摘要
其他人正在查看类似内容
1 介绍
-
它们不支持大量的防火墙功能, -
他们的防火墙模型过于简单, -
它们要求管理员学习一种复杂的查询语言,这种语言可能比防火墙语言本身更复杂, -
分析算法无法扩展到大型防火墙,或 -
无法信任(未验证的)验证工具本身的输出。
-
1 iptables包过滤的正式语义(第 4 ) -
2 链展开:将复杂链模型中的一个规则集转换为简单列表模型中的规则集(Sect 5 ) -
三。 带有三元逻辑的嵌入式语义,支持任意匹配条件,引入接受数据包的下/上闭包(Sect 6 ) -
4 将复杂逻辑表达式规范化并转换为与iptables兼容的格式,发现元逻辑防火墙代数(第 7 )
2 背景:与Isabelle进行正式验证
三 相关工作
3.1 防火墙型号
3.2 静态防火墙分析工具
4 iptables的语义
4.1 归纳定义
-
\(\textsc{接受}\) : -
如果数据包 第页 匹配匹配表达式 米 ,然后是没有过滤决策的防火墙( \(\textcircled{?}\) )处理单例链 \([(m,\,{\mathtt{Accept}})]\) 通过切换到允许状态。 -
\(\textsc{Drop}/\textsc{Reject}\) : -
这两个操作都会拒绝数据包。 区别在于防火墙是否生成一些信息性消息,这不会影响过滤。 -
\(\textsc{NoMatch}\) : -
如果防火墙还没有做出过滤决定,它可以处理任何不匹配的规则,而不更改其状态。 -
\(\textsc{决策}\) : -
一旦防火墙做出过滤决定,就可以跳过所有剩余的规则。 给定确定性(定理 2 ),这意味着一旦决定,防火墙不会更改其过滤决定 \(\text圈出{\复选标记}\) 或 . -
\(\textsc{Seq}\) : -
如果防火墙没有做出过滤决定,它会处理链 \(rs _1\) ,这将导致状态 t吨 从开始 t吨 处理链 \(秒2\) ,这将导致状态 \(t’\) ,然后可以顺序处理这两个链,以状态结束 \(t’\) . -
\(\textsc{CallResult}\) : -
如果匹配 \({\mathtt{Call}}\) 连接到名为“ c(c) “发生时,产生的状态 t吨 是处理链的结果 \(\varGamma\;c\) . -
\(\textsc{CallReturn}\) : -
同样,如果处理前缀 \(rs _1\) 被调用链的 \({\mathtt{Return}}\) 规则发生时,被调用的链被处理而没有结果。 -
\(\textsc{Log}/\textsc{Empty}\) : -
这两条规则都不会影响过滤行为。 一个 清空 规则,即没有动作的规则,有时被管理员用来让iptables只更新其内部状态,例如更新数据包计数器。
定理1
4.2 模型限制和状态匹配器
4.3 语义的分析和使用
定理2
定理3
5 自定义链展开
定理4
推论1
-
更换 \({\mathtt{Reject}}\) 操作与 \({\mathtt{Drop}}\) 行动, 脚注 11 -
移除 \({\mathtt{空}}\) 和 \({\mathtt{Log}}\) 规则, 脚注 12 -
简化包含以下内容的匹配表达式 \({\mathsf{Any}}{}\) 或 \(\lnot\,{\mathsf{Any}}{}\) , 脚注 13 -
对于某些给定的基本匹配器,特定的优化, 脚注 14 例如,重写 源代码0.0.0.0/0 到 \({\mathsf{Any}}{}\) .
6 未知基本体
6.1 三值匹配
6.2 关闭
定理5
6.3 删除未知匹配项
定理6
定理7
6.4 这个 相关 , 已建立 规则
7 规范化
定理8
定理9
8 中级评估
9 简单防火墙模型
-
输入/输出接口,包括对“ + '通配符 -
CIDR表示法中的源/目标IP地址范围,例如192.168.0.0/24 -
协议( \(\mathsf{any}\) , tcp协议 , udp(统一数据处理程序) , icmp公司 ,或任何数字协议标识符) -
端口的源/目标间隔,例如0:65535
定理10
10 转换为简单防火墙模型
定理11
11 转换基本体
11.1 IPv4地址
11.2 conntrack州
11.3 第4层端口
11.4 TCP标志
11.5 接口
11.6 接口与IP范围的交互
11.7 对基本体进行抽象
12 分析简单防火墙规则集
12.1 IP地址空间分区
引理1
12.2 服务矩阵
定理12
定理13
13 独立Haskell工具 fffuu(飞行功能单位)
14 评价
15 Outlook:验证OpenFlow规则
16 结论
17 可利用性
笔记
防火墙可以是有状态的,也可以是无状态的。 大多数当前的防火墙都是有状态的,这意味着防火墙会记住并跟踪以前看到的数据包的信息,例如,数据包所属的TCP连接和该连接的状态(iptables中的“连接”)。 ITVal不跟踪连接状态。 连接状态上的匹配条件与数据包标头上的匹配完全相同。 一般来说,通过关注规则集而不是防火墙实现,在conntrack状态上进行匹配与在任何其他(无状态)条件下进行匹配完全一样。 然而,在防火墙内部,不仅查询数据包头,还查询当前连接表。 请注意,现有的防火墙分析工具在很大程度上也忽略了状态[ 54 ]. 在我们的语义中,我们还为无状态匹配建模。 形式化:归纳 iptables_bigstep [ 19 ]. 形式化:定理 iptables_bigstep__eq . 形式化:文件 语义_状态.thy [ 19 ]. 形式化:定理 iptables_bigstep_determinatic(iptables_大步骤_确定) [ 19 ]. 形式化:定理 语义_bigstep_defined [ 19 ]. 例如,设置 \(\mathtt{CONNMARK}\) 在中 滤波器 不需要的表,使用将数据包重定向到用户空间 \(\mathtt{NFQUEUE}\) 我们不知道用户空间应用程序是如何处理它们的,也不知道诸如 \(\mathtt{NFLOG}\) 在技术上与 \(\mathtt{LOG}\) 可以直接支持。 形式化:定理 展开_n_sound_complete [ 19 ]. 相关检查已完成 标记源链 ,文件 source/net/ipv4/netfilter/ip_table s.c公司 Linux内核版本4.10。 形式化:定理 iptables_bigstep_rw_对象 [ 19 ]. 形式化:定理 iptables_bigstep_rm_LogEmpty [ 19 ]. 形式化:定理 展开_优化_规则集_链 [ 19 ]. 形式化:定理 展开优化通用匹配器univ_ruleset_CHAIN [ 19 ]. 最终决定 \({\mathtt{Call}}\) (分别为。 \({\mathtt{Return}}\) )规则取决于被调用(响应调用)链。 形式化:定理 最终允许关闭 [ 19 ]. 形式化:定理 最终拒绝关闭 [ 19 ]. 形式化:定理 transform_remove_unknowns_upper , 变压器_remove_unkno wns_降低 [ 19 ]. 我们在2014年9月重新验证了这一观察结果,发现在我们的防火墙中,已经看到了超过150亿个数据包( \({>}{19\mathrm{TB}}\) 数据),自上次重新启动以来,95%以上的数据包与第一个数据包匹配 相关、建立 规则。 思科IOS防火墙中的反射ACL也可以得出同样的结论[ 14 ]. 因为匹配表达式不包含析取,所以NNF中的任何匹配表达式都是 析取范式 (挪威船级社)。 形式化:定理 normalized_nnf_match_normalize_match [ 19 ]. 形式化:定理 normalize_match_correct(正常匹配更正) [ 19 ]. 形式化:定理 \(\beta_\mathrm{magic}\) _近似_bigstep_fun_iff可选_bigsstep , 卢卡斯引理 [ 19 ]. 注意,这与第节中的功能不同。 4 ,因为这个简单 \(\mathsf{smatch}\) 函数不需要参数 \(伽玛射线) 粗略地说,它已经有了硬编码的原始匹配器。 形式化:定理 空_匹配 [ 22 ]. 形式化:定理 simple_match_any(简单匹配任意) [ 22 ]. 形式化:定理 simple_match_and_correct(简单匹配和更正) [ 22 ]. 形式化:定理 simple_match_and_valid(简单匹配和有效) [ 22 ]. 形式化:定理 重写Goto_chain_safe , 展开优化通用匹配器 _univ_ruleset_CHAIN(通用规则_链) [ 19 ]. 形式化:定理 新包到简单防火墙过度近似 , new_packets_to_simple_firewall_under近似 [ 19 ]. 以下各小节的所有引理和结果最终得出定理 11 并在其证明中引用。 形式化:定理 ipcidr_connect_correct(ipcidr_连接_修正) [ 24 ]. 形式化:定理 cidr_拆分_前缀 [ 24 ]. 形式化:文件 语义_状态.thy [ 19 ]. 这是因为语义在过滤期间不会修改数据包。 作为补充说明,OpenFlow(技术上称为Open vSwitch)为第4层端口定义了类似CIDR的匹配。 通过将端口转换为类似CIDR的符号,我们的简单防火墙可以直接转换为OpenFlow,并且我们已经将iptables规则集首次(几乎)完全验证为SDN[ 50 ]. 请注意,这不能用iptables在一个规则中直接表示。 在这个示例中,我们使用了 \(\mathtt{Return}\) 以构造复合否定匹配表达式。 我们强烈反对使用“ ip链接集eth0名称+ ” [ 18 ]. 形式化:定理 如果空间替换需要ipassmt_disjoint [ 19 ]. 形式化:定理 rpf严格修正 [ 51 ]. 形式化:定理 获取部件_samefw [ 22 ]. 形式化:定理 获取部件_完成 [ 22 ]. 形式化:定理 构建ip分区名称 [ 22 ]. 形式化:定理 build_ip_partition_complete(构建ip分区完成) [ 22 ]. 形式化:定理 构建ip分区名称最小值 [ 22 ]. 由于我们可以在运行时轻松检查规则集是否具有默认策略,因此这种回退仅用于说明我们的定理,而不需要假设默认策略。 我们的更快的算法(有默认策略)和较慢的算法(没有默认策略)计算出相同的结果。 实际上,任何规则集都有一个默认策略,总是使用更快的算法。 形式化:定义 访问矩阵 ,定理 访问矩阵 [ 22 ].
工具书类
Al-Shaer,E.,Alsaleh,M.:ConfigChecker:一个综合安全配置分析工具。 参见:配置分析与自动化(SAFECONFIG),第1-2页。 IEEE(2011)。 https://doi.org/10.109/SafeConfig.2011.6111667 Al-Shaer,E.,Hamed,H.:发现分布式防火墙中的策略异常。 参见:IEEE计算机和通信协会年度联合会议(INFOCOM),第4卷,第2605-2616页(2004年)。 https://doi.org/10.109/INFCOM.2004.1354680 分析了防火墙规则集(原始数据)。 https://github.com/diekmann/net-network .随机资料 Anderson,C.J.、Foster,N.、Guha,A.、Jeannin,J.B.、Kozen,D.、Schlesinger,C.、Walker,D.:NetKAT:网络的语义基础。 摘自:第41届ACM SIGPLAN-SIGACT编程语言原理研讨会,POPL’14,第113-126页。 ACM,圣地亚哥(2014)。 https://doi.org/10.1145/2535838.2535862 Baker,F.、Savola,P.:多址网络的入口过滤。 RFC 3704(最佳当前实践)(2004) Bartal,Y.,Mayer,A.,Nissim,K.,Wool,A.:Firmato:一种新型防火墙管理工具包。 摘自:IEEE安全与隐私研讨会,第17-31页。 IEEE(1999)。 https://doi.org/10.1109/SECPRI.1999.766714 Bianchi,G.,Bonola,M.,Capone,A.,Cascone,C.:开放状态:交换机内独立于编程平台的有状态开放流应用程序。 ACM SIGCOMM计算。 Commun公司。 版次。 44 (2), 44–51 (2014). https://doi.org/10.1145/2602204.2602211 Brucker,A.D.,Brügger,L.,Kearney,P.,Wolff,B.:测试用例生成的验证防火墙策略转换。 摘自:第三届软件测试、验证和确认国际会议,第345-354页。 IEEE(2010)。 https://doi.org/10.109/ICST.2010.50 Brucker,A.D.,Brügger,L.,Wolff,B.:基于模型的防火墙一致性测试。 收录于:铃木,K.,东洋,T.,Ulrich,A.,长谷川,T.(编辑)《软件和通信系统测试》,第103–118页。 施普林格(2008) Brucker,A.D.、Brügger,L.、Wolff,B.:正式防火墙一致性测试:测试和证明技术的应用。 柔和。 测试。 验证。 Reliab公司。 (STVR) 25 (1), 34–71 (2015). https://doi.org/10.1002/stvr.1544 , https://www.brucker.ch/cobjectory/abstract/brucker.ea-formal-fw-testing-2014 Brucker,A.D.,Brügger,L.,Wolff,B.:正式网络模型及其在防火墙策略中的应用。 《正式证据档案》(2017年)。 http://isa-afp.org/entries/UPF_Firewall.shtml .正式证明开发 Byma,S.、Tarafdar,N.、Xu,T.、Bannazadeh,H.、Leon-Garcia,A.、Chow,P.:使用虚拟化可重构硬件扩展OpenFlow功能。 摘自:ACM/SIGDA现场可编程门阵列国际研讨会,FPGA’15,第94-97页。 ACM,蒙特雷(2015)。 https://doi.org/10.1145/2684746.2689086 Capretta,V.,Stepien,B.,Felty,A.,Matwin,S.:防火墙冲突检测的形式正确性。 摘自:《安全工程形式方法研讨会》,第22-30页。 ACM(2007年)。 https://doi.org/10.1145/1314436.1314440 Cisco IOS防火墙-配置IP访问列表。 文件编号:23602(2007)。 http://www.cisco.com/c/en/us/support/docs/security/ios-firewall/23602-confaccesslists.html Cotton,M.、Vegoda,L.、Bonica,R.、Haberman,B.:专用IP地址注册。 RFC 6890(最佳当前实践)(2013年) CrazyCat:iptables多端口和否定。 服务器故障问题(2016)。 http://serverfault.com/questions/793631/iptables-multiport-and-negation/ Deering,S.、Hinden,R.:互联网协议,版本6(IPv6)规范。 RFC 2460(标准草案)(1998年)。 由RFC 5095、5722、5871、6437、6564、6935、6946、7045、7112更新 Diekmann,C.:命名网络接口。 收录于:PoC | | GTFO:Pastor Laphroaig Races the Runtime Relinker and Other True Tales of Cleverness and Craft,第16卷,第08期,第45–46页(2017) Diekmann,C.,Hupel,L.:Iptables语义。 《正式证据档案》(2016)。 http://isa-afp.org/entries/Iptables_Shemantics.shtml .正式证明开发 Diekmann,C.,Hupel,L.,Carle,G.:定向安全策略:有状态网络实现。 收录于:《工程安全与安保系统理论计算机科学电子论文集》(ESSS),第150卷,第20-34页。 新加坡公开出版协会(2014年)。 https://doi.org/10.4204/EPTCS.150.3 Diekmann,C.,Korsten,A.,Carle,G.:演示拓扑:基于定理证明的安全网络配置综合。 摘自:第十一届网络与服务管理国际会议(CNSM),第366-371页。 巴塞罗那(2015)。 https://doi.org/10.109/CNSM.2015.7367384 Diekmann,C.,Michaelis,J.,Haslbeck,M.:简单防火墙。 《正式证据档案》(2016)。 http://isa-afp.org/entries/Simple_Firewall.shtml .正式证明开发 Diekmann,C.,Michaelis,J.,Haslbeck,M.,Carle,G.:验证iptables防火墙分析。 In:IFIP Networking 2016。 维也纳(2016) Diekmann,C.,Michaelis,J.,Hupel,L.:IP地址。 《正式证据档案》(2016)。 http://isa-afp.org/entries/IP_Addresses.shtml .正式证明开发 Diekmann,C.,Posselt,S.A.,Niedermayer,H.,Kinkelin,H.,Hanka,O.,Carle,G.:使用主机属性验证安全策略。 收录于:分布式对象、组件和系统的形式化技术:第34届IFIP WG 6.1国际会议,FORTE,第133-148页。 柏林施普林格(2014)。 https://doi.org/10.1007/978-3-662-43613-4_9 Diekmann,C.,Schwaighofer,L.,Carle,G.:认证防火墙的欺骗保护。 摘自:第11届网络和服务管理国际会议(CNSM),第168-172页。 巴塞罗那(2015)。 https://doi.org/10.109/CNSM.2015.7367354 diekman/Itables_Semantics:问题#113端口号属于特定协议。 github(2016)。 https://github.com/diekmann/Iptables_Sematics/issues/113 伊斯特普,T.M.:iptables让海岸墙变得轻松(2014)。 网址:http://shorewall.net/ Engelhardt,J.:走向完美规则集(2011)。 http://inai.de/documents/Perfect_Ruleset.pdf Foster,N.、Kozen,D.、Milano,M.、Silva,A.、Thompson,L.:NetKAT的联合决策程序。 摘自:第42届ACM SIGPLAN-SIGACT编程语言原理年会,POPL’15,第343–355页。 ACM,孟买(2015)。 https://doi.org/10.1145/2676726.2677011 Fuller,V.,Li,T.:无类别域间路由(CIDR):互联网地址分配和聚合计划。 RFC 4632(最佳当前实践)(2006) Gartenmeister,M.:Iptables vs.Cisco PIX(2005)。 http://lists.netfilter.org/pipermail/netfilter/2005-April/059714.html Guha,A.,Reitblatt,M.,Foster,N.:机器验证的网络控制器。 摘自:第34届ACM SIGPLAN编程语言设计与实现会议,PLDI’13,第483-494页。 ACM,西雅图(2013)。 https://doi.org/10.1145/2462156.2462178 Haftmann,F.,Bulwahn,L.:基于Isabelle/HOL理论的代码生成(2016) Haftmann,F.,Nipkow,T.:通过高阶重写系统生成代码。 摘自:Blume,M.、Kobayashi,N.、Vidal,G.(编辑)《函数和逻辑编程》,第103–117页。 施普林格(2010) Hamed,H.,Al-Shaer,E.:网络安全策略中冲突的分类。 IEEE通信。 美格。 44 (3), 134–141 (2006). https://doi.org/10.109/MCOM.2006.1607877 惠普:IP防火墙配置指南(2005)。 ftp://ftp.hp.com/pub/networking/software/ProCurve-SR-IP-Firewall-Config-Guide.pdf IPTables示例配置。 http://networking.ringofsaturn.com/Unix/iptables.php 2014年9月检索 Jeffrey,A.,Samak,T.:模型检查防火墙策略配置。 在:分布式系统和网络的策略,第60-67页。 IEEE(2009)。 https://doi.org/10.109/POLICY.2009.32 Kawamura,S.,Kawashima,M.:IPv6地址文本表示的建议。 RFC 5952(拟议标准)(2010年) Kazemian,P.,Varghese,G.,McKeown,N.:标题空间分析:网络的静态检查。 收录于:第九届USENIX网络系统设计与实现研讨会(NSDI),NSDI’12,第113-126页。 圣何塞USENIX协会(2012) Kleene,S.C.:《元数学导论》。 数学图书馆。 荷兰北部,阿姆斯特丹(1952年) Lammich,P.:《自动数据精炼》,第84-99页。 施普林格,柏林(2013)。 https://doi.org/10.1007/978-3642-39634-2_9 Lammich,P.,Tuerk,T.:将一元程序的数据精炼应用于Hopcroft算法,第166-182页。 施普林格,柏林(2012)。 https://doi.org/10.1007/978-3642-32347-8_12 Leblond,E.:为什么你会喜欢nftables(2014)。 https://home.regit.org/2014/01/why-you-will-love-nftables网站/ Linux内核源代码:Linux/include/Linux/netfilter/x_tables.h.内核4.6。 http://lxr.free-electrons.com/source/include/linux/netfilter/x_tables.h?v=4.6#L343 Mansmann,F.,Göbel,T.,Cheswick,W.:复杂防火墙配置的可视化分析。 参见:第九届网络安全可视化国际研讨会,VizSec’12,第1-8页。 ACM(2012年)。 https://doi.org/10.1145/2379690.2379691 Marmorstein,R.M.,Kearns,P.:自动iptables防火墙分析工具。 摘自:USENIX年度技术会议,FREENIX Track,第71-81页。 USENIX协会(2005) Marmorstein,R.M.,Kearns,P.等人: 基于策略的主机分类的防火墙分析。 收录于:第20届USENIX大型安装系统管理会议(LISA),第6卷。 USENIX协会,华盛顿(2006) Michaelis,J.,Diekmann,C.:经LOFT验证的Linux防火墙迁移到SDN.正式证明档案(2016)。 http://isa-afp.org/entries/LOFT.shtml .正式证明开发 Michaelis,J.,Diekmann,C.:路由。 《正式证据档案》(2016)。 http://isa-afp.org/entries/Routing.shtml .正式证明开发 Monsanto,C.,Foster,N.,Harrison,R.,Walker,D.:网络编程语言的编译器和运行时系统。 摘自:第39届ACM SIGPLAN-SIGACT编程语言原理研讨会,POPL’12,第217-230页。 ACM(2012年) Moy,E.、Gildea,S.、Dickey,T.:XTerm控制序列(2016)。 http://invisible-island.net/xterm/ctlseqs/ctlseqs.html Nelson,T.、Barratt,C.、Dougherty,D.J.、Fisler,K.、Krishnamurthi,S.:用于防火墙分析的Margrave工具。 In:第24届USENIX大型安装系统管理会议(LISA)。 圣何塞USENIX协会(2010年) Nelson,T.,Ferguson,A.D.,Krishnamurthi,S.:软件定义网络的静态差分程序分析,第395–413页。 柏林施普林格(2015)。 https://doi.org/10.1007/978-3-319-19249-9_25 Nelson,T.,Ferguson,A.D.,Scheer,M.J.,Krishnamurthi,S.:软件定义网络的无层编程和推理。 在:第11届USENIX网络系统设计与实现研讨会(NSDI),NSDI’14,第519–531页。 USENIX协会,西雅图(2014) Nelson,T.,Ferguson,A.D.,Yu,D.,Fonseca,R.,Krishnamurthi,S.:出埃及记:实现企业网络配置到SDN的自动迁移。 摘自:第一届ACM SIGCOMM软件定义网络研究研讨会,SOSR’15第13期,第13:1–13:7页。 ACM,圣克拉拉(2015)。 https://doi.org/10.1145/2774993.2774997 Nelson,T.、Guha,A.、Dougherty,D.J.、Fisler,K.、Krishnamurthi,S.:力量平衡:表达性、可分析的控制器编程。 摘自:第二届ACM SIGCOMM软件定义网络热点专题研讨会,HotSDN’13,第79–84页。 ACM,香港(2013)。 https://doi.org/10.1145/2491185.2491201 NetCitadel公司:FirewallBuilder。 网址:http://www.fwbuilder.org 第5.1版 netfilter核心团队:libxtables/xtables.c。 https://git.netfilter.org/iptables/tree/libxtables/xtables.c?h=v1.6.0#n518 Nicira公司:Nicira扩展。 openvswitch/ovs存储库(2016)。 https://github.com/openvswitch/ovs/blob/master/include/openflow/nicira-ext.h .修订fb8f22c186b89cd36059c37908f940a1aa5e1569 Nipkow,T.,Klein,G.:具体语义学。 柏林施普林格(2014)。 https://doi.org/10.1007/978-3-319-10542-0 Nipkow,T.、Paulson,L.C.、Wenzel,M.:Isabelle/HOL:高阶逻辑的证明助手。 收录于:LNCS,第2283卷。 Springer(2002年,最新更新日期2016年)。 http://isabelle.in.tum.de/ Nygren,A.,Pfaff,B.,Lantz,B.,Heller,B.,Barker,C.,Beckmann,C.,Cohn,D.,Malek,D.,Talayco,D.,Erickson,D.,McDysan,D.,Ward,D.,Crabbe,E.,Schneider,F.,Gibb,G.,Appenzeller,G.、M.、Yadav、N.、。, McKeown,N.,dHeureuse,N.,Balland,P.,Madabushi,R.,Ramanathan,R.,Price,R.,Sherwood,R.,Das,S.,Gandham,S.,Curtis,S.,Natarajan,S.,Mizrahi,T.,Yabe,T.,Ding,W.,Yiakoumis,Y.,Moses,Y.,Kis,Z.L.:OpenFlow交换机规范v1.5.1(2015)。 https://www.opennetworking.org/images/stories/downloads/sdn-resources/onf-specifications/openflow/openflow-switch-v1.5.1.pdf.ONFTS-025 Petrucci,L.、Bonelli,N.、Bonola,M.、Procissi,G.、Cascone,C.、Sanvito,D.、Pontarelli,S.、Bianchi,G.和Bifulco,R.:实现状态转发抽象,以在软件和硬件中实现可伸缩的网络功能。 ArXiv电子版(2016) PF:OpenBSD数据包过滤器。 http://www.openbsd.org/faq/pf/ Pfaff,B.、Heller,B.、Talayco,D.、Erickson,D.、Gibb,G.、Appenzeller,G.,Tourilhes,J.、Pettit,J.,Yap,K.、Casado,M.、Kobayashi,M.,McKeown,N.、Balland,P.、Price,R.、Sherwood,R.,Yiakoumis,Y.:OpenFlow交换机规范v1.0.0(2009)。 http://archive.openflow.org/documents/openflow-spec-v1.0.0.pdf Postel,J.:互联网协议。 RFC 791(互联网标准)(1981年)。 由RFC 1349、2474、6864更新 Pozo,S.、Ceballos,R.、Gasca,R.M.:使用安全策略进行基于CSP的防火墙规则集诊断。 摘自:第二届可用性、可靠性和安全性国际会议(ARES),第723-729页。 IEEE,洛斯阿拉米托斯(2007)。 https://doi.org/10.109/ARES.2007.63 Pozo,S.、Ceballos,R.、Gasca,R.M.:基于模型的防火墙规则集开发:诊断模型不一致。 Inf.软件。 Technol公司。 51 (5), 894–915 (2009) Renard,B.:思科acl-to-iptables(2013)。 http://git.zionetrix.net/?a=summary&p=cisco -acl-to-iptables 2014年9月检索 Reynolds,J.:指定编号:RFC 1700被在线数据库取代。 RFC 3232(信息)(2002) Reynolds,J.,Postel,J.:分配的数字。 RFC 1700(历史)(1994年)。 已被RFC 3232废除 Sherry,J.、Hasan,S.、Scott,C.、Krishnamurthy,A.、Ratnasammy,S.和Sekar,V.:使中间盒成为其他人的问题:将网络处理作为云服务。 ACM SIGCOMM计算。 Commun公司。 版次。 42 (4), 13–24 (2012) Sluizer,S.,Postel,J.:邮件传输协议。 RFC 780(1981)。 被RFC 788废除 Smolka,S.、Eliopoulos,S.A.、Foster,N.、Guha,A.:NetKAT的快速编译器。 摘自:函数编程国际会议(ICFP),第328-341页。 ACM(2015)。 https://doi.org/10.1145/2784731.2784761 Tantau,T.,Feuersaenger,C.:TikZ和pgf包(2016年)。 第3.0.1a页 netfilter.org项目:netfilter/iptables项目。 http://www.netfilter.org/ netfilter.org项目:netfilter/nftables项目。 http://www.netfilter.org/ Tongaonkar,A.,Inamdar,N.,Sekar,R.:从防火墙规则推断更高级别的策略。 收录于:第21届USENIX大型安装系统管理会议(LISA),第7卷,第1-10页。 达拉斯USENIX协会(2007年) Verizon商业风险团队,美国特勤局:2010年数据泄露调查报告(2010年)。 http://www.verizonenterprise.com/resources/reports/rp_2010-DBIR-combined-reports_en_xg.pdf Wool,A.:防火墙配置错误的定量研究。 IEEE计算。 37 (6) ,62–67(2004年) Wool,A.:防火墙中基于方向的过滤的使用和可用性。 计算。 安全。 23 (6) ,459–468(2004年) Wool,A.:防火墙配置错误趋势:测量瑞士奶酪上的漏洞。 IEEE互联网计算。 14 (4), 58–65 (2010). https://doi.org/10.109/MIC.2010.29 Yuan,L.,Chen,H.,Mai,J.,Chuah,C.N.,Su,Z.,Mohapatra,P.:防火墙建模和分析工具包。 摘自:IEEE安全与隐私研讨会,第199-213页(2006) Zhang,B.,Al-Shaer,E.,Jagadeesan,R.,Riely,J.,Pitcher,C.:多域网络的高级无冲突防火墙策略语言规范。 摘自:第12届ACM访问控制模型和技术研讨会,SACMAT’07,第185-194页。 ACM(2007年)。 https://doi.org/10.1145/1266704.1266671 Zhang,S.、Mahmoud,A.、Malik,S.和Narain,S.:使用SAT和QBF验证和合成防火墙。 参见:网络协议(ICNP),第1-6页(2012年)。 https://doi.org/10.109/ICNP.2012.6459944