WEB开发网
开发学院网络安全防火墙 深入剖析防火墙策略的执行过程:ISA2006系列之六 阅读

深入剖析防火墙策略的执行过程:ISA2006系列之六

 2010-09-30 12:16:01 来源:WEB开发网   
核心提示: 明白了网络规则的作用,有些问题就很好解释了,深入剖析防火墙策略的执行过程:ISA2006系列之六(2),有些ISA管理员问过这样一个问题:“我在ISA的防火墙策略中已经允许外网访问内网,为什么外网机器还是访问不进来?”现在来看这个问题就很简单了,一般情况下,我们对系统策略

明白了网络规则的作用,有些问题就很好解释了。有些ISA管理员问过这样一个问题:“我在ISA的防火墙策略中已经允许外网访问内网,为什么外网机器还是访问不进来?”现在来看这个问题就很简单了,因为ISA认为内网和外网之间的网络规则是NAT,如下图所示,NAT规则决定了只有可能从内网到外网而不可能从外网到内网,因此当外网访问内网时,ISA只需检查网络规则就。因此如果你确实需要外网访问内网,你就应该先把内网和外网之间的网络规则改为路由。

深入剖析防火墙策略的执行过程:ISA2006系列之六

还有一个网络规则的例子,有一个管理员用ISA把DMZ区的一个FTP服务器发布到了外网和内网,结果外网用户访问正常,内网用户却无法访问。为什么,因为DMZ和外网是NAT关系,而DMZ和内网是路由关系。由于从DMZ到外网是NAT关系,外网用户无法通过访问规则直接访问,所以通过发布规则访问是合理的;而内网和DMZ是路由关系,因此内网用户就应该通过访问规则而不是路由规则来访问。

综上所述,网络规则是ISA进行访问控制时所要考虑的第一要务,只有从源网络到目标网络被网络规则许可了,ISA才会继续检查系统策略和防火墙策略;如果访问规则不许可,ISA会直接拒绝访问,根本不会再向下检查系统策略和防火墙策略。大家写访问规则时一定要注意这点。

二 系统策略

如果一个数据包通过了网络规则的检查,ISA接下来就要看看它是否符合系统策略了。ISA2006标准版中预设了30条系统策略,系统策略应用于ISA本地主机,控制着从其他网络到本地主机或者从本地主机到其他网络的通讯,系统策略中启用了一些诸如远程管理,日志,网络诊断等功能。一般情况下,我们对系统策略只能允许或禁止,或对少数策略的某些属性作一些修改。

上一页  1 2 3 4 5 6 7  下一页

Tags:深入 剖析 防火墙

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接