深入剖析防火墙策略的执行过程：ISA2006系列之六

核心提示：很多初次接触ISA的管理员，经常会发现自己的管理意图没有得到贯彻，深入剖析防火墙策略的执行过程：ISA2006系列之六，自己明明禁止用户使用QQ聊天，可你看这个老兄正在和多个MM聊得热火朝天；早就禁止在上班时间访问游戏网站，如果两个网络之间的网络规则为路由，那就象是两个城市之间有一条双向高速公路；如果网络规则为NAT，

很多初次接触ISA的管理员，经常会发现自己的管理意图没有得到贯彻。自己明明禁止用户使用QQ聊天，可你看这个老兄正在和多个MM聊得热火朝天；早就禁止在上班时间访问游戏网站，可这个家伙不正在和别人下棋吗？最郁闷的是就连简单的禁止访问百度搜索引擎都做不到，照样有很多人用百度搜来搜去……不少深感智力受到侮辱的网管愤怒地发出了“ISA就是不灵”的吼声。ISA真是不灵吗？不是的，其实发生这些的主要原因是ISA管理员并没有真正理解防火墙策略的执行过程。今天我们就来好好地分析一下ISA防火墙策略的执行过程，避免在以后的工作中犯类似的错误。

首先声明，我们今天讨论的是ISA2006标准版的策略执行过程，企业版比标准版要复杂一些，以后我们再讨论。我们可以把ISA当作是信息高速公路上的一个检查站，当有数据包要通过ISA时，ISA就会利用策略对数据包进行检查，检查通过就放行，否则就拒绝。ISA检查数据包的顺序是：

一 检查是否符合网络规则

二 检查是否符合系统策略

三 检查是否符合防火墙策略

一 网络规则

一个数据包通过ISA时，ISA首先要检查的就是网络规则。网络规则是ISA中非常重要而又很容易被忽视的一个因素。ISA检查数据包时首先要考虑的就是这个数据包是从哪个网络到哪个网络，这两个网络间的网络规则是什么。也就是说ISA是基于网络进行控制，而不是很多朋友认为的基于主机进行控制。网络规则只有两种，路由或NAT。如果A网络到B网络的网络规则为路由，那么数据包从A网络到B网络或者从B网络到A网络都有可能；如果A网络到B网络的网络规则为NAT，那么数据包只有可能从A到B，而不可能从B到A。我们可以把两个网络比喻为两个城市，网络规则就象是城市之间的高速公路，如果两个网络之间的网络规则为路由，那就象是两个城市之间有一条双向高速公路；如果网络规则为NAT，则就相当于两个城市之间有一条单行高速公路。