发送的。
5.根据权利要求4所述的方法,其特征在于,所述向各业务板发送第一匹配规则升级消息包括:
通过组播方式,将所述第一匹配规则升级消息发送给各业务板。
6.根据权利要求4或5所述的方法,其特征在于,所述获取匹配规则包括:
从指定服务器下载特征库文件;
解析所述特征库文件,获得所述特征库文件中包括的所述匹配规则。
7.根据权利要求4或5所述的方法,其特征在于,所述方法还包括:
将所述第一匹配规则升级消息发送给各备用主控板,以使各备用主控板升级自身保存的匹配规则。
8.一种匹配规则升级装置,其特征在于,应用于分布式防火墙的任一业务板,所述装置包括:
接收模块,用于接收主用主控板发送的第一匹配规则升级消息,其中,所述第一匹配规则升级消息中包括匹配规则;
判断模块,用于判断自身当前的内存消耗量是否大于预定阈值;
第一处理模块,用于当所述判断模块判断结果为是时,忽略所述第一匹配规则升级消息,并按照设定的时间间隔检测自身当前的内存消耗量是否大于预定阈值,当检测到自身当前的内存消耗量不大于预定阈值时,向所述主用主控板发送获取匹配规则的请求,接收所述主用主控板发送的第二匹配规则升级消息,删除本地保存的原有匹配规则,并保存所述第二匹配规则升级消息中包含的匹配规则;
第二处理模块,用于当所述判断模块判断结果为否时,删除本地保存的原有匹配规则,并保存接收到的所述第一匹配规则升级消息中包含的匹配规则。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
记录模块,用于根据所述第一匹配规则升级消息,记录发生过匹配规则升级事件;
所述第一处理模块,具体用于当检测到自身当前的内存消耗量不大于预定阈值,且检测到发生过匹配规则升级事件时,向所述主用主控板发送获取匹配规则的请求。
10.根据权利要求8或9所述的装置,其特征在于,所述匹配规则是所述主用主控板解析从指定服务器下载的特征库文件得到的。
11.一种匹配规则升级装置,其特征在于,应用于分布式防火墙的主用主控板,所述装置包括:
获取模块,用于获取匹配规则;
第一发送模块,用于向各业务板发送第一匹配规则升级消息,其中,所述匹配规则升级消息中包括所述匹配规则;
第二发送模块,用于当接收到任一业务板发送的获取所述匹配规则的请求时,向该业务板发送包含所述匹配规则的第二匹配规则升级消息,其中,所述获取所述匹配规则的请求是所述任一业务板接收到所述第一匹配规则升级消息时判断自身当前的内存消耗量大于预定阈值后,按照设定的时间间隔检测自身当前的内存消耗量是否大于预定阈值,当检测到自身当前的内存消耗量不大于预定阈值时发送的。
12.根据权利要求11所述的装置,其特征在于,所述第一发送模块,具体用于通过组播方式,将所述第一匹配规则升级消息发送给各业务板。
13.根据权利要求11或12所述的装置,其特征在于,所述获取模块包括:
下载子模块,用于从指定服务器下载特征库文件;
解析子模块,用于解析所述特征库文件,获得所述特征库文件中包括的所述匹配规则。
14.根据权利要求11或12所述的装置,其特征在于,所述装置还包括:
第三发送模块,用于将所述第一匹配规则升级消息发送给各备用主控板,以使各备用主控板升级自身保存的匹配规则。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610265811.3A CN106789863B (zh) | 2016-04-25 | 2016-04-25 | 一种匹配规则升级方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610265811.3A CN106789863B (zh) | 2016-04-25 | 2016-04-25 | 一种匹配规则升级方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106789863A true CN106789863A (zh) | 2017-05-31 |
| CN106789863B CN106789863B (zh) | 2020-06-26 |
Family
ID=58972186
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610265811.3A Active CN106789863B (zh) | 2016-04-25 | 2016-04-25 | 一种匹配规则升级方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106789863B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110162314A (zh) * | 2018-02-12 | 2019-08-23 | 华为技术有限公司 | 一种软件升级管理的方法、服务器、终端、装置及存储介质 |
| CN113965367A (zh) * | 2021-10-15 | 2022-01-21 | 杭州安恒信息技术股份有限公司 | 策略对象上限控制方法、系统、计算机及存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101719105A (zh) * | 2009-12-31 | 2010-06-02 | 中国科学院计算技术研究所 | 一种多核系统中对内存访问的优化方法和系统 |
| CN101753362A (zh) * | 2010-02-10 | 2010-06-23 | 中兴通讯股份有限公司 | 分布式网络设备中堆叠虚拟局域网的配置方法及装置 |
| CN101930375A (zh) * | 2010-08-26 | 2010-12-29 | 深圳市共进电子有限公司 | 单用户光网络单元中内存空间自适应的程序数据升级方法 |
| US20100333165A1 (en) * | 2009-06-24 | 2010-12-30 | Vmware, Inc. | Firewall configured with dynamic membership sets representing machine attributes |
| CN102594620A (zh) * | 2012-02-20 | 2012-07-18 | 南京邮电大学 | 一种基于行为描述的可联动分布式网络入侵检测方法 |
| CN103631937A (zh) * | 2013-12-06 | 2014-03-12 | 北京趣拿信息技术有限公司 | 构建列存储索引的方法、装置及系统 |
| CN104320475A (zh) * | 2014-10-31 | 2015-01-28 | 杭州华三通信技术有限公司 | 一种设备升级方法及装置 |
| CN104424116A (zh) * | 2013-08-19 | 2015-03-18 | 中国科学院声学研究所 | 一种嵌入式浏览器磁盘缓存的方法及系统 |
| US9098434B2 (en) * | 2012-09-11 | 2015-08-04 | Ciena Corporation | Load balancing systems and methods of MAC learning in multi-slot architectures |
-
2016
- 2016-04-25 CN CN201610265811.3A patent/CN106789863B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100333165A1 (en) * | 2009-06-24 | 2010-12-30 | Vmware, Inc. | Firewall configured with dynamic membership sets representing machine attributes |
| CN101719105A (zh) * | 2009-12-31 | 2010-06-02 | 中国科学院计算技术研究所 | 一种多核系统中对内存访问的优化方法和系统 |
| CN101753362A (zh) * | 2010-02-10 | 2010-06-23 | 中兴通讯股份有限公司 | 分布式网络设备中堆叠虚拟局域网的配置方法及装置 |
| CN101930375A (zh) * | 2010-08-26 | 2010-12-29 | 深圳市共进电子有限公司 | 单用户光网络单元中内存空间自适应的程序数据升级方法 |
| CN102594620A (zh) * | 2012-02-20 | 2012-07-18 | 南京邮电大学 | 一种基于行为描述的可联动分布式网络入侵检测方法 |
| US9098434B2 (en) * | 2012-09-11 | 2015-08-04 | Ciena Corporation | Load balancing systems and methods of MAC learning in multi-slot architectures |
| CN104424116A (zh) * | 2013-08-19 | 2015-03-18 | 中国科学院声学研究所 | 一种嵌入式浏览器磁盘缓存的方法及系统 |
| CN103631937A (zh) * | 2013-12-06 | 2014-03-12 | 北京趣拿信息技术有限公司 | 构建列存储索引的方法、装置及系统 |
| CN104320475A (zh) * | 2014-10-31 | 2015-01-28 | 杭州华三通信技术有限公司 | 一种设备升级方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 王震: "透析分布式防火墙架构", 《信息安全与技术》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110162314A (zh) * | 2018-02-12 | 2019-08-23 | 华为技术有限公司 | 一种软件升级管理的方法、服务器、终端、装置及存储介质 |
| US11645063B2 (en) | 2018-02-12 | 2023-05-09 | Huawei Cloud Computing Technologies Co., Ltd. | Software upgrade management method, server, terminal, apparatus, and storage medium |
| US11809855B2 (en) | 2018-02-12 | 2023-11-07 | Huawei Cloud Computing Technologies Co., Ltd. | Software upgrade management method, server, terminal, apparatus, and storage medium |
| CN113965367A (zh) * | 2021-10-15 | 2022-01-21 | 杭州安恒信息技术股份有限公司 | 策略对象上限控制方法、系统、计算机及存储介质 |
| CN113965367B (zh) * | 2021-10-15 | 2024-05-28 | 杭州安恒信息技术股份有限公司 | 策略对象上限控制方法、系统、计算机及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106789863B (zh) | 2020-06-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101337874B1 (ko) | 파일 유전자 지도를 이용하여 파일의 악성코드 포함 여부를 판단하는 방법 및 시스템 | |
| CN106484606A (zh) | 一种代码提交方法和设备 | |
| US8813229B2 (en) | Apparatus, system, and method for preventing infection by malicious code | |
| US10331439B2 (en) | Source code transfer control method, computer program therefor, and recording medium therefor | |
| CN105095769A (zh) | 一种信息服务软件漏洞检测方法 | |
| US20200202005A1 (en) | Automated Software Vulnerability Determination | |
| CN107844409A (zh) | 测试用例执行方法和装置 | |
| CN107589951A (zh) | 一种集群升级方法及装置 | |
| US10635575B2 (en) | Testing of enterprise resource planning systems | |
| CN106789863A (zh) | 一种匹配规则升级方法及装置 | |
| CN107819758A (zh) | 一种网络摄像头漏洞远程检测方法及装置 | |
| CN108874652A (zh) | 用于软件自测评估的方法、装置及电子设备 | |
| CN111966630B (zh) | 文件类型的检测方法、装置、设备和介质 | |
| CN111309584A (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| CN115167896A (zh) | 一种更新软件版本的方法、装置、存储介质及电子设备 | |
| CN116302964A (zh) | 一种软件系统的安全测试方法、测试设备及介质 | |
| KR101990998B1 (ko) | 폰트 저작권 보호 시스템 및 방법 | |
| CN115809466A (zh) | 基于stride模型的安全需求生成方法、装置、电子设备及介质 | |
| CN115499240A (zh) | 一种数据处理方法、装置、设备及介质 | |
| CN108021951A (zh) | 一种文档检测的方法、服务器及计算机可读存储介质 | |
| CN112464103B (zh) | 业务处理方法、装置、服务器及存储介质 | |
| CN109165127B (zh) | 问题接口的定位方法、装置及电子设备 | |
| CN111324524B (zh) | 一种广告的稳定性测试方法及装置 | |
| CN104050191A (zh) | 对推广信息进行监控的方法和设备 | |
| CN114422234B (zh) | 一种waf规则加载方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |