菜单
  

    Protocol    Src_ip    Port    Des_ip    Port    Action
    1: tcp,
    2: tcp,
    3: tcp,
    4: tcp,
    5: tcp,
    6: tcp,
    7: tcp,
    8: tcp,
    9: udp,
    10: udp,
    11: udp,
    12: udp,    192.163.37.20,
    192.163.37.*,
    *.*.*.*,
    192.163.37.*,
    192.163.37.30,
    192.163.37.*,
    192.163.37.*,
    *.*.*.*,
    192.163.37.*,
    *.*.*.*,
    192.163.38.*,
    *.*.*.*,    any,
    any,
    any,
    any,
    any,
    any,
    any,
    any,
    any,
    any,
    any,
    any,    *.*.*.*,
    *.*.*.*,
    200.110.33.40,
    200.110.33.40,
    *.*.*.*,
    *.*.*.*,
    200.110.33.40,
    *.*.*.*,
    200.110.33.40,
    200.110.33.40,
    200.110.35.*,
    *.*.*.*,    80,
    80,
    80,
    80,
    21,
    21,
    21,
    any,
    53,
    53,
    any,
    any,    deny
    accept
    accept
    deny
    deny
    accept
    accept
    deny
    accept
    accept
    accept
    deny
    表2-1 防火墙规则表
    图2-1防火墙结构图
    2.1.2  过滤规则的格式化
    在规则过滤部分,可能会使用到一些IP,UDP或TCP首部中的某些域。然而,实践经验显示,在规则过滤时最常用的匹配字段是:协议类型、源IP地址、源端口、目的IP地址,和目的端口({protocol, s_ip, s_port, d_ip, d_port})。以下是一个常见的包过滤防火墙的规则集形式:
    {(命令)、(协议)、(源IP)、(目的IP)、(源Port)、(目的Port)、(行为)}
    在本文中,我们将{protocol, s_ip, s_port, d_ip, d_port}称之为“五元素领域”。规则的顺序决定了其在过滤规则的策略中相对的地位。IP地址可以是一台主机(例如192.163.37.120)或一个网络地址(如192.163.37.*)。端口可以是一个特定的端口号,也可以是任何指定的一个端口号。一些防火墙允许非通配符在指定源地址和目的地址或端口中使用。然而,一个多值域的过滤规则总是可能分成几条规则,其中的每一个都有其单一领域。如表2-1所示的例子就是一个典型的防火墙规则域的划分。
    2.1.3  防火墙规则关系的形式化
    为了能够建立一个实用的过滤规则模型,我们需要确定所有可能的相关包过滤的关系。在本节中,在这一部分中,我们涵盖了所有存在的两个过滤规则之间可能存在的关系。我们是通过比较网络领域的过滤规则和规则的独立行为来定义的。
    定义1:如果规则 中的任意域不是 的子集,也不是 的超集,也不等于 ,那么我们说规则 与 是两个完全不相关关系(completely disjoin)。
     
    如下表1中的规则1和2的域中的五种元素,每种元素所对应的值没有包含,被包含,相等的关系,根据定义1我们说规则1和规则2是完全不相关的。
    序号    protocol    s_ip    s_port    d_ip    d_port
    1    tcp    192.168.34.32    24    200.110.33.45    25
    2    udp    192.168.35.33    26    200.110.33.46    27
    表2-2
    定义2:如果对于规则 中的任意域,在规则 中都能找到唯一对应的域,那么我们说规则 与 是完全匹配关系(exactly matching)。
     
    完全匹配的关系就是规则 和规则 的的每一个域对应值都相等,他们通过同样的协议传输,来自于同一个地方,往同样的目的地址和目的端口去,但是话又说回来,完全匹配关系的两条规则,在不同的时间被执行,他们所产生的效果就不一定相同。如果在他们通过防火墙的时候,防火墙的过滤环境没有发生变化,那么这两条规则产生的效果,无疑是一样的;如果防火墙的过滤环境在规则先后通过的时候发生了变化,那么这两条规则的效果则需要更进一步的分析。
  1. 上一篇:RETE算法并行化改进及在大规模规则匹配场景中的应用
  2. 下一篇:基于多服务器的动态HTTP流媒体调度策略研究
  1. python+mysql网络习题爬取系统的设计与实现

  2. 神经网络算法在核素识别中的应用研究

  3. C#三层架构购物网站设计与实现

  4. 苏州一建集团网络的规划与设计

  5. C#三层架构图书管理系统的设计与实现

  6. asp.net网络商城在线购物系统的设计与实现

  7. java局域网络的即时聊天系统设计+源代码

  8. 杂拟谷盗体内共生菌沃尔...

  9. 乳业同业并购式全产业链...

  10. 十二层带中心支撑钢结构...

  11. 电站锅炉暖风器设计任务书

  12. java+mysql车辆管理系统的设计+源代码

  13. 中考体育项目与体育教学合理结合的研究

  14. 大众媒体对公共政策制定的影响

  15. 河岸冲刷和泥沙淤积的监测国内外研究现状

  16. 当代大学生慈善意识研究+文献综述

  17. 酸性水汽提装置总汽提塔设计+CAD图纸

  

About

751论文网手机版...

主页:http://www.751com.cn

关闭返回