深入剖析防火墙策略的执行过程：ISA2006系列之六

核心提示： 我们在Denver上换用IP访问，在IE中输入202.108.22.5，深入剖析防火墙策略的执行过程：ISA2006系列之六(6)，如下图所示，熟悉的百度界面已经出来了，匹配结果是完全成功，因此ISA执行第二条防火墙策略规定的动作，哈哈，貌似严谨的访问规则竟如此不堪一击！这说明这次的访问请求没有

我们在Denver上换用IP访问，在IE中输入202.108.22.5，如下图所示，熟悉的百度界面已经出来了，哈哈，貌似严谨的访问规则竟如此不堪一击！这说明这次的访问请求没有和拒绝百度访问的防火墙策略匹配成功，而是和第二条允许内网用户任意访问的防火墙策略匹配成功了。

看到这儿，有些朋友可能得出结论了，哦，原来用域名禁止访问某个网站是不成立的。错！如果202.108.22.5的反向解析结果为www.baidu.com，那么拒绝百度的防火墙策略就是成立的！

还是来认真分析一下原理吧，当客户机用HTTP协议访问目标网络时，ISA判断目标网络的根据是HTTP主机头，主机头的内容显然源自我们在浏览器中的输入。当我们在浏览器中输入www.baidu.com时，ISA开始检查访问请求能否匹配第一条防火墙策略，也就是拒绝内网访问百度的那条策略。ISA先检查协议，从（源网络），计划时间三个元素，这三个元素都能和访问请求匹配，然后ISA检查到（目标网络）元素，ISA根据主机头内容判断访问请求中的目标网络是www.baidu.com，而防火墙策略中的目标网络元素也包含了www.baidu.com，因此ISA判断访问请求和到（目标网络）元素也能匹配上。然后ISA检查用户和内容类型两个元素也可以匹配，所以ISA判断访问请求和拒绝访问百度的防火墙策略完全匹配，于是按照防火墙策略的要求拒绝了这次访问请求。

当我们在浏览器中输入202.108.22.5时，ISA是这么检查的。首先还是判断 协议，从（源网络），计划时间三个元素匹配策略，然后检查到（目标网络）元素，ISA判断访问请求的目标是202.108.22.5，而防火墙策略的目标网络是包含www.baidu.com的域名集，这时ISA会对202.108.22.5进行DNS反向解析，如果解析的结果等于www.baidu.com。，ISA就认为访问请求的目标网络和策略的目标网络也是匹配的。如果反向解析的结果不等于www.baidu.com（解析的结果确实不是百度的域名），ISA就认为访问请求的目标网络和防火墙策略的目标网络不匹配。这样ISA就会停止匹配第一条拒绝访问百度的防火墙策略，转而匹配第二条允许内网任意访问的防火墙策略，匹配结果是完全成功，因此ISA执行第二条防火墙策略规定的动作，允许了对202.108.22.5的访问。