系统策略的优先级比防火墙策略高,因此如果任务可以用系统策略完成,就不要用防火墙策略。例如有时候我们为了测试需要,允许从内网ping ISA服务器,这种需求完全可以用系统策略完成,如下图所示,我们只要把内部网络添加到允许ping本地主机的集合中,就可以完成任务了。
三 防火墙策略
防火墙策略用来控制源网络和目标网络的通讯,是ISA管理员控制网络访问的常规武器,也是本文讨论的重点所在。防火墙策略的优先级就是按照规则排列的顺序,而不是按照拒绝优先原则。由于系统策略优先级也是按照序号排列,和防火墙策略优先级完全一样,我们甚至可以把防火墙策略看成是从31开始编号的系统策略。
数据包通过网络规则的检查后,就要面临系统策略和防火墙策略的考验了。ISA将从第一条策略开始检查,检查数据包的访问请求是否匹配策略,如果匹配,就按照策略的规定执行,结果无非是禁止或允许。如果不匹配,ISA就将按顺序检查下一条策略,从第一条系统策略一直检查到最后一条防火墙策略。那有人要问了,如果把所有策略都检查完了还不匹配怎么办?呵呵,这是不可能的,ISA自带的最后一条防火墙策略内容是禁止所有网络间的一切通讯,如下图所示,这条防火墙策略可以与所有的网络访问相匹配,因此ISA实际上使用了隐式拒绝,也就是说如果某个访问请求如果没有被策略显式允许,那肯定会被最后一条防火墙策略所拒绝。
看了上面的介绍,我们要注意两点,一是策略顺序,二是策略匹配。
A 策略顺序
防火墙策略的排列顺序决定了优先级,排在前面的策略优先执行,根据这个原则,我们要好好设计一下防火墙策略的顺序。例如,我们写了两条防火墙策略,一条是允许内网用户任意访问,另外一条是拒绝内网用户访问联众游戏网站。如果排列顺序如下图所示,允许策略排在拒绝策略之前,那就是个错误的决定。拒绝访问联众的策略永远不会被执行,因为当用户访问联众时,访问请求匹配第一条防火墙策略,用户就被防火墙放行了,第二条策略根本没有执行的机会。正确的做法是将拒绝策略放到允许策略之前!
策略匹配是ISA管理员关注的核心问题。前面我们一直在提如果网络访问和防火墙策略匹配,则按防火墙策略执行允许或禁止的操作。那么,问题是,怎么才算和防火墙策略匹配呢?
只有把这个问题搞清楚了,才能写出符合你设计初衷的策略。
当ISA检测到访问请求时,ISA会检查访问请求能否匹配防火墙策略中的策略元素,策略元素的检查顺序为 ,从(源网络),计划时间,到(目标网络),用户,内容类型。如果和这些元素都能匹配,ISA就认为访问请求匹配防火墙策略。
目标网络元素的问题容易出在哪儿呢?容易出现在DNS上,确切地说是出现在DNS的反向解析上!这个结论估计是很多管理员始料未及的,还是举个例子加以说明吧,假设我们要禁止内网访问百度,我见过很多管理员的处理方法都是这样的,首先创建一个域名集,将www.baidu.com包含进去,如下图所示。
然后就写出一条拒绝内网访问百度的访问规则,如下图所示
我们在一台内网计算机Denver上测试一下,Denver使用Web代理访问百度,如下图所示,错误信息表明ISA拒绝了Denver访问百度的请求。这说明访问请求和拒绝百度访问的防火墙策略匹配成功,哈哈,看样子大功告成了?且慢,再向下看。
分页: [1] [2] [3]
TAG: ISA 防火墙 策略 分析