所有的网络规则(Network Rules)和访问规则(Access Rules)组成防火墙策略(Firewall Policy);
ISA的防火墙策略应用过程:
大致过程:ISA接收请求流量->ISA做评估->ISA决定是否转发;
详细过程:
1.客户机请求;
2.执行身份验证过程:
- firewall client: 透明或凭证验证;
- webproxy client: 凭证验证;
- securenat client: 不作验证;
3.ISA检查是否有网络规则连接源和目的网络,没有则丢包;
4.按优先级处理访问规则,只要有允许条目就转发且不再检查,如果没有允许,执行默认的拒绝规则;
5.如果访问被允许,ISA回过头检查网络规则看网络如何连接;
同时检查web chaining和firewall chaining看如何服务请求;
6.请求被转发到Internet;
一般地,在设定规则优先级上应该这样做:
- 先使用拒绝规则,比如拒绝;
- 之后使用特定的规则,比如特殊允许;
- 最后使用通用的规则,比如全部允许;