学着理解ISA防火墙到底是怎么处理策略的执行过程

[align=center]学着理解ISA防火墙到底是怎么处理策略的执行过程[/align]
今天的学习是针对isa2006的标准版，老师说企业版的有点麻烦，所以占时不做讨论，刚接触isa的时候，（其实现在也是）以为要什么结果就做个策略就行了呗，听完课之后才发现不是这么回事，2000版的isa并不能对数据包的内容进行检查，据说操作也是相对复杂，现如今全是菜单式的操作界面，还有很多向导，使得具体的新建策略似乎变得很容易，04版的开始才是真正基于网络层的应用，06当然是只能好不能坏了，也就是说像那种利用ie浏览器的那些攻击方法已经不再奏效，听说现在的isa防火墙，还是很严密的，但个人觉得微软的东西做的是很好，功能要是与微软的产品结合起来是很强大的，但是觉得他有的时候太过于细化了，使得你很难在短时间内对某一个软件很熟悉很精通，稍微一不注意，哪个复选框没勾就会很麻烦，所以有的时候我们真的需要静下心来好好地把原理搞搞清楚，由于是个初学者所以难免文中会有不当之处，所以在此还请各位多多指教，先谢了
第一isa要检查的就是网络规则，当isa发现一个数据包的时候，（前文说过isa是真正基于网络层的应用，）所以他要检查这个数据包从哪来到哪去，源地址是什么，目标地址又是什么，要是你现在通过网络做哪些基于ie漏洞的攻击的话，isa一检查到那些什么%等等字符就会觉得你动机不纯，而直接给他扔掉，所以isa2004推出后这些攻击就不那么神了，也就没有了用武之地，
第二isa要检查的就是系统策略，isa默认的有30 条系统策略在防火墙下的查看有个显示系统策略规则，可以看到的，但对于我们能对系统策略修改的很少，只能是允许还是禁止，
Isa的主张就是以拒绝为主，除非你明确的说明从哪到哪什么人什么时间可以访问哪些网络，不然就是禁止，由此想到那法无规定者不为过，只要法律没有明确禁止的我们都可以去做，不同的是只要isa明确规定的你才可以去做，才出的去，不然就被禁止，
第三isa要检查的才是我们经常见到的防火墙策略，isa的执行是先看网络规则对不对，匹不匹配，在看看系统策略，让不让过，最后才是我们做的策略，这个自己做的策略会有个123的编号，而isa在防火墙策略中就不是按什么拒绝优先了，而是按照你做策略的顺序一个一个排下来的，这呢有个问题因为这个策略是按顺序排下来的，第一条匹配不上才会找第二条，第一条匹配上了，直接就出去了第二条连看都不看，所以要是我们先做的策略是禁止聊qq。玩游戏。，又做了一条是允许出站通讯，（注意这是允许就成了最上面的一条，也就是成了第一条了）那isa一看这允许出战嘛，直接就放行了，所以禁止也就形同虚设，我们要做的就是把禁止提升到允许之前，…不然是不行的
还有一个要注意，一个访问请求和一个防火墙策略能不能匹配上还有六个因素
就是源网络，目标网略，计划，用户，协议，内容，类型，呵呵不好意思，这个占时还没有很好的理解，所以以后再说……