没有合适的资源？快使用搜索试试~ 我知道了~

文库首页信息化管理项目管理ISA2006系列之06-深入剖析防火墙策略的执行过程.docx

ISA2006系列之06-深入剖析防火墙策略的执行过程.docx

1.该资源内容由用户上传，如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款（资源遇到问题，请及时私信上传者）

版权申诉

word文档

管理类文档

0 下载量 131 浏览量 2022-01-27 12:11:44 上传评论收藏 471KB DOCX 举报

温馨提示

试读

31页

ISA2006系列之06-深入剖析防火墙策略的执行过程.docx

资源推荐

资源详情

资源评论

第 1 页共 31 页

编号：

时间：2021 年 x 月 x 日

书山有路勤为径，学海无涯苦作舟

页码：第 1 页共 31 页

正确理解防火墙策略的执行过程



很多初次接触 ISA 的管理员，经常会发现自己的管理意图没有得到贯彻。自己

明明禁止用户使用 QQ 聊天，可你看这个老兄正在和多个 MM 聊得热火朝天；

早就禁止在上班时间访问游戏网站，可这个家伙不正在和别人下棋吗？最郁闷

的是就连简单的禁止访问百度搜索引擎都做不到，照样有很多人用百度搜来搜

去……不少深感智力受到侮辱的网管愤怒地发出了“ISA 就是不灵”的吼声。ISA

真是不灵吗？不是的，其实发生这些的主要原因是 ISA 管理员并没有真正理解

防火墙策略的执行过程。今天我们就来好好地分析一下 ISA 防火墙策略的执行

过程，避免在以后的工作中犯类似的错误。

首先声明，我们今天讨论的是 ISA2006 标准版的策略执行过程，企业版比标准

版要复杂一些，以后我们再讨论。我们可以把 ISA 当作是信息高速公路上的一

第 2 页共 31 页

第 1 页共 31 页

编号：

时间：2021 年 x 月 x 日

书山有路勤为径，学海无涯苦作舟

页码：第 2 页共 31 页

个检查站，当有数据包要通过 ISA 时，ISA 就会利用策略对数据包进行检查，

检查通过就放行，否则就拒绝。ISA 检查数据包的顺序是：

一检查是否符合网络规则

二检查是否符合系统策略

三检查是否符合防火墙策略



一网络规则

一个数据包通过 ISA 时，ISA 首先要检查的就是网络规则。网络规则是 ISA 中

非常重要而又很容易被忽视的一个因素。ISA 检查数据包时首先要考虑的就是

这个数据包是从哪个网络到哪个网络，这两个网络间的网络规则是什么。也就

是说 ISA 是基于网络进行控制，而不是很多朋友认为的基于主机进行控制。网

络规则只有两种，路由或 NAT。如果 A 网络到 B 网络的网络规则为路由，那么

数据包从 A 网络到 B 网络或者从 B 网络到 A 网络都有可能；如果 A 网络到 B 网

第 3 页共 31 页

第 2 页共 31 页

编号：

时间：2021 年 x 月 x 日

书山有路勤为径，学海无涯苦作舟

页码：第 3 页共 31 页

络的网络规则为 NAT，那么数据包只有可能从 A 到 B，而不可能从 B 到 A。我

们可以把两个网络比喻为两个城市，网络规则就象是城市之间的高速公路，如

果两个网络之间的网络规则为路由，那就象是两个城市之间有一条双向高速公

路；如果网络规则为 NAT，则就相当于两个城市之间有一条单行高速公路。

明白了网络规则的作用，有些问题就很好解释了。有些 ISA 管理员问过这样一

个问题：“我在 ISA 的防火墙策略中已经允许外网访问内网，为什么外网机器还

是访问不进来？”现在来看这个问题就很简单了，因为 ISA 认为内网和外网之间

的网络规则是 NAT，如下图所示，NAT 规则决定了只有可能从内网到外网而不

可能从外网到内网，因此当外网访问内网时，ISA 只需检查网络规则就。因此

如果你确实需要外网访问内网，你就应该先把内网和外网之间的网络规则改为

路由。

第 4 页共 31 页

第 3 页共 31 页

编号：

时间：2021 年 x 月 x 日

书山有路勤为径，学海无涯苦作舟

页码：第 4 页共 31 页



还有一个网络规则的例子，有一个管理员用 ISA 把 DMZ 区的一个 FTP 服务器

发布到了外网和内网，结果外网用户访问正常，内网用户却无法访问。为什么，

因为 DMZ 和外网是 NAT 关系，而 DMZ 和内网是路由关系。由于从 DMZ 到外

网是 NAT 关系，外网用户无法通过访问规则直接访问，所以通过发布规则访问

是合理的；而内网和 DMZ 是路由关系，因此内网用户就应该通过访问规则而

不是发布规则来访问。

第 5 页共 31 页

第 4 页共 31 页

编号：

时间：2021 年 x 月 x 日

书山有路勤为径，学海无涯苦作舟

页码：第 5 页共 31 页

综上所述，网络规则是 ISA 进行访问控制时所要考虑的第一要务，只有从源网

络到目标网络被网络规则许可了，ISA 才会继续检查系统策略和防火墙策略；

如果网络规则不许可，ISA 会直接拒绝访问，根本不会再向下检查系统策略和

防火墙策略。大家写访问规则时一定要注意这点。

二系统策略

如果一个数据包通过了网络规则的检查，ISA 接下来就要看看它是否符合系统

策略了。ISA2006 标准版中预设了 30 条系统策略，系统策略应用于 ISA 本地

主机，控制着从其他网络到本地主机或者从本地主机到其他网络的通讯，系统

策略中启用了一些诸如远程管理，日志，网络诊断等功能。一般情况下，我们

对系统策略只能允许或禁止，或对少数策略的某些属性作一些修改。

剩余30页未读，继续阅读

评论收藏

内容反馈

1.该资源内容由用户上传，如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款（资源遇到问题，请及时私信上传者）

版权申诉

资源评论

资源反馈

评论星级较低，若资源使用遇到问题可联系上传者，3个工作日内问题未解决可申请退款~

艳艳点点

粉丝: 9
资源: 29万+

上传资源快速赚钱

我的内容管理展开

我的资源快来上传第一个资源

我的收益

登录查看自己的收益

我的积分登录查看自己的积分

我的C币登录后查看C币余额

我的收藏

我的下载

下载帮助

前往需求广场，查看用户热搜

ISA2006系列之06-深入剖析防火墙策略的执行过程.docx

ISA2006系列之06-深入剖析防火墙策略的执行过程.doc

专题资料（2021-2022年）ISA2006系列之06深入剖析防火墙策略的执行过程.doc

深入剖析ISA server防火墙策略执行过程

深入剖析ISA防火墙策略执行过程.pdf

下一代防火墙方案模版-深信服全网安全监测解决方案.docx

等级保护测评-出口防火墙安全策略检查及加固建议.docx

Java虚拟机----类的加载过程.docx

iptables教程-linux-iptable防火墙-基本认识.docx

ISA防火墙策略规划配置.docx

Win-XP-SP2防火墙设置详细讲解.docx

【ERP-产品规划】汇报式剖析.docx

aao-1119-移动通信定价策略之研究.docx

亚马逊开店系列-产品上传----Generic豁免.docx

电子商务营销策略存在的问题及策略--以网易严选为例.docx.docx

网络安全实验---Windows防火墙应用.docx

没有.net 3.5时，安装sql server 2008r2数据库软件的临时解决办法----cmd执行命令.docx

高低压开关公司（行业）薪酬管理制度方案-薪酬设计方案资料文集系列.docx

低压开关柜公司（行业）薪酬管理制度方案-薪酬设计方案资料文集系列.docx

正确理解防火墙策略的执行过程.docx

WIN2008-R2-域控服务器安装过程.docx

电子商务安全与支付(微课版第2版)-实验指导-防火墙实验.doc.docx

Git-2.45.1-64-bit.exe

Git-2.44.0-64-bit.exe

基于微信小程序的点餐系统设计与实现 毕业论文.docx

PMP项目管理模板（全套157个文档）

Axure9元件库大合集（27种）

（64位）Git-2.44安装包

Rational Rose 2007

最新资源

基于微信小程序的点餐系统设计与实现毕业论文.docx