正確理解防火墻策略的執(zhí)行過程很多初次接觸ISA的管理員，經(jīng)常會發(fā)現(xiàn)自己的管理意圖沒有得到貫徹。自己明明禁止用戶使用QQ聊天，可你看這個老兄正在和多個MM聊得熱火朝天；早就禁止在上班時間訪問游戲網(wǎng)站，可這個家伙不正在和別人下棋嗎？最郁悶的是就連簡單的禁止訪問百度搜索引擎都做不到，照樣有很多人用百度搜來搜去……不少深感智力受到侮辱的網(wǎng)管憤怒地發(fā)出了“ISA就是不靈”的吼聲。ISA真是不靈嗎？不是的，其實發(fā)生這些的主要原因是ISA管理員并沒有真正理解防火墻策略的執(zhí)行過程。今天我們就來好好地分析一下ISA防火墻策略的執(zhí)行過程，避免在以后的工作中犯類似的錯誤。首先聲明，我們今天討論的是ISA2006標準版的策略執(zhí)行過程，企業(yè)版比標準版要復(fù)雜一些，以后我們再討論。我們可以把ISA當作是信息高速公路上的一個檢查站，當有數(shù)據(jù)包要通過ISA時，ISA就會利用策略對數(shù)據(jù)包進行檢查，檢查通過就放行，否則就拒絕。ISA檢查數(shù)據(jù)包的順序是：一檢查是否符合網(wǎng)絡(luò)規(guī)則二檢查是否符合系統(tǒng)策略三檢查是否符合防火墻策略一網(wǎng)絡(luò)規(guī)則一個數(shù)據(jù)包通過ISA時，ISA首先要檢查的就是網(wǎng)絡(luò)規(guī)則。網(wǎng)絡(luò)規(guī)則是ISA中非常重要而又很容易被忽視的一個因素。ISA檢查數(shù)據(jù)包時首先要考慮的就是這個數(shù)據(jù)包是從哪個網(wǎng)絡(luò)到哪個網(wǎng)絡(luò)，這兩個網(wǎng)絡(luò)間的網(wǎng)絡(luò)規(guī)則是什么。也就是說ISA是基于網(wǎng)絡(luò)進行控制，而不是很多朋友認為的基于主機進行控制。網(wǎng)絡(luò)規(guī)則只有兩種，路由或NAT。如果A網(wǎng)絡(luò)到B網(wǎng)絡(luò)的網(wǎng)絡(luò)規(guī)則為路由，那么數(shù)據(jù)包從A網(wǎng)絡(luò)到B網(wǎng)絡(luò)或者從B網(wǎng)絡(luò)到A網(wǎng)絡(luò)都有可能；如果A網(wǎng)絡(luò)到B網(wǎng)絡(luò)的網(wǎng)絡(luò)規(guī)則為NAT，那么數(shù)據(jù)包只有可能從A到B，而不可能從B到A。我們可以把兩個網(wǎng)絡(luò)比喻為兩個城市，網(wǎng)絡(luò)規(guī)則就象是城市之間的高速公路，如果兩個網(wǎng)絡(luò)之間的網(wǎng)絡(luò)規(guī)則為路由，那就象是兩個城市之間有一條雙向高速公路；如果網(wǎng)絡(luò)規(guī)則為NAT，則就相當于兩個城市之間有一條單行高速公路。明白了網(wǎng)絡(luò)規(guī)則的作用，有些問題就很好解釋了。有些ISA管理員問過這樣一個問題：“我在ISA的防火墻策略中已經(jīng)允許外網(wǎng)訪問內(nèi)網(wǎng)，為什么外網(wǎng)機器還是訪問不進來？”現(xiàn)在來看這個問題就很簡單了，因為ISA認為內(nèi)網(wǎng)和外網(wǎng)之間的網(wǎng)絡(luò)規(guī)則是NAT，如下圖所示，NAT規(guī)則決定了只有可能從內(nèi)網(wǎng)到外網(wǎng)而不可能從外網(wǎng)到內(nèi)網(wǎng)，因此當外網(wǎng)訪問內(nèi)網(wǎng)時，ISA只需檢查網(wǎng)絡(luò)規(guī)則就。因此如果你確實需要外網(wǎng)訪問內(nèi)網(wǎng)，你就應(yīng)該先把內(nèi)網(wǎng)和外網(wǎng)之間的網(wǎng)絡(luò)規(guī)則改為路由。還有一個網(wǎng)絡(luò)規(guī)則的例子，有一個管理員用ISA把DMZ區(qū)的一個FTP服務(wù)器發(fā)布到了外網(wǎng)和內(nèi)網(wǎng)，結(jié)果外網(wǎng)用戶訪問正常，內(nèi)網(wǎng)用戶卻無法訪問。為什么，因為DMZ和外網(wǎng)是NAT關(guān)系，而DMZ和內(nèi)網(wǎng)是路由關(guān)系。由于從DMZ到外網(wǎng)是NAT關(guān)系，外網(wǎng)用戶無法通過訪問規(guī)則直接訪問，所以通過發(fā)布規(guī)則訪問是合理的；而內(nèi)網(wǎng)和DMZ是路由關(guān)系，因此內(nèi)網(wǎng)用戶就應(yīng)該通過訪問規(guī)則而不是發(fā)布規(guī)則來訪問。綜上所述，網(wǎng)絡(luò)規(guī)則是ISA進行訪問控制時所要考慮的第一要務(wù)，只有從源網(wǎng)絡(luò)到目標網(wǎng)絡(luò)被網(wǎng)絡(luò)規(guī)則許可了，ISA才會繼續(xù)檢查系統(tǒng)策略和防火墻策略；如果網(wǎng)絡(luò)規(guī)則不許可，ISA會直接拒絕訪問，根本不會再向下檢查系統(tǒng)策略和防火墻策略。大家寫訪問規(guī)則時一定要注意這點。二系統(tǒng)策略如果一個數(shù)據(jù)包通過了網(wǎng)絡(luò)規(guī)則的檢查，ISA接下來就要看看它是否符合系統(tǒng)策略了。ISA2006標準版中預(yù)設(shè)了30條系統(tǒng)策略，系統(tǒng)策略應(yīng)用于ISA本地主機，控制著從其他網(wǎng)絡(luò)到本地主機或者從本地主機到其他網(wǎng)絡(luò)的通訊，系統(tǒng)策略中啟用了一些諸如遠程管理，日志，網(wǎng)絡(luò)診斷等功能。一般情況下，我們對系統(tǒng)策略只能允許或禁止，或?qū)ι贁?shù)策略的某些屬性作一些修改。以前曾經(jīng)有朋友問我，為什么ISA安裝后防火墻策略中明明禁止了所有通訊，但ISA主機還是可以ping到其他計算機，是否ISA本機有某些特權(quán)呢？不是的，ISA能對其他網(wǎng)絡(luò)進行有限訪問完全是由系統(tǒng)策略決定的，只是由于系統(tǒng)策略沒有顯示出來，因此安裝完ISA后我們并沒有注意到它。我們來看看系統(tǒng)策略到底有哪些內(nèi)容，打開ISA服務(wù)器管理，右鍵點擊防火墻策略，如下圖所示，在查看中選擇“顯示系統(tǒng)策略規(guī)則”。頑如下圖所示回，我們看到詳了榜30務(wù)條系統(tǒng)策略席的內(nèi)容。喊編輯系統(tǒng)策延略也可以用見系統(tǒng)策略編揀輯器，系統(tǒng)伸策略編輯器點為管理員提禽供了更為友繪好的管理界城面，如下圖痕所示，右鍵潔點擊禿“附防火墻策略何”蹄，選擇錘“皮編輯系統(tǒng)策箏略急”賞。華如下圖所示損，我們可以日在系統(tǒng)策略忙編輯器中編躁輯系統(tǒng)策略霉。旺系統(tǒng)策略的伯優(yōu)先級比防罪火墻策略高森，因此如果貨任務(wù)可以用押系統(tǒng)策略完邊成，就不要盡用防火墻策球略。例如有債時候我們?yōu)槠土藴y試需要瞞，允許從內(nèi)騰網(wǎng)袖ping炒ISA支服務(wù)器，這贈種需求完全呼可以用系統(tǒng)耀策略完成，膠如下圖所示女，我們只要并把內(nèi)部網(wǎng)絡(luò)庸添加到允許在ping鳴本地主機的濕集合中，就愈可以完成任脫務(wù)了。拉三遇稱防火墻策略尊防火墻策略冒用來控制源針網(wǎng)絡(luò)和目標恭網(wǎng)絡(luò)的通訊查，是載ISA秧管理員控制潛網(wǎng)絡(luò)訪問的糧常規(guī)武器，視也是本文討同論的重點所僅在。防火墻書策略的優(yōu)先西級就是按照蛋規(guī)則排列的久順序，而不奔是按照拒絕溪優(yōu)先原則。眨由于系統(tǒng)策論略優(yōu)先級也穿是按照序號私排列，和防蠢火墻策略優(yōu)廢先級完全一煎樣，我們甚盼至可以把防委火墻策略看足成是從偶31室開始編號的棒系統(tǒng)策略。閥數(shù)據(jù)包通過盈網(wǎng)絡(luò)規(guī)則的硬檢查后，就折要面臨系統(tǒng)種策略和防火申墻策略的考搏驗了。鐵ISA薪將從第一條膚策略開始檢至查，檢查數(shù)激據(jù)包的訪問船請求是否匹菌配策略，如責(zé)果匹配，就哄按照策略的喉規(guī)定執(zhí)行，盾結(jié)果無非是瞧禁止或允許畜。如果不匹憤配，蚊ISA匙就將按順序摧檢查下一條拍策略，從第喘一條系統(tǒng)策昂略一直檢查軌到最后一條妹防火墻策略叛。那有人要早問了，如果抹把所有策略尸都檢查完了喘還不匹配怎槳么辦？呵呵寇，這是不可益能的，帖ISA劉自帶的最后密一條防火墻孩策略內(nèi)容是殼禁止所有網(wǎng)盾絡(luò)間的一切霧通訊，如下掛圖所示，趴這條防火墻絮策略可以與蠅所有的網(wǎng)絡(luò)浩訪問相匹配隸，因此倚ISA畜實際上使用引了隱式拒絕話，也就是說初如果某個訪偉問請求如果雞沒有被策略駝顯式允許，莫那肯定會被屑最后一條防滑火墻策略所爐拒絕。瓣看了上面的仔介紹，我們俗要注意兩點剪，一是策略爐順序，二是復(fù)策略匹配。泰A蝕策略順序動防火墻策略秘的排列順序浸決定了優(yōu)先傍級，排在前玩面的策略優(yōu)撒先執(zhí)行，根坑據(jù)這個原則甘，我們要好拋好設(shè)計一下稱防火墻策略蠻的順序。例絹如，我們寫耳了兩條防火喉墻策略，一蝦條是允許內(nèi)患網(wǎng)用戶任意下訪問，另外曠一條是拒絕連內(nèi)網(wǎng)用戶訪雨問聯(lián)眾游戲歸網(wǎng)站。如果同排列順序如鞏下圖所示，匯允許策略排純在拒絕策略狀之前，那就沙是個錯誤的御決定。拒絕姻訪問聯(lián)眾的頸策略永遠不沖會被執(zhí)行，止因為當用戶帥訪問聯(lián)眾時縮，訪問請求玻匹配第一條負防火墻策略絡(luò)，用戶就被能防火墻放行提了，第二條靜策略根本沒腫有執(zhí)行的機灘會。正確的后做法是將拒逆絕策略放到遷允許策略之從前！宜B莫策略匹配填策略匹配是屑ISA閣管理員關(guān)注諒的核心問題反。前面我們腔一直在提如習(xí)果網(wǎng)絡(luò)訪問沫和防火墻策烏略匹配，則望按防火墻策溝略執(zhí)行允許芬或禁止的操爭作。那么，恒問題是，怎斷么才算和防珠火墻策略匹委配呢？統(tǒng)只有把這個形問題搞清楚券了，才能寫焦出符合你設(shè)席計初衷的策梯略。悲當言ISA沖檢測到訪問圍請求時，她ISA違會檢查訪問期請求能否匹寨配防火墻策割略中的策略都元素，策略際元素的檢查朵順序為伴域協(xié)議，從（輸源網(wǎng)絡(luò)），籮計劃時間，俗到（目標網(wǎng)不絡(luò)），用戶勉，內(nèi)容類型挪。如果和這怎些元素都能艘匹配，棗ISA眠就認為訪問貼請求匹配防舉火墻策略。士從被檢查的仰策略元素來弓看，綿峽到（目標網(wǎng)酸絡(luò)）元素最鑄容易出問題團。球目標網(wǎng)絡(luò)元距素的問題容摧易出在哪兒望呢？容易出竊現(xiàn)在破DNS羞上，確切地奔說是出現(xiàn)在旬DNS打的反向解析居上！步這個結(jié)論估喪計是很多管旺理員始料未駝及的，還是磚舉個例子加辨以說明吧，勸假設(shè)我們要飼禁止內(nèi)網(wǎng)訪域問百度，我沿見過很多管謝理員的處理蛛方法都是這刑樣的，首先抱創(chuàng)建一個域蹦名集，將數(shù)[url]唉b男aidu.抱com[/鼠url]恐包含進去，勾如下圖所示她。菊然后就寫出彎一條拒絕內(nèi)職網(wǎng)訪問百度腳的訪問規(guī)則刑，如下圖所幻示歐我們在一臺自內(nèi)網(wǎng)計算機斥Denve遠r根上測試一下革，阻Denve稻r塞使用剛Web舒代理訪問百丟度，如下圖筑所示，錯誤想信息表明煩ISA貓拒絕了娃D(zhuǎn)enve棵r刷訪問百度的叛請求。這說鞏明訪問請求率和拒絕百度鞋訪問的防火貴墻策略匹配心成功，哈哈蜻，看樣子大遠功告成了？環(huán)且慢，再向肌下看。緩我們在柜Denve緒r勺上換用壞IP殖訪問，在嶺IE碗中輸入埋202.1勁08.22她.5車，如下圖所雕示，熟悉的易百度界面已瞎經(jīng)出來了，扛哈哈，貌似巧嚴謹?shù)脑L問音規(guī)則竟如此錢不堪一擊！把這說明這次配的訪問請求圖沒有和拒絕擔百度訪問的臣防火墻策略仁匹配成功，住而是和第二揪條允許內(nèi)網(wǎng)面用戶任意訪側(cè)問的防火墻誰策略匹配成駱功了。存看到這兒，圣有些朋友可攝能得出結(jié)論逢了，哦，原其來用域名禁否止訪問某個持網(wǎng)站是不成詞立的。錯！鼻如果材202.1裂08.22科.5減的反向解析鉛結(jié)果為鴉[url]棵b坦aidu.氏com[/藍url]絕，那么拒絕飽百度的防火棉墻策略就是念成立的！漏還是來認真朗分析一下原偏理吧，當客躍戶機用旨添協(xié)議訪問目證標網(wǎng)絡(luò)時，油ISA橡判斷目標網(wǎng)鈴絡(luò)的根據(jù)是狡陸主機頭，主訓(xùn)機頭的內(nèi)容屬顯然源自我叢們在瀏覽器握中的輸入。襯當我們在瀏炮覽器中輸入挖[url]涉b顏aidu.輩com[/熔url]疤時，冷ISA寨開始檢查訪體問請求能否況匹配第一條怎防火墻策略諸，也就是拒鄙絕內(nèi)網(wǎng)訪問紐百度的那條政策略。難ISA銅先檢查協(xié)議賊，從（源網(wǎng)凍絡(luò)），計劃耀時間三個元估素，這三個友元素都能和雖訪問請求匹只配，然后骨ISA不檢查到（目猶標網(wǎng)絡(luò)）元獨素，岸ISA耽根據(jù)主機頭宜內(nèi)容判斷訪喉問請求中的搶目標網(wǎng)絡(luò)是突[url]綿b雞aidu.困com[/浙url]含，而防火墻嚼策略中的目睜標網(wǎng)絡(luò)元素組也包含了裁[url]攪b選aidu.毒com[/高url]椒，因此筒ISA覽判斷訪問請居求和到（目獨標網(wǎng)絡(luò)）元逝素也能匹配準上。然后術(shù)ISA戒檢查用戶和靠內(nèi)容類型兩批個元素也可撓以匹配，所約以亮ISA戴判斷訪問請委求和拒絕訪匹問百度的防丹火墻策略完懶全匹配，于主是按照防火膽墻策略的要印求拒絕了這告次訪問請求吐。友當我們在瀏停覽器中輸入喂202.1更08.22井.5故時，肯ISA認是這么檢查服的。首先還棒是判斷吉桂協(xié)議，從（挑源網(wǎng)絡(luò)），擁計劃時間三明個元素匹配瘡策略，然后量檢查到（目柏標網(wǎng)絡(luò)）元梁素，爪ISA打判斷訪問請鋸求的目標是廁202.1盈08.22仆.5第，而防火墻齡策略的目標核網(wǎng)絡(luò)是包含僅[url]領(lǐng)b屬aidu.儲com[/瞞url]悅的域名集，漲這時鑄ISA舌會對蒼202.1裕08.22泄.5烤進行豬DNS與反向解析，術(shù)如果解析的肉結(jié)果等于折[url]樸b拾aidu.伐com[/殘url]沉。，亂ISA度就認為訪問婚請求的目標厲網(wǎng)絡(luò)和策略接的目標網(wǎng)絡(luò)美也是匹配的踢。如果反向厘解析的結(jié)果榆不等于蓬[url]嚷b惠aidu.飼com[/摸url]刪（解析的結(jié)蛛果確實不是捆百度的域名趁），哀ISA鞠就認為訪問由請求的目標甜網(wǎng)絡(luò)和防火皂墻策略的目帽標網(wǎng)絡(luò)不匹夾配。這樣撈ISA零就會停止匹獄配第一條拒待絕訪問百度蓮的防火墻策獵略，轉(zhuǎn)而匹桐配第二條允善許內(nèi)網(wǎng)任意絲訪問的防火梯墻策略，匹們配結(jié)果是完宿全成功，因桿此居ISA拐執(zhí)行第二條軌防火墻策略紛規(guī)定的動作嬌，允許了對剝202.1革08.22碗.5捆的訪問。民如果客戶機氧不是用艙曬協(xié)議訪問目尿標網(wǎng)絡(luò)，那關(guān)么匹配的過受程又稍微有采些不同。例瓣如客戶機用櫻FTP掠協(xié)議訪問午[url]青b破aidu.指com[/宵url]下，那么客戶爽機在發(fā)送訪今問請求時不鏈會把荒[url]傳b齒aidu.原com[/與url]引作為目標網(wǎng)臭絡(luò)，而是先鑰對烈[url]丙b個aidu.旬com[/膝url]問進行域名解校析，然后把諸解析出來的覺IP歡作為目標網(wǎng)構(gòu)絡(luò)發(fā)送給敵ISA敗。及ISA腸對訪問請求汁進行匹配時竄，如果被匹稈配的防火墻做策略用域名乓描述目標網(wǎng)枕絡(luò)，珍ISA花就會對訪問斬請求發(fā)來的士IP貫進行反向解婦析，看解析桶出的域名能刪否和防火墻血策略的目標喉網(wǎng)絡(luò)相匹配病。噴根據(jù)這個結(jié)滲論，我們用京IE徹訪問火[url]叛b沾aidu.比com[/慚url]棵會被拒絕，樂因為剛才分桿析過了，此兇時客戶機將公域名殲[url]涉b搏aidu.徐com[/屠url]銹作為訪問請檢求中的目標房網(wǎng)絡(luò)發(fā)送給束ISA螺，槍ISA玉認為訪問請票求和拒絕訪佳問百度的防址火墻策略完莖全匹配，因按此客戶機被座拒絕訪問。紹但如果客戶貪機在命令行害下輸入喚telne請t[ur執(zhí)l]www脫.baid柴u壯[/url治]80哲，如下圖所都示，直接連屆接百度的耗80潑端口，襲ISA銷會如何處理怪呢？窯如下圖所示串，敗ISA寬對訪問請求洋放行了，顯肆然這次的訪謠問請求沒有竹和拒絕訪問枕百度的策略普匹配上，原省因是什么呢也？街客戶機棄telne脹t孫百度想80鳳端口時，我釘在擾ISA演上啟用了實途時日志，日幻志記錄的結(jié)非果如下圖所應(yīng)示。從日志轉(zhuǎn)上我們很清劫楚地看到，掃客戶機先對世[url]及b冶aidu.蝴com[/濱url]外進行了深DNS餓解析，解析舊結(jié)果為應(yīng)202.1刺08.22客.5帆，然后客戶母機把魚202.1漁08.22育.5賓作為訪問請倡求的目標網(wǎng)腔絡(luò)發(fā)送給魯ISA鑼，收ISA珍對陷202.1浸08.22訂.5轎進行反向解焦析，解析出騙的域名并不呼是折[url]林b奏aidu.父com[/清url]遵，因此淚ISA隱認為訪問請掛求和第一條漢防火墻