网络层不确定推理分析算法研究(4)
时间:2018-04-19 21:29 来源:毕业论文 作者:毕业论文 点击:次
Protocol Src_ip Port Des_ip Port Action 1: tcp, 2: tcp, 3: tcp, 4: tcp, 5: tcp, 6: tcp, 7: tcp, 8: tcp, 9: udp, 10: udp, 11: udp, 12: udp, 192.163.37.20, 192.163.37.*, *.*.*.*, 192.163.37.*, 192.163.37.30, 192.163.37.*, 192.163.37.*, *.*.*.*, 192.163.37.*, *.*.*.*, 192.163.38.*, *.*.*.*, any, any, any, any, any, any, any, any, any, any, any, any, *.*.*.*, *.*.*.*, 200.110.33.40, 200.110.33.40, *.*.*.*, *.*.*.*, 200.110.33.40, *.*.*.*, 200.110.33.40, 200.110.33.40, 200.110.35.*, *.*.*.*, 80, 80, 80, 80, 21, 21, 21, any, 53, 53, any, any, deny accept accept deny deny accept accept deny accept accept accept deny 表2-1 防火墙规则表 图2-1防火墙结构图 2.1.2 过滤规则的格式化 在规则过滤部分,可能会使用到一些IP,UDP或TCP首部中的某些域。然而,实践经验显示,在规则过滤时最常用的匹配字段是:协议类型、源IP地址、源端口、目的IP地址,和目的端口({protocol, s_ip, s_port, d_ip, d_port})。以下是一个常见的包过滤防火墙的规则集形式: {(命令)、(协议)、(源IP)、(目的IP)、(源Port)、(目的Port)、(行为)} 在本文中,我们将{protocol, s_ip, s_port, d_ip, d_port}称之为“五元素领域”。规则的顺序决定了其在过滤规则的策略中相对的地位。IP地址可以是一台主机(例如192.163.37.120)或一个网络地址(如192.163.37.*)。端口可以是一个特定的端口号,也可以是任何指定的一个端口号。一些防火墙允许非通配符在指定源地址和目的地址或端口中使用。然而,一个多值域的过滤规则总是可能分成几条规则,其中的每一个都有其单一领域。如表2-1所示的例子就是一个典型的防火墙规则域的划分。 2.1.3 防火墙规则关系的形式化 为了能够建立一个实用的过滤规则模型,我们需要确定所有可能的相关包过滤的关系。在本节中,在这一部分中,我们涵盖了所有存在的两个过滤规则之间可能存在的关系。我们是通过比较网络领域的过滤规则和规则的独立行为来定义的。 定义1:如果规则 中的任意域不是 的子集,也不是 的超集,也不等于 ,那么我们说规则 与 是两个完全不相关关系(completely disjoin)。 如下表1中的规则1和2的域中的五种元素,每种元素所对应的值没有包含,被包含,相等的关系,根据定义1我们说规则1和规则2是完全不相关的。 序号 protocol s_ip s_port d_ip d_port 1 tcp 192.168.34.32 24 200.110.33.45 25 2 udp 192.168.35.33 26 200.110.33.46 27 表2-2 定义2:如果对于规则 中的任意域,在规则 中都能找到唯一对应的域,那么我们说规则 与 是完全匹配关系(exactly matching)。 完全匹配的关系就是规则 和规则 的的每一个域对应值都相等,他们通过同样的协议传输,来自于同一个地方,往同样的目的地址和目的端口去,但是话又说回来,完全匹配关系的两条规则,在不同的时间被执行,他们所产生的效果就不一定相同。如果在他们通过防火墙的时候,防火墙的过滤环境没有发生变化,那么这两条规则产生的效果,无疑是一样的;如果防火墙的过滤环境在规则先后通过的时候发生了变化,那么这两条规则的效果则需要更进一步的分析。 (责任编辑:qin) |