深入剖析防火墙策略的执行过程：ISA2006系列之六

明白了网络规则的作用，有些问题就很好解释了。有些ISA管理员问过这样一个问题：“我在ISA的防火墙策略中已经允许外网访问内网，为什么外网机器还是访问不进来？”现在来看这个问题就很简单了，因为ISA认为内网和外网之间的网络规则是NAT，如下图所示，NAT规则决定了只有可能从内网到外网而不可能从外网到内网，因此当外网访问内网时，ISA只需检查网络规则就。因此如果你确实需要外网访问内网，你就应该先把内网和外网之间的网络规则改为路由。

还有一个网络规则的例子，有一个管理员用ISA把DMZ区的一个FTP服务器发布到了外网和内网，结果外网用户访问正常，内网用户却无法访问。为什么，因为DMZ和外网是NAT关系，而DMZ和内网是路由关系。由于从DMZ到外网是NAT关系，外网用户无法通过访问规则直接访问，所以通过发布规则访问是合理的；而内网和DMZ是路由关系，因此内网用户就应该通过访问规则而不是路由规则来访问。

综上所述，网络规则是ISA进行访问控制时所要考虑的第一要务，只有从源网络到目标网络被网络规则许可了，ISA才会继续检查系统策略和防火墙策略；如果访问规则不许可，ISA会直接拒绝访问，根本不会再向下检查系统策略和防火墙策略。大家写访问规则时一定要注意这点。

二 系统策略

如果一个数据包通过了网络规则的检查，ISA接下来就要看看它是否符合系统策略了。ISA2006标准版中预设了30条系统策略，系统策略应用于ISA本地主机，控制着从其他网络到本地主机或者从本地主机到其他网络的通讯，系统策略中启用了一些诸如远程管理，日志，网络诊断等功能。一般情况下，我们对系统策略只能允许或禁止，或对少数策略的某些属性作一些修改。