isa防火墻策略

1、部署防火墻策略的十六條守則部署防火墻策略的十六條守則內(nèi)容概述：在部署防火墻策略時(shí)，你需要遵守一些規(guī)則。以下是我總結(jié)出來的十六條守則，希望你能夠認(rèn)真的看一下，并且牢牢的記住，這樣，你才能最有效的、最高效的、最安全的、最穩(wěn)定的部署你的防火墻策略。如果你有些不能理解，請先參見站內(nèi)其他技術(shù)文章，當(dāng)你對ISA有了更深的認(rèn)識時(shí)，你就能夠徹底的理解了。1、計(jì)算機(jī)沒有大腦。所以，當(dāng)ISA的行為和你的要求不一致時(shí)，請檢查你的配置而不要埋怨ISA。2、只允

2、許你想要允許的客戶、源地址、目的地和協(xié)議。仔細(xì)的檢查你的每一條規(guī)則，看規(guī)則的元素是否和你所需要的一致，盡量避免使用拒絕規(guī)則。3、針對相同用戶或含有相同用戶子集的訪問規(guī)則，拒絕的規(guī)則一定要放在允許的規(guī)則前面。4、當(dāng)需要使用拒絕時(shí)，顯式拒絕是首要考慮的方式。5、在不影響防火墻策略執(zhí)行效果的情況下，請將匹配度更高的規(guī)則放在前面。6、在不影響防火墻策略執(zhí)行效果的情況下，請將針對所有用戶的規(guī)則放在前面。7、盡量簡化你的規(guī)則，執(zhí)行一條規(guī)則的效率永遠(yuǎn)

3、比執(zhí)行兩條規(guī)則的效率高。8、永遠(yuǎn)不要在商業(yè)網(wǎng)絡(luò)中使用Allow4ALL規(guī)則（Allowallusersuseallprotocolsfromallwkstoallwks），這樣只是讓你的ISA形同虛設(shè)。9、如果可以通過配置系統(tǒng)策略來實(shí)現(xiàn)，就沒有必要再建立自定義規(guī)則。10、ISA的每條訪問規(guī)則都是獨(dú)立的，執(zhí)行每條訪問規(guī)則時(shí)不會受到其他訪問規(guī)則的影響。11、永遠(yuǎn)也不要允許任何網(wǎng)絡(luò)訪問ISA本機(jī)的所有協(xié)議。內(nèi)部網(wǎng)絡(luò)也是不可信的。12、SNat

4、客戶不能提交身份驗(yàn)證信息。所以，當(dāng)你使用了身份驗(yàn)證時(shí)，請配置客戶為Web代理客戶或防火墻客戶。13、無論作為訪問規(guī)則中的目的還是源，最好使用IP地址。14、如果你一定要在訪問規(guī)則中使用域名集或URL集，最好將客戶配置為Web代理客戶。15、請不要忘了，防火墻策略的最后還有一條DENY4ALL。16、最后，請記住，防火墻策略的測試是必需的。深入剖析防火墻策略的執(zhí)行過程：深入剖析防火墻策略的執(zhí)行過程：ISA2006系列系列正確理解防火墻策略

5、的執(zhí)行過程正確理解防火墻策略的執(zhí)行過程很多初次接觸ISA的管理員，經(jīng)常會發(fā)現(xiàn)自己的管理意圖沒有得到貫徹。自己明明禁止用戶使用QQ聊天，可你看這個(gè)老兄正在和多個(gè)MM聊得熱火朝天；早就禁止在上班時(shí)間訪問游戲網(wǎng)站，可這個(gè)家伙不正在和別人下棋嗎？最郁悶的是就連簡單的禁止訪問百度搜索引擎都做不到，照樣有很多人用百度搜來搜去……不少深感智力受到侮辱的網(wǎng)管憤怒地發(fā)出了“ISA就是不靈”的吼聲。ISA真是不靈嗎？不是的，其實(shí)發(fā)生這些的主要原因是ISA管

6、理還有一個(gè)網(wǎng)絡(luò)規(guī)則的例子，有一個(gè)管理員用ISA把DMZ區(qū)的一個(gè)FTP服務(wù)器發(fā)布到了外網(wǎng)和內(nèi)網(wǎng)，結(jié)果外網(wǎng)用戶訪問正常，內(nèi)網(wǎng)用戶卻無法訪問。為什么，因?yàn)镈MZ和外網(wǎng)是NAT關(guān)系，而DMZ和內(nèi)網(wǎng)是路由關(guān)系。由于從DMZ到外網(wǎng)是NAT關(guān)系，外網(wǎng)用戶無法通過訪問規(guī)則直接訪問，所以通過發(fā)布規(guī)則訪問是合理的；而內(nèi)網(wǎng)和DMZ是路由關(guān)系，因此內(nèi)網(wǎng)用戶就應(yīng)該通過訪問規(guī)則而不是路由規(guī)則來訪問。綜上所述，網(wǎng)絡(luò)規(guī)則是ISA進(jìn)行訪問控制時(shí)所要考慮的第一要務(wù)，只有從

7、源網(wǎng)絡(luò)到目標(biāo)網(wǎng)絡(luò)被網(wǎng)絡(luò)規(guī)則許可了，ISA才會繼續(xù)檢查系統(tǒng)策略和防火墻策略；如果訪問規(guī)則不許可，ISA會直接拒絕訪問，根本不會再向下檢查系統(tǒng)策略和防火墻策略。大家寫訪問規(guī)則時(shí)一定要注意這點(diǎn)。二系統(tǒng)策略系統(tǒng)策略如果一個(gè)數(shù)據(jù)包通過了網(wǎng)絡(luò)規(guī)則的檢查，ISA接下來就要看看它是否符合系統(tǒng)策略了。ISA2006標(biāo)準(zhǔn)版中預(yù)設(shè)了30條系統(tǒng)策略，系統(tǒng)策略應(yīng)用于ISA本地主機(jī)，控制著從其他網(wǎng)絡(luò)到本地主機(jī)或者從本地主機(jī)到其他網(wǎng)絡(luò)的通訊，系統(tǒng)策略中啟用了一些諸如

8、遠(yuǎn)程管理，日志，網(wǎng)絡(luò)診斷等功能。一般情況下，我們對系統(tǒng)策略只能允許或禁止，或?qū)ι贁?shù)策略的某些屬性作一些修改。以前曾經(jīng)有朋友問我，為什么ISA安裝后防火墻策略中明明禁止了所有通訊，但I(xiàn)SA主機(jī)還是可以ping到其他計(jì)算機(jī)，是否ISA本機(jī)有某些特權(quán)呢？不是的，ISA能對其他網(wǎng)絡(luò)進(jìn)行有限訪問完全是由系統(tǒng)策略決定的，只是由于系統(tǒng)策略沒有顯示出來，因此安裝完ISA后我們并沒有注意到它。我們來看看系統(tǒng)策略到底有哪些內(nèi)容，打開ISA服務(wù)器管理，右鍵點(diǎn)