网络防火墙的配置与管理

　　防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。防火墙（Firewall），是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

　　一、网络防火墙概述

　　如果没有防火墙，内部网络上的服务器都暴露在局域网或Internet上，极易受到攻击。也就是说，内部网络的安全性要由每一台服务器来决定，并且整个内部网络的安全性等于其中防护能力最弱的系统。防火墙作为一个分离器、限制器和分析器，用于执行两个网络之间的访问控制策略，有效地监控了内部网和Internet之间的任何活动。

　　1. 网络防火墙的重要作用

　　在构建安全网络环境的过程中，防火墙作为第一道安全防线，既可为内部网络提供必要的访问控制，但又不会造成网络的瓶颈，并通过安全策略控制进出系统的数据，保护网络内部的关键资源。由此可见，对于联接到Internet的内部网络而言，选用防火墙是非常必要的。

　　●网络安全的屏障

　　防火墙可通过过滤不安全的服务而降低风险，极大地提高内部网络的安全性。由于只有经过选择并授权允许的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙可以禁止诸如不安全的NFS协议进出受保护网络，使攻击者不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙能够拒绝所有以上类型攻击的报文，并将情况及时通知防火墙管理员。

　　● 强化网络安全策略

　　通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如，在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

图 防火墙逻辑位置示意图

　　● 对网络存取和访问进行监控审计由于所有的访问都必须经过防火墙，所以防火墙就不仅能够制作完整的日志记录，而且还能够提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是一项非常重要的工作。这不仅有助于了解防火墙是否能够抵挡攻击者的探测和攻击，了解防火墙的控制是否充分有效，而且有助于作出网络需求分析和威胁分析。

　　● 防止内部信息的外泄

　　通过利用防火墙对内部网络的划分，可实现内部网中重点网段的隔离，限制内部网络中不同部门之间互相访问，从而保障了网络内部敏感数据的安全。另外，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节，可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至由此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节，如Finger、DNS等服务。Finger显示了主机的所有用户的用户名、真名、最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

　　2. 硬件防火墙与软件防火墙

　　防火墙分为软件防火墙和硬件防火墙两种。软件防火墙是安装在PC平台的软件产品，它通过在操作系统底层工作来实现网络管理和防御功能的优化。硬件防火墙的硬件和软件都单独进行设计，有专用网络芯片处理数据包。同时，采用专门的操作系统平台，从而避免通用操作系统的安全性漏洞。并且对软硬件的特殊要求，使硬件防火墙的实际带宽与理论值基本一致，有着高吞吐量、安全与速度兼顾的优点。

硬件防火墙与软件防火墙相比较，有很多优越性，如下表所示。

　　

	软件	硬件
安全性	OS:为通用OS，其安全性主要决定于OS的安全性。 从本质上看，软件防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商的攻击。 另外，就其本身而言，各种操作系统因其考虑通用性，故均做得很复杂，其安全隐和各类脆弱性不断发现，作为防火墙类安全控制设备，建立于这样的系统之上，其安全性能难以提高，也给各防火墙的管理增加了很多工作量。	OS：自主开发； 为专用操作系统，仅服务于防火墙应用，或防火墙直接嵌在操作系统内，减少系统复杂程度，提高安全信任程度。
应用相关性	在通用操作系统上，必然运行相关或无关的各种应用，甚至为黑客程序，各种应用在操作系统内竞占资源，共同使用操作系统的相关调用，有意或无意的应用或操作可能给防火墙应用带来安全或其他方面的影响。	无其他任何应用存在
管理操作安全性	防火墙本身管理的唯一性是容易保证的，但防火墙的下层与操作系统紧密连接，如网络接口，其管理不依赖于防火墙本身，其它应用或应用管理可能会使网络接口不可用或崩溃，因此，要求防火墙管理员必须熟悉系统，并精通相关应用或业务。	防火墙提供专用管理接口，并有系列安全措施，管理员对系统的操作行为是唯一的、有限的，并严格安全审计。
性能	通用操作系统庞大，体系完善，在其上运行的各类应用的性能必然受到很大影响。	精简的操作系统，不处理无关的事务，效率很高。
可靠性	软件型防火墙的运行平台为各类商业级PC或服务器，其不间断运行时间还较难满足使用要求，否则用户将付出较高代价购买高可靠性服务器系统，如热备份等。 通用操作系统本身的稳定性受多种因素影响，其稳定性和可靠性很难管理和保证，即使UNIX系统，尽管其稳定性较高，但其受影响的面太宽，如其它应用导致的资源耗尽或系统重启动等，也会中断网络通信，影响正常业务，这对于重要和关键业务系统的影响或损失可能是很大的。	使用工业级或军用级专用器件生产设备，平均无故障时间很长，真正满足使用要求，也满足成本控制要求。 软件系统可靠性有本身可靠性保证，并且影响可靠性的相关因素很少。
可维护性	操作系统本身的维护、防火墙本身的维护、相关或无关应用的维护均与防火墙的维护密切相关。 在升级方面，相关的事务处理的难度和复杂程度也相对较高。	维护相对简单，维护行为由防火墙限定，无其他相关性，时间短，可能引起的网络中断时间很短。 升级简单，时间短，行为结果唯一。
管理员要求	对系统和相关应用精通，要求管理员具有较高的管理能力。	熟悉防火墙的相关管理命令操作即可。
应急处理适应能力	紧急情况下对处理的适应能力不高，可能导致操作系统的不可用，系统的重新安装将需很长时间。	硬件设备应急处理适应能力很强，系统初始化，启动，配置，恢复、断开等均快速完成。
事故责任	事故责任的相关性大，故障责任点较难确定，如操作系统、其它应用还是防火墙本身。	责任明确，防火墙明确承担所有安全责任。

　　3. 硬件防火墙的类型与选择

　　国内市场的硬件防火墙，大部分都是“软硬件结合的防火墙”，即“定制机箱+X86架构+防火墙软件模块”(大多数基于Linux或UNIX系统开发)。其核心技术实际上仍然是软件，吞吐量不高，容易造成带宽瓶颈。由于PC架构本身不稳定，因此，往往难以适应7*24的不间断运行。所以，这种防火墙一般只能满足中低带宽的安全要求，在高流量环境下往往会造成网络堵塞甚至系统崩溃。

　　● 包过滤防火墙

　　包过滤防火墙是基于源地址和目的地址、应用或协议以及每个IP包的端口作出是否允许通过判断的防火墙。路由器便是传统的包过滤防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。

　　先进的包过滤防火墙可以判断这一点，它可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。网络级防火墙的优点是简洁、速度快、费用低，并且对用户透明，缺点是对网络的保护很有限，因为它只检查地址和端口，对网络更高协议层的信息无理解能力。

　　● 应用网关防火墙应用网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用网关能够理解应用层上的协议，能够做较为复杂的访问控制，并做精细的注册。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。

　　应用网关有较好的访问控制，是目前最安全的防火墙技术，但实现起来比较困难，而且通常对用户缺乏透明。另外，用户在受信任的网络上通过防火墙访问Internet时，经常会发现存在延迟，并且必须进行多次登录才能访问Internet或Intranet，令人感到未免有些美中不足。

　　● 规则检查防火墙

　　规则检查防火墙集包过滤和应用网关的特点于一身。与包过滤防火墙的相同之处在于，它能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。与应用网关的相同之处在于，它可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合公司网络的安全规则。

　　规则检查防火墙不打破客户机/服务机模式来分析应用层的数据，允许受信任的客户机和不受信任的主机建立直接连接。另外，它也不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，从而在理论上比应用级代理在过滤数据包上更有效。

　　由于规则检查防火墙在OSI最高层——应用层上加密数据，既无需修改客户端的程序，也无需对每个在防火墙上运行的服务额外增加一个代理，对于用户完全透明，所以，目前市场上流行的防火墙大多属于该类防火墙。

　　清华得实NetST网络防火墙可以通过两种方式进行配置，一是终端控制台，二是JAVA控制台。前者是类似于DOS的字符界面，虽然使用时比较困难，但是，一些重要系统配置操作，如NetST系统的启停、管理员口令的设置等，必须在终端控制台上进行；后者为标准的Windows图形界面，可以完成大多数一般的配置和操作。

　　1. 终端控制台的连接与登录

　　NetST防火墙随机附送了一条DB-9-to-DB-9串行线。

利用该串行线连接防火墙的控制口和计算机的COM口。

　　启动NetST防火墙，然后，打开计算机，并运行超级终端，选择适当的COM端口。将“每秒位数”调整为“38400”，其他参数保持默认值。

敲一下回车键，显示系统登录提示符。

　　键入用户名和密码，并单击回车键，即可登录至NetST防火墙。可使用的用户名为“admin”、“sysadm”、“cfgadm”和“user”，默认的口令与用户名相同。其中，admin拥有最高权限，有至高无上的权利，可以执行任何操作，所有的命令、对象都可操作。sysadm只能设置所有与系统配置有关的命令操作，不能操作与规则有关的配置。cfgadm只能进行与各项规则制定有关的配置，可以执行sysadm特有命令之外的所有命令对象。user是普通的管理帐号，只能查看当前各种配置的信息，没有权利设置、添加、删除、执行等。也就是说，一般情况下，它只能执行show命令。

　　以不同的用户身份登录，系统显示的提示符是不同的。当以admin登录时，提示符为“admin@NetST”；当以sysadm登录时，提示符则为“sysadm@NetST”。依次类推，其他用户分别为“cfgadm@NetST”和“user@NetST”。

　　3. 终端控制台的基本操作

　　（1）缩写命令

　　为了便于操作，NetST允许使用命令缩写。例如，about缩写为ab，clear缩写为cl，delete缩写为del，disable缩写为dsb，enable缩写为enb，help缩写为h，rename缩写为ren，show缩写为sh，ping缩写为p，quit缩写为q，等等。

　　不仅命令可以缩写，对象也可以被缩写。例如，firewall缩写为fw，interface缩写为if，limit缩写为lim，mode缩写为m，password缩写为pw，time缩写为t，等等。

　　（2）中英文模式切换

　　NetST防火墙提供中英文两种模式，用户可以根据使用习惯选择合适的方式，只需键入如下简单的命令，即可实现中英文的切换。

　　键入“gb”或“set mode gb”命令，即可切换至中文模式；键入“eg”或“set mode eg”命令，即可切换至英文模式。例如：admin@NetST> gb

　　中文模式!admin@NetST> set mode egEnglish!

　　（3）帮助

　　NetST防火墙提供完善的在线帮助系统。在任意提供键入参数的地方键入“h”或“?”，都可看到需要键入的参数个数、要求和其他说明帮助信息。帮助信息包括中、英文两种形式，在命令提示符下，任何时候键入gb、eg即可在中英文模式下进行切换。提示信息、命令执行结果和返回信息，即以相应的语言显示。例如：admin@NetST> h add********************************************************ADD_LIST

　　alias(al) : add a network card aliascontent(cnt) : add content filter items

　　dns : add a or many domain name server's IP-address

　　iplist(ipl) : add ip in proxy access control list

　　mac : add a MAC/IP item.

　　nat : add a NAT (Network Address Transfer) rule.

　　online(ol) : add a online user.

　　route(ro) : add a tracerouter.

　　rule(ru) : add a filter rule.

　　user(u) : add a user.

　　vpnconn(vc) : add vpn connection.********************************************************

　　（4）口令设置

　　由于网络防火墙的配置事关网络安全，因此，建议配置防火墙时首先要做的工作就是修改各用户口令。口令是区分大小写的，口令中必须包括字母和数据，字母必须包括大小写字母，长度至少为7个字符，不超过16个字符，否则视为无效。admin@NetST> set passwordEnter user name: adminEnter new password: ABCDabcd1234Enter New password again: ABCDabcd1234Set password success!

　　JAVA控制台的默认口令为“admin123”，该口令的修改操作如下：admin@NetST> set adminEnter new password: ABCDabcd1234Enter New password again: ABCDabcd1234Set password success!

　　（5）系统操作

　　●重新启动防火墙重新启动防火墙计算机系统，执行此命令后，在终端控制台约一分钟会重新显示用户登录界面。admin@NetST> reboot

　　● 停止防火墙

　　关闭防火墙计算机系统。执行该命令约30秒后，才可以关闭防火墙电源。建议不要直接关闭电源，否则，可能造成防火墙内部系统软件的损坏，导致系统瘫痪。admin@NetST> shutdown

　　● 显示系统状态

　　显示防火墙引擎、UFP服务器、agent服务器、用户登录服务器、VPN服务器、HA功能和PROXY状态，以及CPU、内存使用率。admin@NetST> show state

　　firewall = OFF

　　log server = OFF

　　UFP server = OFF

　　agent server = ON

　　content server = ON

　　login server = ON

　　log file size = 180296 Bytes

　　cpu usage = 0.3%

　　memory usage = 80%

　　VPN = ON

　　HA = OFF

　　PROXY = ON

　　4. 网络设置

　　若欲实现防火墙的正常运行，必须分别为各端口设置正确的IP地址信息。命令格式为：

　　Set interface interface_pwsition IP_addr/state

　　其中，interface_pwsition表示欲配置的端口。使用“admin(a)”、“internal(i)”、“external(e)”和“DMZ(d)”分别标识管理端口、内网端口、外网端口和DMZ端口。IP_addr表示指定的IP地址信息。IP地址采用带掩码的点为十进制格式“xxx.xxx.xxx.xxx/xx”，地址后的“xx”表示掩码位数。表示指定端口状态，可选参数为“up”、“down”、“stat”和“dhcp”，分别表示启动、停止、设置为固定IP地址类型（缺省）、设置网卡通过HDCP获取IP地址。

　　例如：为内网端口设置IP地址10.0.0.1，子网掩码为255.255.255.0。admin@NetST> set interfaceEnter Interface position(i, e, dmz): internal

　　Enter IP address(xxx.xxx.xxx.xxx/xx): 10.0.0.1/24Set interface success!

　　可使用命令“show interface interface_position”，显示网络接口的IP地址信息。该命令可带参数，也可不带参数。如果指定端口，则只显示指定端口的信息；如果未指定端口，则显示所有端口的信息。

　　5. 过滤规则配置

　　NetST防火墙全面支持包过滤功能，包过滤规则的配置是防火墙最重要的设置。

　　（1）过滤规则表的执行次序

　　NetST防火墙将按规则表中有效规则的序号，由小到大依次对数据包进行匹配，直到有一条规则与数据包匹配，防火墙执行该规则指定的动作。如数据库不能与任何规则匹配，防火墙将根据系统缺省动作处理数据包。由此可见，过滤规则的次序非常重要。NetST防火墙的缺省的默认规则为拒绝，即没有明确允许的一律禁止。也就是说，当数据包与规则表中的任何规则均不能匹配时，系统拒绝该数据包。在规则列表中，最一般的规则往往被列在最后，而最具体的规则通常被列在最前面。在列表中，每一个列在前面的规则都比列在后面的规则更加具体，而列表中列在后面的规则比列在前面的规则更加一般。按以上规则要求，规则放置的次序是非常关键的。同样的规则以不同的次序放置，可能会完全改变防火墙产品的运行状况。由于防火墙以顺序方式检查信息包，当防火墙接收到一个信息包时，它先与第一条规则相比较，然后才是第二条、第三条……当它发现一条匹配规则时，就停止检查，并应用那条规则。如果信息包经过每一条规则而没有发现匹配的，那么，默认的规则就将起作用，这个信息包便会被拒绝。

　　（2）增加过滤规则若欲增加过滤规则，使用下述命令：

　　Add rule protocol src_ip dst_ip service/icmp_type interface_position action time log-prefix

　　该命令用于将过滤规则添加到过滤规则表的最后，命令参数包括协议、源IP地址、目的IP地址、服务类型、适用端口、规则的动作和规则处理时间段。所谓规则，是指对符合协议（protocol）、源IP地址（src_ip）、目的IP地址（dst_ip）、服务类型（service/icmp_type）、端口（interface_position）的所有数据执行某种操作（action），即接受、拒绝或进行内容过滤，该规则在特定的时间段（time）内生效。

　　protocol用于定义协议，可以为“any”（任何协议）、“tcp”（TCP协议）、“udp”（UDP协议）和“icmp”（ICMP）协议等。

　　src_ip和dst_ip用于指定源和目的IP地址。IP地址格式为点为十进制格式，如“xxx.xxx.xxx.xxx/xx”。如果目的IP是一个网络，必须带“/xx”掩码，否则，将视为一台主机。也可用“any”表示任何IP地址。

　　service/icmp_type用于指定服务类型，即协议为TCP或UDP时的端口，如http(80)、FTP(21)、telnet(23)、smtp(25)、pop3(110)等。既可使用名称方式，也可使用数字方式，也可用“xx:xx”方式指定端口范围，或使用“any”表示任意端口。

　　需要注意的是，在IP地址和服务类型前加“~”表示取反，即除此地址或服务之外的其他所有地址或服务。不过，“~”对“any”取反没有意义。

　　interface_position用于指定端口，即通信发起方的数据包是从哪个端口进入防火墙的，表明了通信的方向性，只有此方向才能发起通信请求，而反过来则不行，这也是状态检测型防火墙的一个特征：只需定义通信发起方即可，对于返回的数据，防火墙会自动允许通过，具备很好的安全性。可分别用“internal”、“external”、“DMZ”和“admin”指定内部、外部、DMZ和管理端口。也可以使用“any”表示任意端口。

　　Action用于指定动作，即防火墙对符合过滤规则的数据库采取的操作，可以是“drop”（丢弃）、“accept”（接受）和“content”（进行内容过滤）。

　　Time用于指定时间段，即规则在特定的时间段内生效，可以是“any”（任何时候）、“onduty”（工作时间）、“offduty”（非工作时间）。

　　log-prefix参数为可选，用于指定日志前缀，最多14个字符。如果设置，防火墙将把符合过滤规则的数据包的情况记录到日志中，并加入此前缀。如不设置，将不作记录。

　　例如，若欲禁止192.168.0.0网段的员工在工作时间使用QQ聊天，可以在防火墙中添加如下规则：admin@NetST> add ruleEnter protocol type: anyEnter src IP address (xxx.xxx.xxx.xxx[/xx]): 192.168.0.0/24Enter dst IP address (xxx.xxx.xxx.xxx[/xx]): anyEnter service/icmp type : 8000Enter interface position: internalEnter action type (drop -d, accept -a, content -c): dropEnter time (any –a, onduty –on, offduty –off): onEnter log prefix: drop-httpInsert rule success!若欲禁止“冲击波”和“震荡波”蠕虫病毒入侵网络，可以禁用相关端口：admin@NetST> add rule any any 134:139 any drop anyadmin@NetST> add rule any any 445 any drop anyadmin@NetST> add rule any any 9995:9996 any drop anyadmin@NetST> add rule any any 4444 any drop anyadmin@NetST> add rule any any 5554 any drop any可以使用下述命令：admin@NetST> add rule icmp any any any drop any

　　（3）插入过滤规则若欲有现有规则中插入新的过滤规则，使用下述命令：

　　insert rule numberprotocol src_ip dst_ip service/icmp_type interface_position action time log-prefix

　　在过滤规则表中指定位置插入过滤规则，与增加过滤规则命令不同之外在于增加了序号参数“number”，在此序号处插入规则，插入的过滤规则即成为第number条过滤规则，其他参数与增加过滤规则命令完全相同。

　　例如，若欲禁止192.168.0.0网段的员工在工作时间在线看大片，并将该规则设置为第3条，可以执行下述操作：admin@NetST> insert ruleEnter position: 3Enter protocol type: anyEnter src IP address (xxx.xxx.xxx.xxx[/xx]): 192.168.0.0/24Enter dst IP address (xxx.xxx.xxx.xxx[/xx]): anyEnter service/icmp type : 554Enter interface position: internalEnter action type (drop -d, accept -a, content -c): dropEnter time (any –a, onduty –on, offduty –off): onEnter log prefix: Insert rule success!

　　（4）移动过滤规则顺序若欲移动现有过滤规则的前后顺序，可以使用下述命令：

　　move rule number step

　　该命令用于指定的过滤规则在过滤规则表中进行移动，命令参数包括过滤规则的序号（number）和移动的步数（step），命令将过滤规则表的第number条过滤规则移动step位，step为正是后移，为负是前移，如果移动步数超过第一条规则或最后一条规则，就将规则设置为第一条或最后一条规则。

　　例如：若欲将规则3后移2位，那么，应当执行下述操作：admin@NetST> move ruleEnter rule number: 3Enter step: 2

　　Move rule success!

　　（5）修改过滤规则若欲修改现有的过滤规则，可以使用下述命令：

　　modify rule numberprotocol src_ip dst_ip service/icmp_type interface_position action time log-prefix

　　该命令用于修改在过滤规则表的指定位置处的过滤规则，与增加过滤规则命令不同之外在于，增加了序号参数number，修改此序号处的过滤规则，其他参数与增加过小规则命令完全相同，当有参数不变时，用“*”号代替，或在分段输入时直接回车即可。对于日志前缀，如果直接回车表示无前缀，用“*”表示不变。

　　例如，若欲将第2条规则所限制的IP地址范围由192.168.0.0网段，修改为192.168.10.0网段，并不再记录日志，那么，操作如下：admin@NetST> modify ruleEnter rule number: 2Enter src IP address (xxx.xxx.xxx.xxx[/xx]): 192.168.10.0/24Enter dst IP address (xxx.xxx.xxx.xxx[/xx]): Enter service/icmp type : Enter interface position: Enter action type (drop -d, accept -a, content -c): Enter time (any –a, onduty –on, offduty –off): Enter log prefix: Insert rule success!

　　（6）显示过滤规则无论插入过滤规则也好，还是移动或修改过滤规则也罢，都需要事先确定过滤规则的位置。因此，显示过滤规则就成为必需的操作步骤。若欲显示过滤规则，执行下述命令：

　　show rule number

　　该命令用于显示过滤规则表，可选的命令参数是过滤规则号或规则范围（用“-”分隔）。若指定过滤规则号，只显示指定的过滤规则信息；若不指定，则显示所有过滤规则的信息。例如，若欲显示所有的过滤规则，则执行：admin@NetST> show rule

　　若欲显示1-6号规则，则执行：admin@NetST> show rule 1-6

　　（7）启用或禁用过滤规则若欲启用过滤规则，执行下述命令：

　　enable rule number

　　该命令用于使指定的过滤规则起作用，命令参数是过滤规则号，即使该过滤规则号指定的规则起作用。可在命令行一次指定多个相邻（使用“-”分隔）或不相邻（使用空格分隔）的规则。若分段输入，则只能指定一个。

　　例如，若欲启用过滤规则2-4和6，执行：admin@NetST> enable rule 2-4 6若欲禁用过滤规则，执行下述命令：

　　disable rule number

　　该命令用于使指定的过滤规则不起作用，number参数的指定与上述相同。在使用“show rule”命令查看时，不起作用的规则前标记有“*”号。

　　（8）删除过滤规则若欲删除某条过滤规则，执行下述命令：

　　delete rule number

　　该命令用于使指定的过滤规则不起作用，number参数的指定与上述相同。

　　例如，若欲删除第3条过滤规则时，执行下述操作：admin@NetST> delete ruleEnter number: 3It will delete rule 3. Are you sure (y/n)? yDelete rule success!若欲删除所有的过滤规则，执行下述命令：delall rule例如，若欲删除所有的过滤规则，执行下述操作：admin@NetST> delall ruleEnter number: 3It will delete all rules. Are you sure (y/n)? yDelete all rules success!admin@NetST> show ruleError: No any rules!