網路防火牆的配置與管理

技術小牛人發表於2017-11-17
防火牆是目前最為流行也是使用最為廣泛的一種網路安全技術。防火牆(Firewall),是指設定在不同網路(如可信任的企業內部網和不可信的公共網)或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間資訊的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網路的資訊流,且本身具有較強的抗攻擊能力。它是提供資訊保安服務,實現網路和資訊保安的基礎設施。

一、網路防火牆概述

如果沒有防火牆,內部網路上的伺服器都暴露在區域網或Internet上,極易受到攻擊。也就是說,內部網路的安全性要由每一臺伺服器來決定,並且整個內部網路的安全性等於其中防護能力最弱的系統。防火牆作為一個分離器、限制器和分析器,用於執行兩個網路之間的訪問控制策略,有效地監控了內部網和Internet之間的任何活動。

1. 網路防火牆的重要作用

在構建安全網路環境的過程中,防火牆作為第一道安全防線,既可為內部網路提供必要的訪問控制,但又不會造成網路的瓶頸,並通過安全策略控制進出系統的資料,保護網路內部的關鍵資源。由此可見,對於聯接到Internet的內部網路而言,選用防火牆是非常必要的。
 網路安全的屏障
防火牆可通過過濾不安全的服務而降低風險,極大地提高內部網路的安全性。由於只有經過選擇並授權允許的應用協議才能通過防火牆,所以網路環境變得更安全。防火牆可以禁止諸如不安全的NFS協議進出受保護網路,使攻擊者不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆能夠拒絕所有以上型別攻擊的報文,並將情況及時通知防火牆管理員。
● 強化網路安全策略
通過以防火牆為中心的安全方案配置,能將所有安全軟體(如口令、加密、身份認證、審計等)配置在防火牆上。與將網路安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如,在網路訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火牆一身上。
  防火牆邏輯位置示意圖
● 對網路存取和訪問進行監控審計
由於所有的訪問都必須經過防火牆,所以防火牆就不僅能夠製作完整的日誌記錄,而且還能夠提供網路使用情況的統計資料。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細資訊。另外,收集一個網路的使用和誤用情況也是一項非常重要的工作。這不僅有助於瞭解防火牆是否能夠抵擋攻擊者的探測和攻擊,瞭解防火牆的控制是否充分有效,而且有助於作出網路需求分析和威脅分析。
● 防止內部資訊的外洩
通過利用防火牆對內部網路的劃分,可實現內部網中重點網段的隔離,限制內部網路中不同部門之間互相訪問,從而保障了網路內部敏感資料的安全。另外,隱私是內部網路非常關心的問題,一個內部網路中不引人注意的細節,可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至由此而暴露了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節,如FingerDNS等服務。Finger顯示了主機的所有使用者的使用者名稱、真名、最後登入時間和使用shell型別等。但是Finger顯示的資訊非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有使用者正在連線上網,這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS資訊,這樣一臺主機的域名和IP地址就不會被外界所瞭解。

2. 硬體防火牆與軟體防火牆

防火牆分為軟體防火牆和硬體防火牆兩種。軟體防火牆是安裝在PC平臺的軟體產品,它通過在作業系統底層工作來實現網路管理和防禦功能的優化。硬體防火牆的硬體和軟體都單獨進行設計,有專用網路晶片處理資料包。同時,採用專門的作業系統平臺,從而避免通用作業系統的安全性漏洞。並且對軟硬體的特殊要求,使硬體防火牆的實際頻寬與理論值基本一致,有著高吞吐量、安全與速度兼顧的優點。
硬體防火牆與軟體防火牆相比較,有很多優越性,如下表所示。
軟體
硬體
安全性
OS:為通用OS,其安全性主要決定於OS的安全性。
從本質上看,軟體防火牆既要防止來自外部網路的攻擊,還要防止來自作業系統廠商的攻擊。
另外,就其本身而言,各種作業系統因其考慮通用性,故均做得很複雜,其安全隱和各類脆弱性不斷發現,作為防火牆類安全控制裝置,建立於這樣的系統之上,其安全效能難以提高,也給各防火牆的管理增加了很多工作量。
OS:自主開發;
為專用作業系統,僅服務於防火牆應用,或防火牆直接嵌在作業系統內,減少系統複雜程度,提高安全信任程度。
 應用相關性
在通用作業系統上,必然執行相關或無關的各種應用,甚至為黑客程式,各種應用在作業系統內競佔資源,共同使用作業系統的相關呼叫,有意或無意的應用或操作可能給防火牆應用帶來安全或其他方面的影響。
無其他任何應用存在
 管理操作安全性
防火牆本身管理的唯一性是容易保證的,但防火牆的下層與作業系統緊密連線,如網路介面,其管理不依賴於防火牆本身,其它應用或應用管理可能會使網路介面不可用或崩潰,因此,要求防火牆管理員必須熟悉系統,並精通相關應用或業務。
防火牆提供專用管理介面,並有系列安全措施,管理員對系統的操作行為是唯一的、有限的,並嚴格安全審計。
效能
通用作業系統龐大,體系完善,在其上執行的各類應用的效能必然受到很大影響。
精簡的作業系統,不處理無關的事務,效率很高。
可靠性
軟體型防火牆的執行平臺為各類商業級PC或伺服器,其不間斷執行時間還較難滿足使用要求,否則使用者將付出較高代價購買高可靠性伺服器系統,如熱備份等。
通用作業系統本身的穩定性受多種因素影響,其穩定性和可靠性很難管理和保證,即使UNIX系統,儘管其穩定性較高,但其受影響的面太寬,如其它應用導致的資源耗盡或系統重啟動等,也會中斷網路通訊,影響正常業務,這對於重要和關鍵業務系統的影響或損失可能是很大的。
使用工業級或軍用級專用器件生產裝置,平均無故障時間很長,真正滿足使用要求,也滿足成本控制要求。
軟體系統可靠性有本身可靠性保證,並且影響可靠性的相關因素很少。
可維護性
作業系統本身的維護、防火牆本身的維護、相關或無關應用的維護均與防火牆的維護密切相關。
在升級方面,相關的事務處理的難度和複雜程度也相對較高。
維護相對簡單,維護行為由防火牆限定,無其他相關性,時間短,可能引起的網路中斷時間很短。
升級簡單,時間短,行為結果唯一。
管理員要求
對系統和相關應用精通,要求管理員具有較高的管理能力。 
熟悉防火牆的相關管理命令操作即可。
應急處理適應能力
緊急情況下對處理的適應能力不高,可能導致作業系統的不可用,系統的重新安裝將需很長時間。
硬體裝置應急處理適應能力很強,系統初始化,啟動,配置,恢復、斷開等均快速完成。
事故責任
事故責任的相關性大,故障責任點較難確定,如作業系統、其它應用還是防火牆本身。
責任明確,防火牆明確承擔所有安全責任。
 

3. 硬體防火牆的型別與選擇

國內市場的硬體防火牆,大部分都是“軟硬體結合的防火牆”,即“定製機箱+X86架構+防火牆軟體模組”(大多數基於LinuxUNIX系統開發)。其核心技術實際上仍然是軟體,吞吐量不高,容易造成頻寬瓶頸。由於PC架構本身不穩定,因此,往往難以適應7*24的不間斷執行。所以,這種防火牆一般只能滿足中低頻寬的安全要求,在高流量環境下往往會造成網路堵塞甚至系統崩潰。
● 包過濾防火牆
包過濾防火牆是基於源地址和目的地址、應用或協議以及每個IP包的埠作出是否允許通過判斷的防火牆。路由器便是傳統的包過濾防火牆,大多數的路由器都能通過檢查這些資訊來決定是否將所收到的包轉發,但它不能判斷出一個IP包來自何方,去向何處。
先進的包過濾防火牆可以判斷這一點,它可以提供內部資訊以說明所通過的連線狀態和一些資料流的內容,把判斷的資訊同規則表進行比較,在規則表中定義了各種規則來表明是否同意或拒絕包的通過。包過濾防火牆檢查每一條規則直至發現包中的資訊與某規則相符。如果沒有一條規則能符合,防火牆就會使用預設規則,一般情況下,預設規則就是要求防火牆丟棄該包。其次,通過定義基於TCPUDP資料包的埠號,防火牆能夠判斷是否允許建立特定的連線,如TelnetFTP連線。
網路級防火牆的優點是簡潔、速度快、費用低,並且對使用者透明,缺點是對網路的保護很有限,因為它只檢查地址和埠,對網路更高協議層的資訊無理解能力。
● 應用閘道器防火牆
應用閘道器能夠檢查進出的資料包,通過閘道器複製傳遞資料,防止在受信任伺服器和客戶機與不受信任的主機間直接建立聯絡。應用閘道器能夠理解應用層上的協議,能夠做較為複雜的訪問控制,並做精細的註冊。但每一種協議需要相應的代理軟體,使用時工作量大,效率不如網路級防火牆。
應用閘道器有較好的訪問控制,是目前最安全的防火牆技術,但實現起來比較困難,而且通常對使用者缺乏透明。另外,使用者在受信任的網路上通過防火牆訪問Internet時,經常會發現存在延遲,並且必須進行多次登入才能訪問InternetIntranet,令人感到未免有些美中不足。
● 規則檢查防火牆
規則檢查防火牆集包過濾和應用閘道器的特點於一身。與包過濾防火牆的相同之處在於,它能夠在OSI網路層上通過IP地址和埠號,過濾進出的資料包。與應用閘道器的相同之處在於,它可以在OSI應用層上檢查資料包的內容,檢視這些內容是否能符合公司網路的安全規則。
規則檢查防火牆不打破客戶機/服務機模式來分析應用層的資料,允許受信任的客戶機和不受信任的主機建立直接連線。另外,它也不依靠與應用層有關的代理,而是依靠某種演算法來識別進出的應用層資料,這些演算法通過已知合法資料包的模式來比較進出資料包,從而在理論上比應用級代理在過濾資料包上更有效。
由於規則檢查防火牆在OSI最高層——應用層上加密資料,既無需修改客戶端的程式,也無需對每個在防火牆上執行的服務額外增加一個代理,對於使用者完全透明,所以,目前市場上流行的防火牆大多屬於該類防火牆。

二、清華得實NetST網路防火牆的配置

清華得實NetST網路防火牆可以通過兩種方式進行配置,一是終端控制檯,二是JAVA控制檯。前者是類似於DOS的字元介面,雖然使用時比較困難,但是,一些重要系統配置操作,如NetST系統的啟停、管理員口令的設定等,必須在終端控制檯上進行;後者為標準的Windows圖形介面,可以完成大多數一般的配置和操作。

1. 終端控制檯的連線與登入

NetST防火牆隨機附送了一條DB-9-to-DB-9序列線。
利用該序列線連線防火牆的控制口和計算機的COM口。
啟動NetST防火牆,然後,開啟計算機,並執行超級終端,選擇適當的COM埠。將“每秒位數”調整為“38400”,其他引數保持預設值。
敲一下Enter鍵,顯示系統登入提示符。
鍵入使用者名稱和密碼,並單擊Enter鍵,即可登入至NetST防火牆。可使用的使用者名稱為“admin”、“sysadm”、“cfgadm”和“user”,預設的口令與使用者名稱相同。其中,admin擁有最高許可權,有至高無上的權利,可以執行任何操作,所有的命令、物件都可操作。sysadm只能設定所有與系統配置有關的命令操作,不能操作與規則有關的配置。cfgadm只能進行與各項規則制定有關的配置,可以執行sysadm特有命令之外的所有命令物件。user是普通的管理帳號,只能檢視當前各種配置的資訊,沒有權利設定、新增、刪除、執行等。也就是說,一般情況下,它只能執行show命令。
以不同的使用者身份登入,系統顯示的提示符是不同的。當以admin登入時,提示符為“admin@NetST”;當以sysadm登入時,提示符則為“sysadm@NetST”。依次類推,其他使用者分別為“cfgadm@NetST”和“user@NetST”。

3. 終端控制檯的基本操作

1)縮寫命令
為了便於操作,NetST允許使用命令縮寫。例如,about縮寫為abclear縮寫為cldelete縮寫為deldisable縮寫為dsbenable縮寫為enbhelp縮寫為hrename縮寫為renshow縮寫為shping縮寫為pquit縮寫為q,等等。
 
不僅命令可以縮寫,物件也可以被縮寫。例如,firewall縮寫為fwinterface縮寫為iflimit縮寫為limmode縮寫為mpassword縮寫為pwtime縮寫為t,等等。
2)中英文模式切換
NetST防火牆提供中英文兩種模式,使用者可以根據使用習慣選擇合適的方式,只需鍵入如下簡單的命令,即可實現中英文的切換。
鍵入“gb”或“set mode gb”命令,即可切換至中文模式;鍵入“eg”或“set mode eg”命令,即可切換至英文模式。
例如:
admin@NetST> gb
中文模式!
admin@NetST> set mode eg
English!
3)幫助
NetST防火牆提供完善的線上幫助系統。在任意提供鍵入引數的地方鍵入“h”或“?”,都可看到需要鍵入的引數個數、要求和其他說明幫助資訊。幫助資訊包括中、英文兩種形式,在命令提示符下,任何時候鍵入gbeg即可在中英文模式下進行切換。提示資訊、命令執行結果和返回資訊,即以相應的語言顯示。
例如:
admin@NetST> h add
********************************************************
ADD_LIST
alias(al)    : add a network card alias
content(cnt) : add content filter items
dns        : add a or many domain name server`s IP-address
iplist(ipl)    : add ip in proxy access control list
mac        : add a MAC/IP item.
nat         : add a NAT (Network Address Transfer) rule.
online(ol)    : add a online user.
route(ro)     : add a tracerouter.
rule(ru)      : add a filter rule.
user(u)       : add a user.
vpnconn(vc)   : add vpn connection.
********************************************************
 
4)口令設定
由於網路防火牆的配置事關網路安全,因此,建議配置防火牆時首先要做的工作就是修改各使用者口令。口令是區分大小寫的,口令中必須包括字母和資料,字母必須包括大小寫字母,長度至少為7個字元,不超過16個字元,否則視為無效。
admin@NetST> set password
Enter user name: admin
Enter new password: ABCDabcd1234
Enter New password again: ABCDabcd1234
Set password success!
JAVA控制檯的預設口令為“admin123,該口令的修改操作如下:
admin@NetST> set admin
Enter new password: ABCDabcd1234
Enter New password again: ABCDabcd1234
Set password success!
5)系統操作
 重新啟動防火牆
重新啟動防火牆計算機系統,執行此命令後,在終端控制檯約一分鐘會重新顯示使用者登入介面。
admin@NetST> reboot
● 停止防火牆
關閉防火牆計算機系統。執行該命令約30秒後,才可以關閉防火牆電源。建議不要直接關閉電源,否則,可能造成防火牆內部系統軟體的損壞,導致系統癱瘓。
admin@NetST> shutdown
● 顯示系統狀態
顯示防火牆引擎、UFP伺服器、agent伺服器、使用者登入伺服器、VPN伺服器、HA功能和PROXY狀態,以及CPU、記憶體使用率。
admin@NetST> show state
firewall       = OFF
log server     = OFF
UFP server    = OFF
agent server   = ON
content server  = ON
login server    = ON
log file size    = 180296 Bytes
cpu usage     = 0.3%
memory usage  = 80%
VPN          = ON
HA           = OFF
PROXY       = ON

4. 網路設定

若欲實現防火牆的正常執行,必須分別為各埠設定正確的IP地址資訊。命令格式為:
Set interface interface_pwsition IP_addr/state
其中,interface_pwsition表示欲配置的埠。使用“admin(a)”、“internal(i)”、“external(e)”和“DMZ(d)”分別標識管理埠、內網埠、外網埠和DMZ埠。IP_addr表示指定的IP地址資訊。IP地址採用帶掩碼的點為十進位制格式“xxx.xxx.xxx.xxx/xx”,地址後的“xx”表示掩碼位數。表示指定埠狀態,可選引數為“up”、“down”、“stat”和“dhcp”,分別表示啟動、停止、設定為固定IP地址型別(預設)、設定網路卡通過HDCP獲取IP地址。
例如:為內網埠設定IP地址10.0.0.1,子網掩碼為255.255.255.0
admin@NetST> set interface
Enter Interface position(i, e, dmz): internal
Enter IP address(xxx.xxx.xxx.xxx/xx): 10.0.0.1/24
Set interface success!
可使用命令“show interface interface_position”,顯示網路介面的IP地址資訊。該命令可帶引數,也可不帶引數。如果指定埠,則只顯示指定埠的資訊;如果未指定埠,則顯示所有埠的資訊。

5. 過濾規則配置

NetST防火牆全面支援包過濾功能,包過濾規則的配置是防火牆最重要的設定。
1)過濾規則表的執行次序
NetST防火牆將按規則表中有效規則的序號,由小到大依次對資料包進行匹配,直到有一條規則與資料包匹配,防火牆執行該規則指定的動作。如資料庫不能與任何規則匹配,防火牆將根據系統預設動作處理資料包。由此可見,過濾規則的次序非常重要。NetST防火牆的預設的預設規則為拒絕,即沒有明確允許的一律禁止。也就是說,當資料包與規則表中的任何規則均不能匹配時,系統拒絕該資料包。
在規則列表中,最一般的規則往往被列在最後,而最具體的規則通常被列在最前面。在列表中,每一個列在前面的規則都比列在後面的規則更加具體,而列表中列在後面的規則比列在前面的規則更加一般。
按以上規則要求,規則放置的次序是非常關鍵的。同樣的規則以不同的次序放置,可能會完全改變防火牆產品的執行狀況。由於防火牆以順序方式檢查資訊包,當防火牆接收到一個資訊包時,它先與第一條規則相比較,然後才是第二條、第三條……當它發現一條匹配規則時,就停止檢查,並應用那條規則。如果資訊包經過每一條規則而沒有發現匹配的,那麼,預設的規則就將起作用,這個資訊包便會被拒絕。
2)增加過濾規則
若欲增加過濾規則,使用下述命令:
Add rule protocol src_ip dst_ip service/icmp_type interface_position action time log-prefix
該命令用於將過濾規則新增到過濾規則表的最後,命令引數包括協議、源IP地址、目的IP地址、服務型別、適用埠、規則的動作和規則處理時間段。所謂規則,是指對符合協議(protocol)、源IP地址(src_ip)、目的IP地址(dst_ip)、服務型別(service/icmp_type)、埠(interface_position)的所有資料執行某種操作(action),即接受、拒絕或進行內容過濾,該規則在特定的時間段(time)內生效。
protocol用於定義協議,可以為“any”(任何協議)、“tcp”(TCP協議)、“udp”(UDP協議)和“icmp”(ICMP)協議等。
src_ipdst_ip用於指定源和目的IP地址。IP地址格式為點為十進位制格式,如“xxx.xxx.xxx.xxx/xx”。如果目的IP是一個網路,必須帶“/xx”掩碼,否則,將視為一臺主機。也可用“any”表示任何IP地址。
service/icmp_type用於指定服務型別,即協議為TCPUDP時的埠,如http(80)FTP(21)telnet(23)smtp(25)pop3(110)等。既可使用名稱方式,也可使用數字方式,也可用“xx:xx”方式指定埠範圍,或使用“any”表示任意埠。
需要注意的是,在IP地址和服務型別前加“~”表示取反,即除此地址或服務之外的其他所有地址或服務。不過,“~”對“any”取反沒有意義。
interface_position用於指定埠,即通訊發起方的資料包是從哪個埠進入防火牆的,表明了通訊的方向性,只有此方向才能發起通訊請求,而反過來則不行,這也是狀態檢測型防火牆的一個特徵:只需定義通訊發起方即可,對於返回的資料,防火牆會自動允許通過,具備很好的安全性。可分別用“internal”、“external”、“DMZ”和“admin”指定內部、外部、DMZ和管理埠。也可以使用“any”表示任意埠。
Action用於指定動作,即防火牆對符合過濾規則的資料庫採取的操作,可以是“drop”(丟棄)、“accept”(接受)和“content”(進行內容過濾)。
Time用於指定時間段,即規則在特定的時間段內生效,可以是“any”(任何時候)、“onduty”(工作時間)、“offduty”(非工作時間)。
log-prefix引數為可選,用於指定日誌字首,最多14個字元。如果設定,防火牆將把符合過濾規則的資料包的情況記錄到日誌中,並加入此字首。如不設定,將不作記錄。
例如,若欲禁止192.168.0.0網段的員工在工作時間使用QQ聊天,可以在防火牆中新增如下規則:
admin@NetST> add rule
Enter protocol type: any
Enter src IP address (xxx.xxx.xxx.xxx[/xx]): 192.168.0.0/24
Enter dst IP address (xxx.xxx.xxx.xxx[/xx]): any
Enter service/icmp type : 8000
Enter interface position: internal
Enter action type (drop -d, accept -a, content -c): drop
Enter time (any –a, onduty –on, offduty –off): on
Enter log prefix: drop-http
Insert rule success!
若欲禁止“衝擊波”和“震盪波”蠕蟲病毒入侵網路,可以禁用相關埠:
admin@NetST> add rule any any 134:139 any drop any
admin@NetST> add rule any any 445 any drop any
admin@NetST> add rule any any 9995:9996 any drop any
admin@NetST> add rule any any 4444 any drop any
admin@NetST> add rule any any 5554 any drop any
可以使用下述命令:
admin@NetST> add rule icmp any any any drop any
3)插入過濾規則
若欲有現有規則中插入新的過濾規則,使用下述命令:
insert rule number protocol src_ip dst_ip service/icmp_type interface_position action time log-prefix
在過濾規則表中指定位置插入過濾規則,與增加過濾規則命令不同之外在於增加了序號引數“number”,在此序號處插入規則,插入的過濾規則即成為第number條過濾規則,其他引數與增加過濾規則命令完全相同。
例如,若欲禁止192.168.0.0網段的員工在工作時間線上看大片,並將該規則設定為第3條,可以執行下述操作:
admin@NetST> insert rule
Enter position: 3
Enter protocol type: any
Enter src IP address (xxx.xxx.xxx.xxx[/xx]): 192.168.0.0/24
Enter dst IP address (xxx.xxx.xxx.xxx[/xx]): any
Enter service/icmp type : 554
Enter interface position: internal
Enter action type (drop -d, accept -a, content -c): drop
Enter time (any –a, onduty –on, offduty –off): on
Enter log prefix:
Insert rule success!
 
4)移動過濾規則順序
若欲移動現有過濾規則的前後順序,可以使用下述命令:
move rule number step
該命令用於指定的過濾規則在過濾規則表中進行移動,命令引數包括過濾規則的序號(number)和移動的步數(step),命令將過濾規則表的第number條過濾規則移動step位,step為正是後移,為負是前移,如果移動步數超過第一條規則或最後一條規則,就將規則設定為第一條或最後一條規則。
例如:若欲將規則3後移2位,那麼,應當執行下述操作:
admin@NetST> move rule
Enter rule number: 3
Enter step: 2
Move rule success!
 
5)修改過濾規則
若欲修改現有的過濾規則,可以使用下述命令:
modify rule number protocol src_ip dst_ip service/icmp_type interface_position action time log-prefix
該命令用於修改在過濾規則表的指定位置處的過濾規則,與增加過濾規則命令不同之外在於,增加了序號引數number,修改此序號處的過濾規則,其他引數與增加過小規則命令完全相同,當有引數不變時,用“*”號代替,或在分段輸入時直接回車即可。對於日誌字首,如果直接回車表示無字首,用“*”表示不變。
例如,若欲將第2條規則所限制的IP地址範圍由192.168.0.0網段,修改為192.168.10.0網段,並不再記錄日誌,那麼,操作如下:
admin@NetST> modify rule
Enter rule number: 2
Enter src IP address (xxx.xxx.xxx.xxx[/xx]): 192.168.10.0/24
Enter dst IP address (xxx.xxx.xxx.xxx[/xx]):
Enter service/icmp type :
Enter interface position:
Enter action type (drop -d, accept -a, content -c):
Enter time (any –a, onduty –on, offduty –off):
Enter log prefix:
Insert rule success!
 
6)顯示過濾規則
無論插入過濾規則也好,還是移動或修改過濾規則也罷,都需要事先確定過濾規則的位置。因此,顯示過濾規則就成為必需的操作步驟。若欲顯示過濾規則,執行下述命令:
show rule number
該命令用於顯示過濾規則表,可選的命令引數是過濾規則號或規則範圍(用“”分隔)。若指定過濾規則號,只顯示指定的過濾規則資訊;若不指定,則顯示所有過濾規則的資訊。
例如,若欲顯示所有的過濾規則,則執行:
admin@NetST> show rule
若欲顯示1-6號規則,則執行:
admin@NetST> show rule 1-6
7)啟用或禁用過濾規則
若欲啟用過濾規則,執行下述命令:
enable rule number
該命令用於使指定的過濾規則起作用,命令引數是過濾規則號,即使該過濾規則號指定的規則起作用。可在命令列一次指定多個相鄰(使用“”分隔)或不相鄰(使用空格分隔)的規則。若分段輸入,則只能指定一個。
例如,若欲啟用過濾規則2-46,執行:
admin@NetST> enable rule 2-4 6
若欲禁用過濾規則,執行下述命令:
disable rule number
該命令用於使指定的過濾規則不起作用,number引數的指定與上述相同。在使用“show rule”命令檢視時,不起作用的規則前標記有“*”號。
 
8)刪除過濾規則
若欲刪除某條過濾規則,執行下述命令:
delete rule number
該命令用於使指定的過濾規則不起作用,number引數的指定與上述相同。
例如,若欲刪除第3條過濾規則時,執行下述操作:
admin@NetST> delete rule
Enter number: 3
It will delete rule 3. Are you sure (y/n)? y
Delete rule success!
若欲刪除所有的過濾規則,執行下述命令:
delall rule
例如,若欲刪除所有的過濾規則,執行下述操作:
admin@NetST> delall rule
Enter number: 3
It will delete all rules. Are you sure (y/n)? y
Delete all rules success!
admin@NetST> show rule
Error: No any rules!



 

本文轉自 劉曉輝 51CTO部落格,原文連結:http://blog.51cto.com/liuxh/42341 ,如需轉載請自行聯絡原作者


相關文章