编辑过滤规则

    点击编辑过滤集中的过滤规则索引按钮进入每个过滤规则页面。下面详细介绍每个配置项目。（见图6）

    •Comments（注释）：输入过滤注释，最大字符长度14个字符。

    •Check to enable the Filter Rule（选中允许过滤规则）：允许过滤规则。

    •Pass or Block（通过或者封锁）：指定当包匹配过滤规则时通过或者封锁行为被执行。

    •Block Immediately（封锁立即执行）：数据包匹配规则时立即被丢弃。

    •Pass Immediately（通过立即执行）：数据包匹配规则时立即通过。

    •Block If No Further Match（假如不甚匹配时封锁）：一个数据包匹配规则，又不是很匹配规则时，将被丢弃。

    •Pass If No Further Match（假如不甚匹配时通过）：一个数据包匹配规则，又不是很匹配规则时，将通过。

    •Branch to Other Filter Set（分流到另一过滤器）：假如包匹配过滤一个规则，下一过滤规则将被分支到指定过滤集。

    •Duplicate to LAN（复制到局域网）：假如你想把匹配的包记录到另外的一个网络设备，选中这个单选框，MAC地址就是在General Setup > MAC Address for Logged Packets Duplication中定义的。.

    •Log（日志）：选中这个单选框启用日志功能。在Telnet终端用命令log-f 可以显示这些日志。

    •Direction：设置包流量的进出方向。对于Call Filter这个设置没有作用；对于Data Filter，IN指过滤进来的数据包，OUT指过滤出去的数据包。

    •Protocol（协议）：指这个过滤规则将应用的网络通信协议。

    •IP Address（IP地址）：指这个过滤规则使用的源IP地址和目的IP地址。但可使用“！”设定，代表相反的意思，如同(not)。

    •Subnet Mask（子网掩码）：指定上述IP地址的相应IP掩码。

    •Operator（操作）：Operator栏指定端口设置。当Start Port（启始端口）是空的，Start Port 和End Port（结束端口）将被忽略。这个过滤规则将通过所有端口
    （1）“= ”指当结束端口是空时，过滤规则将被设置为过滤匹配启始端口的数据包 ，或过滤匹配从启始到结束端口之间的数据包。
    （2）“!=”指当结束端口是空的时，过滤规则将被设置为过滤不匹配启始端口的数据包，或过滤不匹配从启始到结束端口之间的数据包。
    （3）“>”指端口号大于启始端口，包括启始端口。
    （4）“<”指端口号小启始端口，包括启始端口。

    •Keep State（状态保持）：当选中时，关于TCP/UDP/ICMP协议通信会话的信息将被 IP Filter/Firewall保持。

    •Fragments: 指定包片断启动，这里一般我们选择Do not Care就行了，也就是在这个过滤规则不指定片断选项。
#$[*140887.jpg*#图6（点击看大图）*#0*#0*#center*]$#