深入剖析防火墙策略的执行过程：ISA2006系列之六.pdfVIP

正确理解防火墙策略的执行过程 很多初次接触ISA的管理员，经常会发现自己的管理意图没有得到贯彻。自己明明禁止用户使 用QQ聊天，可你看这个老兄正在和多个MM聊得热火朝天；早就禁止在上班时间访问游戏网站， 可这个家伙不正在和别人下棋吗？最郁闷的是就连简单的禁止访问百度有哪些信誉好的足球投注网站引擎都做不到，照 样有很多人用百度搜来搜去……不少深感智力受到侮辱的网管愤怒地发出了 “ISA就是不 灵”的吼声。ISA真是不灵吗？不是的，其实发生这些的主要原因是ISA管理员并没有真正理解 防火墙策略的执行过程。今天我们就来好好地分析一下ISA防火墙策略的执行过程，避免在以 后的工作中犯类似的错误。 首先声明，我们今天讨论的是ISA2006标准版的策略执行过程，企业版比标准版要复杂一些， 以后我们再讨论。我们可以把ISA当作是信息高速公路上的一个检查站，当有数据包要通过ISA 时，ISA就会利用策略对数据包进行检查，检查通过就放行，否则就拒绝。ISA检查数据包的顺 序是： 一 检查是否符合网络规则 二 检查是否符合系统策略 三 检查是否符合防火墙策略 一 网络规则 一个数据包通过ISA时，ISA首先要检查的就是网络规则。网络规则是ISA中非常重要而又很容 易被忽视的一个因素。ISA检查数据包时首先要考虑的就是这个数据包是从哪个网络到哪个网 络，这两个网络间的网络规则是什么。也就是说ISA是基于网络进行控制，而不是很多朋友认 为的基于主机进行控制。网络规则只有两种，路由或NAT。如果A网络到B网络的网络规则为路 由，那么数据包从A网络到B网络或者从B网络到A网络都有可能；如果A网络到B网络的网络规则 为NAT，那么数据包只有可能从A到B，而不可能从B到A。我们可以把两个网络比喻为两个城 市，网络规则就象是城市之间的高速公路，如果两个网络之间的网络规则为路由，那就象是两 个城市之间有一条双向高速公路；如果网络规则为NAT，则就相当于两个城市之间有一条单行 高速公路。 明白了网络规则的作用，有些问题就很好解释了。有些ISA管理员问过这样一个问题： “我 在ISA的防火墙策略中已经允许外网访问内网，为什么外网机器还是访问不进来？”现在来看 这个问题就很简单了，因为ISA认为内网和外网之间的网络规则是NAT，如下图所示，NAT规则 决定了只有可能从内网到外网而不可能从外网到内网，因此当外网访问内网时，ISA只需检查 网络规则就。因此如果你确实需要外网访问内网，你就应该先把内网和外网之间的网络规则改 为路由。 还有一个网络规则的例子，有一个管理员用ISA把DMZ区的一个FTP服务器发布到了外网和内 网，结果外网用户访问正常，内网用户却无法访问。为什么，因为DMZ和外网是NAT关系， 而DMZ和内网是路由关系。由于从DMZ到外网是NAT关系，外网用户无法通过访问规则直接访 问，所以通过发布规则访问是合理的；而内网和DMZ是路由关系，因此内网用户就应该通过访 问规则而不是发布规则来访问。 综上所述，网络规则是ISA进行访问控制时所要考虑的第一要务，只有从源网络到目标网络被 网络规则许可了，ISA才会继续检查系统策略和防火墙策略；如果网络规则不许可，ISA会直接 拒绝访问，根本不会再向下检查系统策略和防火墙策略。大家写访问规则时一定要注意这点。 二 系统策略 如果一个数据包通过了网络规则的检查，ISA接下来就要看看它是否符合系统策略了。ISA2006 标准版中预设了30条系统策略，系统策略应用于ISA本地主机，控制着从其他网络到本地主机 或者从本地主机到其他网络的通讯，系统策略中启用了一些诸如远程管理，日志，网络诊断等 功能。一般情况下，我们对系统策略只能允许或禁止，或对少数策略的某些属性作一些修改。 以前曾经有朋友问我，为什么ISA安装后防火墙策略中明明禁止了所有通讯，但ISA主机还是可 以ping到其他计算机，是否ISA本机有某些特权呢？不是的，ISA能对其他网络进行有限访问完 全是由系统策略决定的，只是由于系统策略没有显示出来，因此安装完ISA后我们并没有注意 到它。 我们来看看系统策略到底有哪些内容，打开ISA服务器管理，右键点击防火墙策略，如下图所 示，在查看中选择 “显示系统策略规则”。 如下图所示，我们看到了30条系统策略的内容。 编辑系统策略也可以用系统策略编辑器，系统策略编辑器为管理员提供了更为友好的管理界 面，如下图所示，右键点击 “防火墙策略”，选择 “编辑系统策略”。