3.当前面的网络规则和系统策略都许可的情况下,再和防火墙策略想比较,如果和防火墙策略匹配,才可以通过,反之,将被拒绝。防火墙策略和系统策略其本质是一致的,防火墙的第一条策略可以看成是第31条系统策略,后面以此类推。注意,最后有一条是隐式拒绝。如果和前面的规则、策略都不匹配时,它将会把该数据包拒绝掉。有时你自定义的规则或者策略不准时,不能让数据和其匹配,也将被它所拒,这和ACL中的规则很相像。
重新认识ISA规则和策略
原创
©著作权归作者所有:来自51CTO博客作者bingquan的原创作品,谢绝转载,否则将追究法律责任
以前学习ISA对访问规则和策略方面理解的不到位,今天听过岳老师的课后又有了更深刻的理解,在此将个人见解给大家分享一下。
ISA将经由自己的数据包通过规则和策略决定其是允许、拒绝或者是丢弃,有明确的匹配顺序。ISA是通过网络划分界限的,即它是基于网络进行控制的。如将内部主机看做是内部网络,将自身当做本地主机,等等。
如上图所示,当数据包通过ISA时,ISA查找匹配项是有顺序的,它将从第1项网络规则开始匹配,如果和规则匹配,将直接放行,反之,将拒绝或丢弃该数据包;只有当网络规则许可后才和系统策略比较,如果能与系统策略匹配,则直接放行,与后面的防火墙策略想比较,反之,将拒绝该数据包;如果前两项都比较而且通过了,才和防火墙策略想比较,如果匹配,则允许通过,否则,将拒绝该数据包。具体看下图:
1.当和网络规则匹配时,如果不符合网络规则,将直接丢弃该数据包;如果符合网络规则,可以放行(让其与下面的策略匹配),但能否收到外部数据,还要看是双方是什么关系:
①路由关系:数据既可以出,又可以入。可以当做是双向的通道;
②NAT关系:数据可以出,但是不能入。可以当做是单向的通道。
举个例子让大家增加一些感性认识,如下图,是ISA的三个网络规则,其中前两个是路由关系,第一个代表本地主机可以访问所有的网络,所有网络也可访问本地主机;第二个是×××客户端和被隔离的×××客户端可以访问内部网络,内部也可访问他们,都是双向可以通讯。第三个是NAT关系,即×××客户端、被隔离的×××客户端和内部网络和访问外部网络,但是外部的网络却不可以访问它们,大概就是这个意思。
特例:有一种特殊的情况,即使是路由关系也做NAT处理。如下图所示环境:
如果此时内网的客户机和DMZ区域的Web服务器是路由关系,但是实际中ISA会当做NAT处理,内部可以访问Web服务器,但是服务器不能访问内网。其实这也不能怪ISA,这是微软设计的问题,主要就是ISA中Web筛选器的缘故,它在这种环境下会将路由当做NAT来处理。其实,有时很多莫名其妙的问题也是出在筛选器的身上,工作中多注意一下。
2.当通过网络规则后,才有资格和系统策略想匹配。ISA会将所有的策略按序号(排列顺序)依次列出,从第一条策略自上而下开始一条条匹配,如果和前面的一条匹配,直接和防火墙策略比较,如果和策略不匹配,则拒绝此数据。ISA内置了30条系统策略,关于ISA必要的规则均有,可以在“服务器名—防火墙策略—查看—显示系统策略规则”里看到。
大家容易忽视网络规则和系统策略,有时认为没有做什么防火墙策略,怎么可以和外网ping通呢?或者是其他的问题,等等吧,这时候就要在网络规则和系统策略里找了,不再一一枚举。
3.当前面的网络规则和系统策略都许可的情况下,再和防火墙策略想比较,如果和防火墙策略匹配,才可以通过,反之,将被拒绝。防火墙策略和系统策略其本质是一致的,防火墙的第一条策略可以看成是第31条系统策略,后面以此类推。注意,最后有一条是隐式拒绝。如果和前面的规则、策略都不匹配时,它将会把该数据包拒绝掉。有时你自定义的规则或者策略不准时,不能让数据和其匹配,也将被它所拒,这和ACL中的规则很相像。
3.当前面的网络规则和系统策略都许可的情况下,再和防火墙策略想比较,如果和防火墙策略匹配,才可以通过,反之,将被拒绝。防火墙策略和系统策略其本质是一致的,防火墙的第一条策略可以看成是第31条系统策略,后面以此类推。注意,最后有一条是隐式拒绝。如果和前面的规则、策略都不匹配时,它将会把该数据包拒绝掉。有时你自定义的规则或者策略不准时,不能让数据和其匹配,也将被它所拒,这和ACL中的规则很相像。
上一篇:OWA一些功能的简单配置
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
设计模式-策略模式
设计模式之策略模式
策略模式 设计模式 -
AD 组策略 | 服务器管理 | 组策略计算机配置
上一篇介绍组策略是 Windows AD 活动目录中的一项管理功能,用于在网络中集中管理计算机和用户的配置。组策略允许系统管理员通过定义规则和设置,对计算机和用户的行为进行控制。其中,计算机配置和用户配置两个关键功能。今天我们以计算机配置为例进行操作展示。想想关于计算机配置里面的所有配置项在200左右(这个回头我可以统计下),统一管理成千上万台客户端和服务器。那效率咋样? - **系统级设置:** 计算机配置允许我们定义适用于整个计算机的设置。包括安全设置、脚本执行、网络设置等。 - **软件部署:** 我们可以使用计算机配置来部署软件和应用程序,确保特定计算机上安装了所需的软件。
AD 组策略管理 AD GPO 配置 AD 域策略 域策略计算机配置 组策略管理 -
ISA Server 2004 的×××策略配置
ISA Server 2004 的VPN策略配置
职场 休闲 ISA Server 2004 的VP -
ISA 2006 实验指南(四)策略的应用
ISA 2006 实验指南(四)策略的应用
职场 休闲 ISA策略 -
实验:ISA防火墙策略配置(详细步骤)
ISA防火墙策略配置
职场 ISA 休闲 -
ISA防火墙的策略配置和应用
微软自带的软件ISA防火墙的简单应用和举例,
职场 休闲 ISA防火墙策略的应用