ISA——防火墙策略的执行过程
2010-12-09 09:46
609 查看
ISA检查数据包的顺序是:
1、检查是否符合网络规则
2、检查是否符合系统策略
3、检查是否符合防火墙策略(我们创建的访问规则)
1、网络规则
简单的说,就是网络间通过什么方式相互访问,一般用的比较多有下面三种:
路由方式(局域网内部之间、广域网之间相互访问)
NAT(局域网内部访问Internet最为常见,有时候为了保护内部服务器安全,也会用这种方式)
反向NAT,在ISA中通过发布规则来实现,(当只有一个或少量公网地址,而内部服务器数量多于公网IP地址数时常使用的方式,有时候为了安全,配合第二条使用)
网络规则的创建、修改:ISA管理器——“阵列”——”配置“——”网络“——”网络规则“
2、系统策略
防火墙默认内置了一些访问策略,可通过选中”防火墙策略“,然后点击”查看“菜单,选中”显示系统策略规则“
也可以直接右键单击”防火墙策略“,选择”编辑系统策略”来进行编辑:
3、防火墙策略
防火墙策略是管理员主要由管理配置,配置时需要注意一下几点:
策略顺序,放在前面的策略将被先执行;一旦访问匹配该策略,后面即使有其他匹配的策略也不会被执行
尽可能简化规则,减少规则的数量,以提升性能
将匹配度更高的规则放在前面
在不影响策略效果的情况下,将针对用户的规则放在前面
每条访问规则都是独立的,不会受其他规则的影响
如果可以通过配置系统策略来实现的,就不必建立防火墙策略
最后隐藏一条拒绝所有的策略,即:没有任何策略匹配的时候,防火墙就会拒绝 Technorati 标签: ISA,防火墙策略
1、检查是否符合网络规则
2、检查是否符合系统策略
3、检查是否符合防火墙策略(我们创建的访问规则)
1、网络规则
简单的说,就是网络间通过什么方式相互访问,一般用的比较多有下面三种:
路由方式(局域网内部之间、广域网之间相互访问)
NAT(局域网内部访问Internet最为常见,有时候为了保护内部服务器安全,也会用这种方式)
反向NAT,在ISA中通过发布规则来实现,(当只有一个或少量公网地址,而内部服务器数量多于公网IP地址数时常使用的方式,有时候为了安全,配合第二条使用)
网络规则的创建、修改:ISA管理器——“阵列”——”配置“——”网络“——”网络规则“
2、系统策略
防火墙默认内置了一些访问策略,可通过选中”防火墙策略“,然后点击”查看“菜单,选中”显示系统策略规则“
也可以直接右键单击”防火墙策略“,选择”编辑系统策略”来进行编辑:
3、防火墙策略
防火墙策略是管理员主要由管理配置,配置时需要注意一下几点:
策略顺序,放在前面的策略将被先执行;一旦访问匹配该策略,后面即使有其他匹配的策略也不会被执行
尽可能简化规则,减少规则的数量,以提升性能
将匹配度更高的规则放在前面
在不影响策略效果的情况下,将针对用户的规则放在前面
每条访问规则都是独立的,不会受其他规则的影响
如果可以通过配置系统策略来实现的,就不必建立防火墙策略
最后隐藏一条拒绝所有的策略,即:没有任何策略匹配的时候,防火墙就会拒绝 Technorati 标签: ISA,防火墙策略
相关文章推荐
- 深入剖析ISA防火墙策略执行过程
- ISA——防火墙策略的执行过程
- [经典]ISA(1)――防火墙策略执行过程
- 正确理解防火墙策略的执行过程
- 深入剖析防火墙策略的执行过程(六)
- ISA学习笔记:ISA策略的执行过程
- 深入剖析防火墙策略的执行过程:ISA2006系列之六
- 深入剖析防火墙策略的执行过程:ISA2006系列之六
- 深入剖析防火墙策略的执行过程
- ISA的防火墙策略应用过程
- 深入剖析防火墙策略的执行过程
- ISA 策略的执行过程
- 实例详解ISA防火墙策略元素(五)
- ISA 防火墙策略部署深度分析(三)
- ISA防火墙策略配置/服务器发布
- ISA 2006 实验指南(五)防火墙策略元素
- 实例详解ISA防火墙策略元素:ISA2006系列之五
- ISA2006实战:防火墙策略部署深度分析
- 实例详解ISA防火墙策略元素