没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
第 1 页 共 31 页
编号:
时间:2021 年 x 月 x 日
书山有路勤为径,学海无涯苦作舟
页码:第 1 页 共 31 页
正确理解防火墙策略的执行过程
很多初次接触 ISA 的管理员,经常会发现自己的管理意图没有得到贯彻。自己
明明禁止用户使用 QQ 聊天,可你看这个老兄正在和多个 MM 聊得热火朝天;
早就禁止在上班时间访问游戏网站,可这个家伙不正在和别人下棋吗?最郁闷
的是就连简单的禁止访问百度搜索引擎都做不到,照样有很多人用百度搜来搜
去……不少深感智力受到侮辱的网管愤怒地发出了“ISA 就是不灵”的吼声。ISA
真是不灵吗?不是的,其实发生这些的主要原因是 ISA 管理员并没有真正理解
防火墙策略的执行过程。今天我们就来好好地分析一下 ISA 防火墙策略的执行
过程,避免在以后的工作中犯类似的错误。
首先声明,我们今天讨论的是 ISA2006 标准版的策略执行过程,企业版比标准
版要复杂一些,以后我们再讨论。我们可以把 ISA 当作是信息高速公路上的一
第 2 页 共 31 页
第 1 页 共 31 页
编号:
时间:2021 年 x 月 x 日
书山有路勤为径,学海无涯苦作舟
页码:第 2 页 共 31 页
个检查站,当有数据包要通过 ISA 时,ISA 就会利用策略对数据包进行检查,
检查通过就放行,否则就拒绝。ISA 检查数据包的顺序是:
一 检查是否符合网络规则
二 检查是否符合系统策略
三 检查是否符合防火墙策略
一 网络规则
一个数据包通过 ISA 时,ISA 首先要检查的就是网络规则。网络规则是 ISA 中
非常重要而又很容易被忽视的一个因素。ISA 检查数据包时首先要考虑的就是
这个数据包是从哪个网络到哪个网络,这两个网络间的网络规则是什么。也就
是说 ISA 是基于网络进行控制,而不是很多朋友认为的基于主机进行控制。网
络规则只有两种,路由或 NAT。如果 A 网络到 B 网络的网络规则为路由,那么
数据包从 A 网络到 B 网络或者从 B 网络到 A 网络都有可能;如果 A 网络到 B 网
第 3 页 共 31 页
第 2 页 共 31 页
编号:
时间:2021 年 x 月 x 日
书山有路勤为径,学海无涯苦作舟
页码:第 3 页 共 31 页
络的网络规则为 NAT,那么数据包只有可能从 A 到 B,而不可能从 B 到 A。我
们可以把两个网络比喻为两个城市,网络规则就象是城市之间的高速公路,如
果两个网络之间的网络规则为路由,那就象是两个城市之间有一条双向高速公
路;如果网络规则为 NAT,则就相当于两个城市之间有一条单行高速公路。
明白了网络规则的作用,有些问题就很好解释了。有些 ISA 管理员问过这样一
个问题:“我在 ISA 的防火墙策略中已经允许外网访问内网,为什么外网机器还
是访问不进来?”现在来看这个问题就很简单了,因为 ISA 认为内网和外网之间
的网络规则是 NAT,如下图所示,NAT 规则决定了只有可能从内网到外网而不
可能从外网到内网,因此当外网访问内网时,ISA 只需检查网络规则就。因此
如果你确实需要外网访问内网,你就应该先把内网和外网之间的网络规则改为
路由。
第 4 页 共 31 页
第 3 页 共 31 页
编号:
时间:2021 年 x 月 x 日
书山有路勤为径,学海无涯苦作舟
页码:第 4 页 共 31 页
还有一个网络规则的例子,有一个管理员用 ISA 把 DMZ 区的一个 FTP 服务器
发布到了外网和内网,结果外网用户访问正常,内网用户却无法访问。为什么,
因为 DMZ 和外网是 NAT 关系,而 DMZ 和内网是路由关系。由于从 DMZ 到外
网是 NAT 关系,外网用户无法通过访问规则直接访问,所以通过发布规则访问
是合理的;而内网和 DMZ 是路由关系,因此内网用户就应该通过访问规则而
不是发布规则来访问。
第 5 页 共 31 页
第 4 页 共 31 页
编号:
时间:2021 年 x 月 x 日
书山有路勤为径,学海无涯苦作舟
页码:第 5 页 共 31 页
综上所述,网络规则是 ISA 进行访问控制时所要考虑的第一要务,只有从源网
络到目标网络被网络规则许可了,ISA 才会继续检查系统策略和防火墙策略;
如果网络规则不许可,ISA 会直接拒绝访问,根本不会再向下检查系统策略和
防火墙策略。大家写访问规则时一定要注意这点。
二 系统策略
如果一个数据包通过了网络规则的检查,ISA 接下来就要看看它是否符合系统
策略了。ISA2006 标准版中预设了 30 条系统策略,系统策略应用于 ISA 本地
主机,控制着从其他网络到本地主机或者从本地主机到其他网络的通讯,系统
策略中启用了一些诸如远程管理,日志,网络诊断等功能。一般情况下,我们
对系统策略只能允许或禁止,或对少数策略的某些属性作一些修改。
剩余30页未读,继续阅读
资源评论
艳艳点点
- 粉丝: 9
- 资源: 29万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 基于QT的地图可视化桌面系统后台数据库为MySQL5.7源码.zip
- 基于simulink的PLL锁相环系统仿真【包括模型,文档,参考文献,操作步骤】
- 基于EM-GMM模型的目标跟踪和异常行为检测matlab仿真【包括程序,注释,参考文献,操作步骤,说明文档】
- 2109010044_胡晨燕_选课管理数据库设计与实现.prj
- 帕鲁介绍的PPT备份没什么好下的
- demo1-202405
- 两种方式修改Intel网卡MAC地址
- 服务器搭建所需资源:static文件夹
- Vue02的源码学习资料
- Python 程序语言设计模式思路-行为型模式:访问者模式:在不改变被访问对象结构的情况下,定义对其元素的新操作
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功