深入剖析防火墙策略的执行过程：ISA2006系列之六

核心提示： 以前曾经有朋友问我，为什么ISA安装后防火墙策略中明明禁止了所有通讯，深入剖析防火墙策略的执行过程：ISA2006系列之六(3)，但ISA主机还是可以ping到其他计算机，是否ISA本机有某些特权呢？不是的，如下图所示，我们只要把内部网络添加到允许ping本地主机的集合中，ISA能对其他网络进行

以前曾经有朋友问我，为什么ISA安装后防火墙策略中明明禁止了所有通讯，但ISA主机还是可以ping到其他计算机，是否ISA本机有某些特权呢？不是的，ISA能对其他网络进行有限访问完全是由系统策略决定的，只是由于系统策略没有显示出来，因此安装完ISA后我们并没有注意到它。

我们来看看系统策略到底有哪些内容，打开ISA服务器管理，右键点击防火墙策略，如下图所示，在查看中选择“显示系统策略规则”。

如下图所示，我们看到了30条系统策略的内容。

编辑系统策略也可以用系统策略编辑器，系统策略编辑器为管理员提供了更为友好的管理界面，如下图所示，右键点击“防火墙策略”，选择“编辑系统策略”。

如下图所示，我们可以在系统策略编辑器中编辑系统策略。

系统策略的优先级比防火墙策略高，因此如果任务可以用系统策略完成，就不要用防火墙策略。例如有时候我们为了测试需要，允许从内网ping ISA服务器，这种需求完全可以用系统策略完成，如下图所示，我们只要把内部网络添加到允许ping本地主机的集合中，就可以完成任务了。