0 %! !
%60>3456/73456/3$8
! !%%#%>M"0LM!Q#%"QQ%
O
协议
规则的下一部分是协议。* 当前分析可疑包的 + 协议有四种: 、! 、+" 和 + 。将来可能会更多,例如
/8、58、58$、4*(、8、2 等。
地址
规则头的下一个部分处理一个给定规则的 + 地址和端口号信息。关键字?%0?可以被用来定义任何地址。* 没有提供根据 + 地址
查询域名的机制。地址就是由直接的数字型 + 地址和一个 + 块组成的。+ 块指示作用在规则地址和需要检查的进入的任何包的网
络掩码。 表示 类网络, 表示 # 类网络,H 表示一个特定的机器的地址。例如, 代表从 到
AA 的地址块。在这个地址范围的任何地址都匹配使用这个 标志的规则。这种记法给我们提供了一个很
好的方法来表示一个很大的地址空间。
有一个操作符可以应用在 + 地址上,它是否定运算符(%+ %)。这个操作符告诉 匹配除了列出的 + 地址以外的
所有 + 地址。否定操作符用?!?表示。下面这条规则对任何来自本地网络以外的流都进行报警。
% G%0=)>?@%A@?B">?K%"!%?B,
这个规则的 + 地址代表?任何源 + 地址不是来自内部网络而目标地址是内部网络的 包?。你也可以指定 + 地址列表,一个 + 地址列
表由逗号分割的 + 地址和 8 块组成,并且要放在方括号内“IR,“JR。此时,+ 列表可以不包含空格在 + 地址之间。下面是一个包含
+ 地址列表的规则的例子。
% GIMJ%0=IMJ)>?@%A@?B">
?K%"!%?B,