网络层不确定推理分析算法研究(4)
Protocol Src_ip Port Des_ip Port Action
1: tcp,
2: tcp,
3: tcp,
4: tcp,
5: tcp,
6: tcp,
7: tcp,
8: tcp,
9: udp,
10: udp,
11: udp,
12: udp, 192.163.37.20,
192.163.37.*,
*.*.*.*,
192.163.37.*,
192.163.37.30,
192.163.37.*,
192.163.37.*,
*.*.*.*,
192.163.37.*,
*.*.*.*,
192.163.38.*,
*.*.*.*, any,
any,
any,
any,
any,
any,
any,
any,
any,
any,
any,
any, *.*.*.*,
*.*.*.*,
200.110.33.40,
200.110.33.40,
*.*.*.*,
*.*.*.*,
200.110.33.40,
*.*.*.*,
200.110.33.40,
200.110.33.40,
200.110.35.*,
*.*.*.*, 80,
80,
80,
80,
21,
21,
21,
any,
53,
53,
any,
any, deny
accept
accept
deny
deny
accept
accept
deny
accept
accept
accept
deny
表2-1 防火墙规则表
图2-1防火墙结构图
2.1.2 过滤规则的格式化
在规则过滤部分,可能会使用到一些IP,UDP或TCP首部中的某些域。然而,实践经验显示,在规则过滤时最常用的匹配字段是:协议类型、源IP地址、源端口、目的IP地址,和目的端口({protocol, s_ip, s_port, d_ip, d_port})。以下是一个常见的包过滤防火墙的规则集形式:
{(命令)、(协议)、(源IP)、(目的IP)、(源Port)、(目的Port)、(行为)}
在本文中,我们将{protocol, s_ip, s_port, d_ip, d_port}称之为“五元素领域”。规则的顺序决定了其在过滤规则的策略中相对的地位。IP地址可以是一台主机(例如192.163.37.120)或一个网络地址(如192.163.37.*)。端口可以是一个特定的端口号,也可以是任何指定的一个端口号。一些防火墙允许非通配符在指定源地址和目的地址或端口中使用。然而,一个多值域的过滤规则总是可能分成几条规则,其中的每一个都有其单一领域。如表2-1所示的例子就是一个典型的防火墙规则域的划分。
2.1.3 防火墙规则关系的形式化
为了能够建立一个实用的过滤规则模型,我们需要确定所有可能的相关包过滤的关系。在本节中,在这一部分中,我们涵盖了所有存在的两个过滤规则之间可能存在的关系。我们是通过比较网络领域的过滤规则和规则的独立行为来定义的。
定义1:如果规则 中的任意域不是 的子集,也不是 的超集,也不等于 ,那么我们说规则 与 是两个完全不相关关系(completely disjoin)。
如下表1中的规则1和2的域中的五种元素,每种元素所对应的值没有包含,被包含,相等的关系,根据定义1我们说规则1和规则2是完全不相关的。
序号 protocol s_ip s_port d_ip d_port
1 tcp 192.168.34.32 24 200.110.33.45 25
2 udp 192.168.35.33 26 200.110.33.46 27
表2-2
定义2:如果对于规则 中的任意域,在规则 中都能找到唯一对应的域,那么我们说规则 与 是完全匹配关系(exactly matching)。
完全匹配的关系就是规则 和规则 的的每一个域对应值都相等,他们通过同样的协议传输,来自于同一个地方,往同样的目的地址和目的端口去,但是话又说回来,完全匹配关系的两条规则,在不同的时间被执行,他们所产生的效果就不一定相同。如果在他们通过防火墙的时候,防火墙的过滤环境没有发生变化,那么这两条规则产生的效果,无疑是一样的;如果防火墙的过滤环境在规则先后通过的时候发生了变化,那么这两条规则的效果则需要更进一步的分析。