ISA系列之深入剖析防火墙策略的执行过程

正确理解防火墙策略的执行过程

很多初次接触ISA的管理员，经常会发现自己的管理意图没有得到贯彻。自己明明禁止用户使用QQ聊天，可你看这个老兄正在和多个MM聊得热火朝天；早就禁止在上班时间访问游戏网站，可这个家伙不正在和别人下棋吗？最郁闷的是就连简单的禁止访问百度搜索引擎都做不到，照样有很多人用百度搜来搜去……不少深感智力受到侮辱的网管愤怒地发出了“ISA就是不灵”的吼声。ISA真是不灵吗？不是的，其实发生这些的主要原因是ISA管理员并没有真正理解防火墙策略的执行过程。今天我们就来好好地分析一下ISA防火墙策略的执行过程，避免在以后的工作中犯类似的错误。首先声明，我们今天讨论的是ISA2006标准版的策略执行过程，企业版比标准版要复杂一些，以后我们再讨论。我们可以把ISA当作是信息高速公路上的一个检查站，当有数据包要通过ISA时，ISA就会利用策略对数据包进行检查，检查通过就放行，否则就拒绝。ISA检查数据包的顺序是：一检查是否符合网络规则二检查是否符合系统策略三检查是否符合防火墙策略

一网络规则一个数据包通过ISA时，ISA首先要检查的就是网络规则。网络规则是ISA中非常重要而又很容易被忽视的一个因素。ISA检查数据包时首先要考虑的就是这个数据包是从哪个网络到哪个网络，这两个网络间的网络规则是什么。也就是说ISA是基于网络进行控制，而不是很多朋友认为的基于主机进行控制。网络规则只有两种，路由或NAT。如果A网络到B网络的网络规则为路由，那么数据包从A网络到B网络或者从B网络到A网络都有可能；如果A网络到B网络的网络规则为NAT，那么数据包只有可能从A到B，而不可能从B到A。我们可以把两个网络比喻为两个城市，网络规则就象是城市之间的高速公路，如果两个网络之间的网络规则为路由，那就象是两个城市之间有一条双向高速公路；如果网络规则为NAT，则就相当于两个城市之间有一条单行高速公路。明白了网络规则的作用，有些问题就很好解释了。有些ISA管理员问过这样一个问题：“我在ISA的防火墙策略中已经允许外网访问内网，为什么外网机器还是访问不进来？”现在来看这个问题就很简单了，因为ISA认为内网和外网之间的网络规则是NAT，如下图所示，NAT规则决定了只有可能从内网到外网而不可能从外网到内网，因此当外网访问内网时，ISA只需检查网络规则就。因此如果你确实需要外网访问内网，你就应该先把内网和外网之间的网络规则改为路由。

还有一个网络规则的例子，有一个管理员用ISA把DMZ区的一个FTP服务器发布到了外网和内网，结果外网用户访问正常，内网用户却无法访问。为什么，因为DMZ和外网是NAT关系，而DMZ和内网是路由关系。由于从DMZ到外网是NAT关系，外网用户无法通过访问规则直接访问，所以通过发布规则访问是合理的；而内网和DMZ是路由关系，因此内网用户就应该通过访问规则而不是发布规则来访问。综上所述，网络规则是ISA进行访问控制时所要考虑的第一要务，只有从源网络到目标网络被网络规则许可了，ISA才会继续检查系统策略和防火墙策略；如果网络规则不许可，ISA会直接拒绝访问，根本不会再向下检查系统策略和防火墙策略。大家写访问规则时一定要注意这点。二系统策略如果一个数据包通过了网络规则的检查，ISA接下来就要看看它是否符合系统策略了。ISA2006标准版中预设了30条系统策略，系统策略应用于ISA本地主机，控制着从其他网络到本地主机或者从本地主机到其他网络的通讯，系统策略中启用了一些诸如远程管理，日志，网络诊断等功能。一般情况下，我们对系统策略只能允许或禁止，或对少数策略的某些属性作一些修改。以前曾经有朋友问我，为什么ISA安装后防火墙策略中明明禁止了所有通讯，但ISA主机还是可以ping到其他计算机，是否ISA本机有某些特权呢？不是的，ISA能对其他网络进行有限访问完全是由系统策略决定的，只是由于系统策略没有显示出来，因此安装完ISA后我们并没有注意到它。我们来看看系统策略到底有哪些内容，打开ISA服务器管理，右键点击防火墙策略，如下图所示，在查看中选择“显示系统策略规则”。

沫如下坊图所宵示，咬我们曾看到鲜了剖30体条系泻统策浸略的宁内容坛。

淘编辑择系统户策略胡也可席以用册系统素策略镰编辑登器，铅系统帝策略砖编辑青器为作管理劫员提敢供了涝更为肺友好香的管专理界许面，侨如下顺图所隙示，祥右键饥点击痛“姐防火哑墙策腿略毫”执，选钩择前“穗编辑也系统窃策略膊”柄。

训如下茅图所由示，器我们伍可以恶在系芳统策胶略编担辑器歌中编提辑系哪统策林略。

份系统恒策略订的优氏先级掌比防宴火墙撕策略哭高，池因此涌如果秤任务虾可以向用系牢统策绳略完械成，瑞就不制要用岁防火饭墙策晴略。会例如柏有时老候我刃们为浓了测邻试需冰要，珠允许汗从内乖网差pi粒ng迎I持SA钢服务乒器，继这种嚼需求扬完全范可以背用系鸽统策恨略完摊成，脂如下兆图所辈示，拒我们砍只要猛把内献部网咽络添斤加到圾允许晌pi五ng扰本地脸主机辈的集逼合中亩，就术可以摧完成收任务点了。

扁三秒踩防火际墙策登略享防火捡墙策迫略用霸来控祥制源音网络敢和目植标网兄络的猜通讯眉，是价IS祥A站管理像员控聚制网黑络访精问的神常规棒武器父，也什是本着文讨尸论的筐重点套所在坑。防仿火墙培策略催的优魄先级胸就是挽按照跟规则碰排列洗的顺揭序，领而不量是按妨照拒盟绝优设先原颠则。撕由于万系统愿策略扒优先懂级也淋是按钻照序杠号排篇列，蠢和防崖火墙截策略你优先记级完吊全一欲样，砖我们就甚至胶可以赠把防尺火墙陪策略勇看成叮是从康31造开始狸编号帝的系内统策满略。友数据叠包通召过网盏络规往则的疼检查唐后，查就要动面临谷系统隐策略养和防搜火墙棍策略尽的考纵验了晃。版IS骨A羽将从愈第一室条策腾略开梳始检庭查，横检查稍数据锐包的励访问垒请求细是否司匹配线策略惭，如腰果匹伏配，搁就按忠照策锈略的愤规定逐执行悟，结笋果无缓非是齐禁止抢或允顺许。感如果咽不匹弄配，颈IS旅A屡就将匠按顺餐序检磁查下正一条毁策略管，从污第一畏条系极统策圣略一鹿直检母查到漂最后清一条邻防火递墙策难略。亮那有鸣人要卫问了苗，如松果把榆所有威策略蝶都检框查完垫了还列不匹汽配怎仇么办尚？呵启呵，退这是仓不可旨能的刃，觉IS滑A完自带偷的最鲁后一企条防鲜火墙音策略业内容锈是禁骑止所朗有网桨络间网的一阀切通骄讯，为如下讽图所痰示，驱这条覆防火要墙策溜略可庄以与益所有凡的网瓶络访伙问相脊匹配筑，因舞此聋IS河A慎实际帽上使奸用了帅隐式怪拒绝运，也却就是瓶说如摇果某颗个访幕问请婶求如他果没吃有被豪策略驰显式臂允许礼，那冒肯定梁会被莫最后颗一条码防火日墙策刮略所页拒绝日。

兔看了超上面灭的介蝶绍，哈我们袭要注祝意两忆点，屑一是潮策略妈顺序扰，二庸是策睁略匹声配。

隆A绍策略肯顺序盾防火剃墙策肃略的遵排列得顺序任决定杜了优设先级掀，排器在前精面的遵策略钱优先轰执行霸，根样据这外个原乖则，尽我们鸡要好笛好设香计一诱下防律火墙烂策略荐的顺展序。职例如明，我样们写哗了两杯条防佩火墙东策略听，一粥条是刃允许网内网准用户奶任意牧访问聋，另视外一速条是气拒绝敲内网师用户爱访问辞联众遭游戏们网站变。如搏果排东列顺电序如宿下图依所示挎，允吉许策固略排删在拒眠绝策解略之半前，绞那就蹄是个滥错误情的决器定。锯拒绝律访问宇联众维的策月略永受远不践会被吨执行蜘，因慧为当浙用户智访问缩联众沟时，吩访问著请求介匹配驳第一饮条防鲁火墙声策略猪，用阀户就刺被防放火墙伤放行惊了，修第二扇条策狱略根避本没桂有执槽行的捏机会朵。正杀确的朝做法封是将伙拒绝些策略辟放到衡允许它策略僵之前砖！

度B袭策略上匹配券策略蚕匹配慕是狐IS黑A五管理殊员关枯注的绢核心钻问题唯。前糟面我也们一由直在络提如脸果网狮络访柄问和伪防火粱墙策逃略匹刻配，泪则按点防火滨墙策疏略执驶行允斗许或谷禁止榨的操办作。壁那么舞，问什题是活，怎券么才菜算和踢防火尽墙策骄略匹待配呢誓？法只有幼把这究个问浑题搞晌清楚推了，糟才能摘写出故符合县你设朵计初运衷的隆策略辣。萌当刘IS荣A赵检测相到访湿问请寺求时草，懒IS仗A凉会检档查访茶问请竞求能下否匹偶配防熄火墙释策略嘉中的横策略脚元素横，策撕略元打素的脂检查覆顺序丹为绒青协议旨，从服（源茄网络瓜），烦计划删时间希，到灿（目瞒标网当络）捏，用嚷户，窜内容姥类型狡。如币果和泄这些咸元素稀都能来匹配荒，角IS旗A元就认草为访割问请僻求匹垫配防望火墙底策略晕。分从被边检查恩的策素略元赞素来惹看，战续到（捧目标列网络务）元误素最黄容易易出问军题。鼻目标犬网络壳元素混的问宣题容妇易出缘在哪斜儿呢绳？容放易出反现在图DN迷S稍上，期确切不地说匙是出找现在惭DN滴S缴的反衣向解今析上垮！故这个耽结论码估计遗是很贩多管辱理员瘦始料客未及坚的，删还是静举个困例子籍加以絮说明蹲吧，办假设蔑我们催要禁承止内夺网访危问百石度，松我见爬过很阁多管诸理员锁的处避理方锡法都势是这真样的愤，首饮先创抗建一逐个域染名集伸，将塔[u敌rl池]w洽ww折.b持ai榆du安.c即om菜[/勉ur孙l]胶包含位进去班，如女下图者所示宵。

呆然后代就写毫出一倘条拒蛋绝内内网访斜问百层度的贡访问欠规则枪，如由下图纯所示

里我们浸在一倾台内煤网计吉算机严De覆nv可er弯上测碧试一您下，解De期nv悔er肥使用饼We慌b形代理骆访问普百度娇，如吧下图晃所示婚，错遥误信盟息表街明度IS纳A纹拒绝深了提De揉nv乌er脖访问钟百度伙的请泽求。摇这说娘明访别问请刃求和折拒绝累百度手访问劣的防增火墙资策略痛匹配派成功俭，哈暗哈，淡看样外子大盼功告薯成了当？且棒慢，驳再向赞下看誉。

嘱我们自在死De伶nv拍er劳上换棵用蹈IP狐访问快，在膀IE政中输吐入色20勇2.额10抵8.眨22对.5振，如铃下图既所示喝，熟政悉的效百度雪界面惰已经帅出来忧了，烟哈哈叶，貌桐似严逃谨的而访问巾规则骡竟如此此不覆堪一宿击！夏这说送明这励次的喇访问愤请求仓没有锤和拒系绝百去度访鸟问的烘防火哲墙策烤略匹加配成隶功，厘而是熟和第必二条床允许财内网平用户循任意纲访问报的防汤火墙芝策略膨匹配抵成功详了。

熟看到原这儿什，有谎些朋痛友可易能得当出结钉论了拥，哦奸，原振来用撕域名济禁止造访问净某个谨网站样是不海成立应的。夏错！座如果阿20往2.彼10铁8.证22忌.5体的反裂向解涂析结击果为糟[u曾rl胀]w肌ww冤.b这ai星du踢.c胸om足[/水ur钱l]呈，那逝么拒苏绝百井度的典防火锹墙策匪略就炸是成模立的择！织还是容来认托真分影析一庄下原锋理吧蜂，当家客户萍机用岗HT坛TP候协议埋访问扫目标下网络流时，李IS臭A尽判断还目标余网络牢的根冬据是从HT占TP押主机两头，刷主机贺头的皇内容疑显然蜻源自咳我们炎在浏愤览器顾中的阶输入邀。当灯我们雨在浏被览器胁中输愉入姐[u月rl绣]w码ww拒.b幸ai唱du夫.c烤om林[/搜ur芬l]岔时，私IS拐A腐开始帖检查岁访问祖请求欠能否洒匹配描第一但条防君火墙蔑策略枪，也若就是败拒绝利内网肚访问炮百度勺的那重条策给略。昆IS钓A久先检捷查协肿议，懂从（贼源网瓦络）敌，计闭划时棋间三抽个元名素，锹这三绞个元极素都药能和睛访问桑请求矮匹配闸，然棵后学IS职A木检查眠到（社目标责网络忆）元但素，哀IS娃A诱根据拴主机充头内锯容判舟断访集问请夫求中壳的目腐标网敲络是耐[u陪rl蹈]w察ww熄.b途ai捧du纷.c炮om凶[/统ur币l]万，而浓防火听墙策庄略中俭的目沿标网农络元恼素也膝包含北了塘[u博rl伶]w民ww陡.b助ai冠du鞠.c酷om坚[/算ur法l]者，因诸此碍IS姜A乞判断钥访问携请求乡和到柜（目侄标网拥络）短元素姻也能毫匹配耳上。崭然后幅IS赛A砌检查幕用户构和内逼容类枕型两填个元残素也慧可以发匹配染，所茂以感IS该A毁判断瑞访问骄请求肚和拒货绝访像问百忌度的到防火浪墙策放略完际全匹槐配，导于是臭按照脖防火计墙策袜略的董要求照拒绝缘了这枕次访芒问请惹求。珠当我忧们在厉浏览蝴器中徐输入开20吐2.轮10祸8.殃22扬.5差时，食IS茎A谱是这兰么检王查的刊。首屑先还涛是判晴断趣末协议逝，从券（源茧网络句），碰计划宋时间坑三个磨元素柜匹配努策略曲，然肝后检茶查到目（目远标网饲络）工元素贴，绝IS深A魄判断裙访问惑请求纹的目当标是卷20隙2.绘10释8.饭22白.5安，而湾防火剪墙策肉略的全目标女网络云是包胶含摧[u侵rl享]w潮ww纵.b傍ai界du奔.c蔬om恶[/毁ur播l]兽的域擦名集棒，这锁时脖IS栽A点会对寺20修2.欢10船8.侦22阻.5值进行艘DN婆S晶反向匹解析雅，如冷果解鞋析的苍结果诱等于总[u廊rl起]w味ww葵.b皂ai滥du丹.c灶om阵[/莲ur蛇l]竹。，框IS恒A妄就认蝶为访词问请餐求的墓目标柱网络牙和策权略的恼目标袖网络眠也是兽匹配园的。于如果碑反向史解析前的结带果不迈等于凯[u奔rl静]w迷ww越.b丛ai明du窄.c谋om俊[/谣ur间l]艳（解拜析的片结果车确实烫不是帜百度胃的域球名）探，触IS且A蚂就认锦为访诵问请典求的每目标铜网络升和防袭火墙屈策略覆的目偷标网厉络不恭匹配扰。这透样宴IS巷A恢就会曲停止蝇匹配进第一叉条拒诵绝访因问百饥度的鬼防火银墙策群略，椒转而樱匹配挺第二幕条允珍许内蜘网任扣意访师问的姐防火语墙策粮略，锋匹配绣结果崇是完榆全成曾功，铜因此辱IS穿A淋执行绝第二同条防姐火墙托策略祝规定抬的动土作，晌允许云了对赞20滩2.年10姿8.第22泼.5泛的访脾问。谜如果夹客户杰机不沿是用赵HT劲TP设协议挠访问逐目标异网络驳，那胡么匹及配的湾过程堪又稍留微有冈些不亿同。揭例如哀客户炭机用扁FT饮P分协议根访问净[u斑rl匹]w蓝ww态.b劲ai技du派.c脑om年[/薯ur效l]刑，那右么客镇户机询在发督送访劫问请孔求时挡不会狠把唇[u粱rl权]w虫ww耽.b絮ai采du惑.c富om缝[/永ur衡l]逆作为弯目标希网络秧，而纸是先奥对乱[u宿rl颜]w蚊ww族.b意ai葡du称.c摊om年[/际ur拉l]荡进行肤域名艺解析发，然摔后把屯解析部出来伞的血IP绞作为德目标皇网络极发送腰给碎IS衫A痒。膀IS奴A盘对访导问请理求进挑行匹鸦配时爹，如律果被辣匹配裁的防表火墙淹策略泥用域顷名描泛述目布标网跑络，赞IS府A佣就会垫对访彼问请析求发盆来的侮IP袭进行抗反向殊解析讨，看屑解析课出的用域名易能否谷和防俘火墙唇策略放的目岗标网岩络相建匹配依。固根据波这个凝结论绣，我请们用住IE灯访问用[u丧rl绝]w派ww急.b白ai收du秧.c奉om较[/敲ur锅l]躲会被寸拒绝槐，因欧为刚惯才分攀析过油了，陶此时浊客户爸机将性域名岸[u狡rl璃]w肾ww旁.b镰ai烟du闪.c组om盆[/记ur桌l]额作为飞访问询请求付中的堪目标察网络瓦发送融给筐IS称A暖，茂IS猜A工认为炉访问脂请求朝和拒用绝访揭问百评度的萄防火纱墙策获略完瞒全匹哭配，摊因此邪客户粉机被沙拒绝泪访问祖。但描如果投客户毫机在感命令惧行下舍输入揉te追ln括et蛮[平ur衔l]嫩ww牵w.贸ba扶id植u.疲co精m[勉/u邀rl兴]取80取，如渡下图超所示蜓，直榆接连妥接百贫度的蓄80乏端口洽，贺IS或A谢会如漏何处棉理呢爪？

寇如下出图所溪示，目IS候A拔对访驰问请巾求放只行了刊，显宅然这慎次的肺访问域请求椒没有庙和拒舞绝访农问百成度的务策略沃匹配极上，举原因朵是什别么呢远？

东客户叛机与te脏ln晌et叮百度碑80逆端口街时，丘我在惩IS遇A美上启填用了捞实时扰日志秃，日罚志记叶录的芳结果低如下汇图所姿示。虽从日抱志上酷我们躲很清嗽楚地娘看到控，客慰户机捧先对纲[u斤rl省]w满ww洽.b稀ai跃du稀.c赏om筑[/煎ur衬l]御进行膏了婚DN超S抛解析唉，解达析结关果为箱20娇2.身10祝8.屈22恨.5赴，然纱后客酱户机害把事20笛2.食10唐8.猎22闷.5倦作为厦访问牌请求饱的目谈标网仇络发椒送给送IS涛A慧，乡IS搭A芹对植20真2.已10炒8.胃22拐.5长进行坡反向他解析培，解些析出级的域质名并塌不是恐[u丧rl误]w帖ww富.b爽ai瞧du昼.c喂om俯[/恨ur宴l]忘，因较此础IS疼A司认为腾访问粉请求控和第深一条丽防火描墙策位略并雾不匹骂配。始然后肠IS杂A栗将访型问请膏求和茂第二抱条策往略进母行