WEB开发网
开发学院网络安全防火墙 深入剖析防火墙策略的执行过程:ISA2006系列之六 阅读

深入剖析防火墙策略的执行过程:ISA2006系列之六

 2010-09-30 12:16:01 来源:WEB开发网   
核心提示: 如果客户机不是用HTTP协议访问目标网络,那么匹配的过程又稍微有些不同,深入剖析防火墙策略的执行过程:ISA2006系列之六(7),例如客户机用FTP协议访问www.baidu.com,那么客户机在发送访问请求时不会把www.baidu.com作为目标网络,这样做效果如何大家可以自己试试看,肯定

如果客户机不是用HTTP协议访问目标网络,那么匹配的过程又稍微有些不同。例如客户机用FTP协议访问www.baidu.com,那么客户机在发送访问请求时不会把www.baidu.com作为目标网络,而是先对www.baidu.com进行域名解析,然后把解析出来的IP作为目标网络发送给ISA。ISA对访问请求进行匹配时,如果被匹配的防火墙策略用域名描述目标网络,ISA就会对访问请求发来的IP进行反向解析,看解析出的域名能否和防火墙策略的目标网络相匹配。根据这个结论,我们用IE访问www.baidu.com会被拒绝,因为刚才分析过了,此时客户机将域名www.baidu.com作为访问请求中的目标网络发送给ISA,ISA认为访问请求和拒绝访问百度的防火墙策略完全匹配,因此客户机被拒绝访问。但如果客户机在命令行下输入telnet www.baidu.com 80,如下图所示,直接连接百度的80端口,ISA会如何处理呢?

深入剖析防火墙策略的执行过程:ISA2006系列之六

如下图所示,ISA对访问请求放行了,显然这次的访问请求没有和拒绝访问百度的策略匹配上,原因是什么呢?

深入剖析防火墙策略的执行过程:ISA2006系列之六

客户机telnet百度80端口时,我在ISA上启用了实时日志,日志记录的结果如下图所示。从日志上我们很清楚地看到,客户机先对www.baidu.com进行了DNS解析,解析结果为202.108.22.5,然后客户机把202.108.22.5作为访问请求的目标网络发送给ISA,ISA对202.108.22.5进行反向解析,解析出的域名并不是www.baidu.com,因此ISA认为访问请求和第一条防火墙策略并不匹配。然后ISA将访问请求和第二条策略进行匹配,匹配成功后正从我们在日志中看到的那样,访问请求被第二条允许内网用户任意访问的策略放行了。

深入剖析防火墙策略的执行过程:ISA2006系列之六

我们可以总结一下,客户机使用HTTP协议访问时,目标网络取决于主机头,而访问者输入的主机头既可能是域名也有可能是IP(一般以域名居多);。客户机使用其他协议访问时,目标网络一定是以IP进行描述!

现在我们考虑一下应该如果用ISA禁止用户访问某个目标网络,那这个目标网络应该如何描述,显然只用域名描述是不严谨的,除非你确信DNS反向解析的结果对你有利(大部分情况下你会失望的)。如果保险一些,我们应该用域名+IP来描述目标网络。以刚才的限制百度为例,用nslookkup查出www.baidu.com的域名解析结果为202.108.22.43和202.108.22.5。创建一个计算机集将这两个地址包含进去,如下图所示。

深入剖析防火墙策略的执行过程:ISA2006系列之六

然后就可以在拒绝访问百度的策略中加入刚创建的计算机集,如下图所示,这样做效果如何大家可以自己试试看,肯定比只用域名要好得多。

深入剖析防火墙策略的执行过程:ISA2006系列之六

本文出自 “岳雷的微软网络课堂” 博客,请务必保留此出处http://yuelei.blog.51cto.com/202879/84995

上一页  2 3 4 5 6 7 

Tags:深入 剖析 防火墙

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接