硬件防火墙的配置过程讲解(9)

　　例如将规则100应用于过滤从外部网络接口上接收到的报文，配置语句为（同样为在倾为包过滤路由器上）：

　　ip access-group 100 in

　　如果要删除某个访问控制表列绑定设置，则可用no ip access-group listnumber { in | out } 命令。

　　4. show access-list

　　此配置命令用于显示包过滤规则在接口上的应用情况。命令格式为：show access-list [ all | listnumber | interface interface-name ]

　　这一命令须在特权用户模式下进行配置，其中all参数表示显示所有规则的应用情况，包括普通时间段内及特殊时间段内的规则；如果选择listnumber参数，则仅需显示指定规则号的过滤规则；interface 表示要显示在指定接口上应用的所有规则序号；interface-name参数为接口的名称。

　　使用此命令来显示所指定的规则，同时查看规则过滤报文的情况。每个规则都有一个相应的计数器，如果用此规则过滤了一个报文，则计数器加1；通过对计数器的观察可以看出所配置的规则中，哪些规则是比较有效，而哪些基本无效。例如，现在要显示当前所使用序号为100的规则的使用情况，可执行Quidway#show access-list 100语句即可，随即系统即显示这条规则的使用情况，格式如下：

　　Using normal packet-filtering access rules now.

　　100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect (3 matches,252 bytes -- rule 1)

　　100 permit icmp 10.1.0.0 0.0.255.255 any echo (no matches -- rule 2)

　　100 deny udp any any eq rip (no matches -- rule 3)

　　5. show firewall

　　此命令须在特权用户模式下执行，它显示当前防火墙状态。命令格式非常简单，也为：show firewall。这里所说的防火墙状态，包括防火墙是否被启用，启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。

　　6. Telnet

　　这是用于定义能过防火配置控制端口进行远程登录的有关参数选项，也须在全局配置用户模式下进行配置。

　　命令格式为：telnet ip_address [netmask] [if_name]

　　其中的ip_address参数是用来指定用于Telnet登录的IP地址，netmask为子网掩码，if_name用于指定用于Telnet登录的接口，通常不用指定，则表示此IP地址适用于所有端口。如：

　　telnet 192.168.1.1

　　如果要清除防火墙上某个端口的Telnet参数配置，则须用clear telnet命令，其格式为：clear telnet [ip_address [netmask] [if_name]]，其中各选项说明同上。它与另一个命令no telnet功能基本一样，不过它是用来删除某接口上的Telnet配置，命令格式为：no telnet [ip_address [netmask] [if_name]]。

　　如果要显示当前所有的Telnet配置，则可用show telnet命令。