正确理解防火墙策略的执行过程.docxVIP

正确理解防火墙策略的执行过程

许多初次接触ISA的治理员，经常会发现自己的治理意图没有得到贯彻。自己明明禁止用户使用QQ谈天，可你瞧那个老兄正在和多个MM聊得热火朝天；早就禁止在上班时刻访咨询游戏网站，可那个家伙不正在和不人下棋吗？最郁闷的是就连简单的禁止访咨询百度搜索引擎都做不到，照样有许多人用百度搜来搜往……许多深感智力受到欺侮的网管愤慨地发出了“ISA确实是根基不灵〞的吼声。ISA真是不灵吗？不是的，事实上发生这些的要紧缘故是ISA治理员并没有真正理解防火墙策略的执行过程。今天我们就来好好地分析一下ISA防火墙策略的执行过程，制止在以后的工作中犯类似的错误。

首先声明，我们今天讨论的是ISA2006标准版的策略执行过程，企业版比标准版要复杂一些，以后我们再讨论。我们能够把ISA当作是信息高速公路上的一个检查站，当有数据包要通过ISA时，ISA就会利用策略对数据包进行检查，检查通过就放行，否因此就拒尽。ISA检查数据包的顺序是：

一检查是否符合网络规因此

二检查是否符合系统策略

三检查是否符合防火墙策略

一网络规因此

一个数据包通过ISA时，ISA首先要检查应该实是根基网络规因此。网络规因此是ISA中特不重要而又特别轻易被小瞧的一个因素。ISA检查数据包时首先要考虑应该实是根基那个数据包是从哪个网络到哪个网络，这两个网络间的网络规因此是什么。也确实是根基讲ISA是基于网络进行操纵，而不是许多朋友认为的基于主机进行操纵。网络规因此只有两种，路由或NAT。要是A网络到B网络的网络规因此为路由，那么数据包从A网络到B网络或者从B网络到A网络都有可能；要是A网络到B网络的网络规因此为NAT，那么数据包只有可能从A到B，而不可能从B到A。我们能够把两个网络比喻为两个都市，网络规因此就象是都市之间的高速公路，要是两个网络之间的网络规因此为路由，那就象是两个都市之间有一条双向高速公路；要是网络规因此为NAT，因此就相当于两个都市之间有一条单行高速公路。

明白了网络规因此的作用，有些咨询题就特别好解释了。有些ISA治理员咨询过如此一个咨询题：“我在ISA的防火墙策略中差不多准许外网访咨询内网，什么缘故外网机器依旧访咨询不进来？〞现在来瞧那个咨询题就特别简单了，因为ISA认为内网和外网之间的网络规因此是NAT，如如下面图所示，NAT规因此决定了只有可能从内网到外网而不可能从外网到内网，因此当外网访咨询内网时，ISA只需检查网络规因此就。因此要是你确实需要外网访咨询内网，你就应该先把内网和外网之间的网络规因此改为路由。

还有一个网络规因此的例子，有一个治理员用ISA把DMZ区的一个FTP侍候器公布到了外网和内网，结果外网用户访咨询正常，内网用户却无法访咨询。什么缘故，因为DMZ和外网是NAT关系，而DMZ和内网是路由关系。由于从DMZ到外网是NAT关系，外网用户无法通过访咨询规因此直截了当访咨询，因此通过公布规因此访咨询是合理的；而内网和DMZ是路由关系，因此内网用户就应该通过访咨询规因此而不是路由规因此来访咨询。

综上所述，网络规因此是ISA进行访咨询操纵时所要考虑的第一要务，只有从源网络到目标网络被网络规因此许可了，ISA才会接着检查系统策略和防火墙策略；要是访咨询规因此不许可，ISA会直截了当拒尽访咨询，全然可不能再向下检查系统策略和防火墙策略。大伙儿写访咨询规因现在一定要注重这点。

二系统策略

要是一个数据包通过了网络规因此的检查，ISA接下来就要瞧瞧它是否符合系统策略了。ISA2006标准版中预设了30条系统策略，系统策略应用于ISA本地主机，操纵着从其他网络到本地主机或者从本地主机到其他网络的通讯，系统策略中启用了一些诸如远程治理，日志，网络诊断等功能。一般情况下，我们对系统策略只能准许或禁止，或对少数策略的某些属性作一些修改。

往常曾经有朋友咨询我，什么缘故ISA安装后防火墙策略中明明禁止了所有通讯，但ISA主机依旧能够ping到其他计算机，是否ISA本机有某些特权呢？不是的，ISA能对其他网络进行有限访咨询完全是由系统策略决定的，只是由于系统策略没有显示出来，因此安装完ISA后我们并没有注重到它。

我们来瞧瞧系统策略到底有哪些内容，展开ISA侍候器治理，右键点击防火墙策略，如如下面图所示，在查瞧中选择“显示系统策略规因此〞。

如如下面图所示，我们瞧到了30条系统策略的内容。

编辑系统策略也能够用系统策略编辑器，系统策略编辑器为治理员提供了更为友好的治理界面，如如下面图所示，右键点击“防火墙策略〞，选择“编辑系统策略〞。

如如下面图所示，我们能够在系统策略编辑器中编辑系统策略。

系统策略的优先级比防火墙策略高，因此要是任务能够用系统策略完成，就不要用防火墙策略。例如有时候我们为了测试需要，准许从内网pingISA侍候器，这种需求