一种工业防火墙固件升级方法

技术领域

本发明涉及工业网络安全技术领域，尤其是一种工业防火墙固件升级方法。

背景技术

防火墙是一种网络安全构件，起到了对网络传输数据进行监控过滤的作用。因为网络攻击行为一直处于动态变化中，所以防火墙的固件也需要针对网络攻击行为进行对应的升级。现有技术中，为了保证防火墙在升级过程中可以正常进行数据监控，通常设置冗余的防火墙模块，在防火墙进行升级时可以使用冗余模块进行不间断的数据监控。但是这些冗余的防火墙模块利用率极低，导致防火墙系统的复杂度提高。

发明内容

本发明要解决的技术问题是提供一种工业防火墙固件升级方法，能够解决现有技术的不足，在不使用防火墙冗余模块的前提下实现防火墙监控数据的同时进行固件升级。

为解决上述技术问题，本发明所采取的技术方案如下。

一种工业防火墙固件升级方法，包括以下步骤：

A、设置工业防火墙的拓扑结构和数据处理流程；工业防火墙包括若干个串联连接的数据处理模块，不相邻的数据处理模块之间设置有数据传输旁路；待传输数据从数据入口进入工业防火墙后，依次通过串联连接的数据处理模块进行监控过滤；

B、当工业防火墙固件需要升级时，从数据入口端开始，依次对每个数据处理模块进行固件升级，对执行固件升级的数据处理模块进行离线操作，使用数据传输旁路保持未执行固件升级操作的其它在线数据处理模块的数据传输；

C、将固件升级完毕的数据处理模块重新进行在线操作，并在后续的数据监控过滤中对升级后的固件进行校验；

D、重复步骤B和C，直至全部数据处理模块的固件升级完毕。

作为优选，步骤A中，每个数据处理模块包含数量相同的规则文件，不同数据处理模块中的规则文件一一对应，拓扑结构中相邻数据处理模块中对应的规则文件的线性度超过设定阈值。

作为优选，步骤A中，待传输数据依次经过串联连接的数据处理模块，当出现两个相邻的数据处理模块中对应的规则文件判定待传输数据为非法数据时，停止此待传输数据的传输。

作为优选，步骤B中，当待传输数据传输至离线的数据处理模块时，使用数据传输旁路将待传输数据传输至与离线的数据处理模块相邻的下一个数据处理模块中，然后获取与离线的数据处理模块相邻的两个在线的数据处理模块中任意一个数据处理模块判定为非法数据的待传输数据，将提取的待传输数据的源IP地址、源端口、目的IP地址、目的端口和传输协议与预置的黑名单进行比对，若出现比对成功的项目，则停止此待传输数据的传输。

作为优选，步骤B中，首先对离线的数据处理模块进行固件数据备份，然后下载固件升级文件对现有固件进行升级。

作为优选，步骤C中，计算固件的摘要数据，使用摘要数据与固件的数字签名进行比对校验。

采用上述技术方案所带来的有益效果在于：本发明通过重新设计防火墙的监控过滤规则，使用多个数据处理模块的监控结果对数据进行判定，从而为防火墙的在线固件升级设立基础。在固件升级过程中，对各个数据处理模块依次进行升级操作，在升级过程中，利用固件升级模块相邻的其它数据处理模块的监控结果代替固件升级模块的监控，从而实现防火墙的数据监控和固件升级的同时进行。

附图说明

图1是本发明一个具体实施方式的原理图。

具体实施方式

参照图1，本发明一个具体实施方式包括以下步骤：

A、设置工业防火墙的拓扑结构和数据处理流程；工业防火墙包括若干个串联连接的数据处理模块，不相邻的数据处理模块之间设置有数据传输旁路；每个数据处理模块包含数量相同的规则文件，不同数据处理模块中的规则文件一一对应，拓扑结构中相邻数据处理模块中对应的规则文件的线性度超过设定阈值；待传输数据从数据入口进入工业防火墙后，依次通过串联连接的数据处理模块进行监控过滤；待传输数据依次经过串联连接的数据处理模块，当出现两个相邻的数据处理模块中对应的规则文件判定待传输数据为非法数据时，停止此待传输数据的传输；

B、当工业防火墙固件需要升级时，从数据入口端开始，依次对每个数据处理模块进行固件升级，首先对离线的数据处理模块进行固件数据备份，然后下载固件升级文件对现有固件进行升级，对执行固件升级的数据处理模块进行离线操作，使用数据传输旁路保持未执行固件升级操作的其它在线数据处理模块的数据传输；当待传输数据传输至离线的数据处理模块时，使用数据传输旁路将待传输数据传输至与离线的数据处理模块相邻的下一个数据处理模块中，然后获取与离线的数据处理模块相邻的两个在线的数据处理模块中任意一个数据处理模块判定为非法数据的待传输数据，将提取的待传输数据的源IP地址、源端口、目的IP地址、目的端口和传输协议与预置的黑名单进行比对，若出现比对成功的项目，则停止此待传输数据的传输；

C、将固件升级完毕的数据处理模块重新进行在线操作，并在后续的数据监控过滤中对升级后的固件进行校验，计算固件的摘要数据，使用摘要数据与固件的数字签名进行比对校验；

D、重复步骤B和C，直至全部数据处理模块的固件升级完毕。

以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。