深入剖析防火墙策略的执行过程：ISA2006系列之六

如果客户机不是用HTTP协议访问目标网络，那么匹配的过程又稍微有些不同。例如客户机用FTP协议访问www.baidu.com，那么客户机在发送访问请求时不会把www.baidu.com作为目标网络，而是先对www.baidu.com进行域名解析，然后把解析出来的IP作为目标网络发送给ISA。ISA对访问请求进行匹配时，如果被匹配的防火墙策略用域名描述目标网络，ISA就会对访问请求发来的IP进行反向解析，看解析出的域名能否和防火墙策略的目标网络相匹配。根据这个结论，我们用IE访问www.baidu.com会被拒绝，因为刚才分析过了，此时客户机将域名www.baidu.com作为访问请求中的目标网络发送给ISA，ISA认为访问请求和拒绝访问百度的防火墙策略完全匹配，因此客户机被拒绝访问。但如果客户机在命令行下输入telnet www.baidu.com 80，如下图所示，直接连接百度的80端口，ISA会如何处理呢？

如下图所示，ISA对访问请求放行了，显然这次的访问请求没有和拒绝访问百度的策略匹配上，原因是什么呢？

客户机telnet百度80端口时，我在ISA上启用了实时日志，日志记录的结果如下图所示。从日志上我们很清楚地看到，客户机先对www.baidu.com进行了DNS解析，解析结果为202.108.22.5，然后客户机把202.108.22.5作为访问请求的目标网络发送给ISA，ISA对202.108.22.5进行反向解析，解析出的域名并不是www.baidu.com，因此ISA认为访问请求和第一条防火墙策略并不匹配。然后ISA将访问请求和第二条策略进行匹配，匹配成功后正从我们在日志中看到的那样，访问请求被第二条允许内网用户任意访问的策略放行了。

我们可以总结一下，客户机使用HTTP协议访问时，目标网络取决于主机头，而访问者输入的主机头既可能是域名也有可能是IP（一般以域名居多）；。客户机使用其他协议访问时，目标网络一定是以IP进行描述！

现在我们考虑一下应该如果用ISA禁止用户访问某个目标网络，那这个目标网络应该如何描述，显然只用域名描述是不严谨的，除非你确信DNS反向解析的结果对你有利（大部分情况下你会失望的）。如果保险一些，我们应该用域名＋IP来描述目标网络。以刚才的限制百度为例，用nslookkup查出www.baidu.com的域名解析结果为202.108.22.43和202.108.22.5。创建一个计算机集将这两个地址包含进去，如下图所示。

然后就可以在拒绝访问百度的策略中加入刚创建的计算机集，如下图所示，这样做效果如何大家可以自己试试看，肯定比只用域名要好得多。

本文出自 “岳雷的微软网络课堂” 博客，请务必保留此出处http://yuelei.blog.51cto.com/202879/84995