定义3:如果规则 和 不是完全匹配(inclusively matching),并且 的每个域是 相对应域的子集。那么我们说规则 和 是包含匹配关系。 被称为子集匹配 。而 被称为超集匹配 。用符号表示为 RIM 满足
例如:在表2-1防火墙规则表中的序号1规则和序号2规则是包含匹配的关系,序号1规则是子集匹配,序号2规则是超集匹配。
从下面的表2-3中,我们可以看出id=1规则s_ip域是一个主机地址,而id=2规则中的s_ip域是一个子网掩码为255.255.255.0的C类网络地址,序号为1规则是子集匹配,序号为2规则是超集匹配。由于两条规则其域值不同,那么它通过防火墙时,防火墙对它执行的行为也是不一样的。 网络层不确定推理分析算法研究(5):http://www.youerw.com/jisuanji/lunwen_13659.html