深入剖析防火墙策略的执行过程：ISA2006系列之六

核心提示： B 策略匹配策略匹配是ISA管理员关注的核心问题，前面我们一直在提如果网络访问和防火墙策略匹配，深入剖析防火墙策略的执行过程：ISA2006系列之六(5)，则按防火墙策略执行允许或禁止的操作，那么，哈哈，看样子大功告成了？且慢，问题是，怎么才算和防火墙策略匹配呢？只有把这个问题搞清楚了

B 策略匹配

策略匹配是ISA管理员关注的核心问题。前面我们一直在提如果网络访问和防火墙策略匹配，则按防火墙策略执行允许或禁止的操作。那么，问题是，怎么才算和防火墙策略匹配呢？

只有把这个问题搞清楚了，才能写出符合你设计初衷的策略。

当ISA检测到访问请求时，ISA会检查访问请求能否匹配防火墙策略中的策略元素，策略元素的检查顺序为 协议，从（源网络），计划时间，到（目标网络），用户，内容类型。如果和这些元素都能匹配，ISA就认为访问请求匹配防火墙策略。

从被检查的策略元素来看， 到（目标网络）元素最容易出问题。

目标网络元素的问题容易出在哪儿呢？容易出现在DNS上，确切地说是出现在DNS的反向解析上！这个结论估计是很多管理员始料未及的，还是举个例子加以说明吧，假设我们要禁止内网访问百度，我见过很多管理员的处理方法都是这样的，首先创建一个域名集，将www.baidu.com包含进去，如下图所示。

然后就写出一条拒绝内网访问百度的访问规则，如下图所示

我们在一台内网计算机Denver上测试一下，Denver使用Web代理访问百度，如下图所示，错误信息表明ISA拒绝了Denver访问百度的请求。这说明访问请求和拒绝百度访问的防火墙策略匹配成功，哈哈，看样子大功告成了？且慢，再向下看。