WEB开发网
开发学院网络安全防火墙 深入剖析防火墙策略的执行过程:ISA2006系列之六 阅读

深入剖析防火墙策略的执行过程:ISA2006系列之六

 2010-09-30 12:16:01 来源:WEB开发网   
核心提示: 我们在Denver上换用IP访问,在IE中输入202.108.22.5,深入剖析防火墙策略的执行过程:ISA2006系列之六(6),如下图所示,熟悉的百度界面已经出来了,匹配结果是完全成功,因此ISA执行第二条防火墙策略规定的动作,哈哈,貌似严谨的访问规则竟如此不堪一击!这说明这次的访问请求没有

深入剖析防火墙策略的执行过程:ISA2006系列之六

我们在Denver上换用IP访问,在IE中输入202.108.22.5,如下图所示,熟悉的百度界面已经出来了,哈哈,貌似严谨的访问规则竟如此不堪一击!这说明这次的访问请求没有和拒绝百度访问的防火墙策略匹配成功,而是和第二条允许内网用户任意访问的防火墙策略匹配成功了。

深入剖析防火墙策略的执行过程:ISA2006系列之六

看到这儿,有些朋友可能得出结论了,哦,原来用域名禁止访问某个网站是不成立的。错!如果202.108.22.5的反向解析结果为www.baidu.com,那么拒绝百度的防火墙策略就是成立的!

还是来认真分析一下原理吧,当客户机用HTTP协议访问目标网络时,ISA判断目标网络的根据是HTTP主机头,主机头的内容显然源自我们在浏览器中的输入。当我们在浏览器中输入www.baidu.com时,ISA开始检查访问请求能否匹配第一条防火墙策略,也就是拒绝内网访问百度的那条策略。ISA先检查协议,从(源网络),计划时间三个元素,这三个元素都能和访问请求匹配,然后ISA检查到(目标网络)元素,ISA根据主机头内容判断访问请求中的目标网络是www.baidu.com,而防火墙策略中的目标网络元素也包含了www.baidu.com,因此ISA判断访问请求和到(目标网络)元素也能匹配上。然后ISA检查用户和内容类型两个元素也可以匹配,所以ISA判断访问请求和拒绝访问百度的防火墙策略完全匹配,于是按照防火墙策略的要求拒绝了这次访问请求。

当我们在浏览器中输入202.108.22.5时,ISA是这么检查的。首先还是判断 协议,从(源网络),计划时间三个元素匹配策略,然后检查到(目标网络)元素,ISA判断访问请求的目标是202.108.22.5,而防火墙策略的目标网络是包含www.baidu.com的域名集,这时ISA会对202.108.22.5进行DNS反向解析,如果解析的结果等于www.baidu.com。,ISA就认为访问请求的目标网络和策略的目标网络也是匹配的。如果反向解析的结果不等于www.baidu.com(解析的结果确实不是百度的域名),ISA就认为访问请求的目标网络和防火墙策略的目标网络不匹配。这样ISA就会停止匹配第一条拒绝访问百度的防火墙策略,转而匹配第二条允许内网任意访问的防火墙策略,匹配结果是完全成功,因此ISA执行第二条防火墙策略规定的动作,允许了对202.108.22.5的访问。

上一页  1 2 3 4 5 6 7  下一页

Tags:深入 剖析 防火墙

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接