ISA规则列表集合-->见下图:
防火墙策略概述: 源主机和目标主机必须位于不同的网络  ISA Server是严格按照顺序评估防火墙策略  系统策略优先于防火墙策略进行处理  访问规则是按照出站方向的主要连接端口来进行处理
ISA客户端类型的不同点-->见下图:
ISA客户发送请求到ISA Server的方式将决定ISA是否必须执行正向/反向DNS解析以将客户的请求匹配到某个访问规则,因此,拥有一个稳定的DNS服务显得极为重要
匹配标准: 协议: 访问规则中为出站方向定义的主要连接端口范围,可以为一个或者多个协议。
            从(源网络): 发起连接的一个或者更多的网络对象,可以包含网络、网络集、计算机、计算机集、地址范围或者子网。
           计划时间: 定义的任何计划时间;。 
          到(目的网络): 连接到的一个或者更多的目的网络,可以包含网络、网络集、计算机、计算机集、地址范围、子网、域名集或者URL集;。
         用户: 一个或者更多的用户对象,可以包含所有用户、所有经过认证的用户、系统和网络服务和其他自定义的用户集。
        内容类型: 定义的任何内容类型。
到目的网络(域名集和计算机集)-->见下图:
思考: 如何创建一条防火墙策略来拒绝到www.msup.com.cn和www.tom.com的访问,然后允许到其他站点的访问?
到目的网络(URL集): 当ISA处理到(目的网络)包含有URL集的规则时,规则到(目的网络)中的URL集只对Web协议(HTTP、HTTPS和封装的FTP)有效,但是,对于HTTPS传输,URL集只有在没有指定路径时才进行匹配。如果客户使用其他协议进行访问,那么ISA Server会忽略规则中的URL集元素。
到目的网络(URL集)-->见下图:
用户: 所有经过认证的用户: 表示为所有通过验证的用户,注意SNat客户端将不会进行认证,除非它们是×××客户(××× 客户用于登陆×××所用的×××用户可用于身份认证);
       所有用户: 表示为所有用户,不管是否通过了身份验证。
      系统和网络服务: 表示为ISA计算机上的本地系统和网络服务账户,被ISA Server用于部分系统策略。
用户: 客户端如何进行认证取决于客户端的类型:
防火墙客户: 在会话建立后,ISA Server要求客户进行身份验证,所以当防火墙客户后来再进行访问时,ISA不会再询问客户端的身份验证信息,因为会话已经被验证过了。记住在防火墙客户端软件和ISA Server进行连接时就已经验证了用户。
Web代理客户: 在允许Web代理客户访问后,你可以配置Web代理客户的身份验证。如果你在Web代理侦听器的属性中选择了要求所有用户进行认证,ISA Server将总是在检查防火墙策略之前要求用户提供身份验证信息;否则ISA Server只会在访问规则要求时才要求客户进行身份验证。
注意事项: 如果规则是应用到所有用户,那么ISA Server将不会要求用户进行身份验证  如果你配置访问规则要求客户进行身份验证,而客户由于某种原因不能提交身份验证信息,那么客户的请求将被拒绝(如sNat客户端)
用户-->见下图:
内容类型: 内容类型通过配置MIME和文件扩展名来指定,它只能应用到HTTP和封装的FTP协议,对于其他的协议,包含HTTPS,ISA Server会总是忽略规则中的内容类型元素。见下图:
结论: 当规则的内容类型不是所有类型时,对于非HTTP和封装的FTP的协议,这条规则将永远不会匹配执行,而不管这条规则是允许还是拒绝 
过滤标准: 只有在客户的连接请求与某个允许规则完全匹配的情况下才检查这些过滤标准。见下图:
小结-->见下图:
部署防火墙策略的十六条守则: 1.计算机没有大脑。所以,当ISA的行为和你的要求不一致时,请检查你的配置而不要埋怨ISA。
                                    2.只允许你想要允许的客户、源地址、目的地和协议。仔细的检查你的每一条规则,看规则的元素是否和你所需要的一致,尽量避免使用拒绝规则。
                                   3.针对相同用户或含有相同用户子集的访问规则,拒绝的规则一定要放在允许的规则前面。
                                   4.当需要使用拒绝时,显示拒绝是首要考虑的方式。
                                   5.在不影响防火墙策略执行效果的情况下,请将匹配度更高的规则放在前面。
                                   6.在不影响防火墙策略执行效果的情况下,请将针对所有用户的规则放在前面。
                                   7.尽量简化你的规则,执行一条规则的效率永远比执行两条规则的效率高。
                                   8.永远不要在商业网络中使用Allow 4 ALL规则(Allow all users use all protocols from all networks to all networks),这样只是让你的ISA形同虚设。
    9.如果可以通过配置系统策略来实现,就没有必要再建立自定义规则。
                                 10.ISA的每条访问规则都是独立的,执行每条访问规则时不会受到其他访问规则的影响。
                                 11.永远也不要允许任何网络访问ISA本机的所有协议。内部网络也是不可信的。
                                12.SNat客户不能提交身份验证信息。所以,当你使用了身份验证时,请配置客户为Web代理客户或防火墙客户。
                               13.无论作为访问规则中的目的还是源,最好使用IP地址。
                              14.如果你一定要在访问规则中使用域名集或URL集,最好将客户配置为Web代理客户。
                             15.请不要忘了,防火墙策略的最后还有一条DENY 4 ALL。
                            16.最后,请记住,防火墙策略的测试是必需的

转载于:https://blog.51cto.com/yejunsheng/161322

深入理解及配置ISA Server 2006访问规则相关推荐

  1. 配置ISA Server 2006 ×××使用户轻松连接内网

    ISA Server所支持的×××功能:  远程访问×××  站点间×××      可支持的×××通讯协议: PPTP  L2TP  IPSec 可使用网络规则及访问规则来控制×××网络与其他网络间 ...

  2. ISA Server 2006 安全保障指南

    Alan Maddison 概览: 服务器安全保障最佳实践 安装安全配置向导 安全配置向导演练 分配管理角色 目录 保障服务器的安全 安装安全配置向导 运行 SCW 管理角色 当前,众多 IT 专家正 ...

  3. ISA Server 2006防火墙安装与管理指南(含企业版NLB与CARP的配置)

    较早之前,本人已通过一些方式,拿到了原版(繁体中文)的这本书.今天偶然遇到此.建议ISA的爱好者,可以看下.还是相当不错的书.     我想,这是译来的书,也就是繁体转换成简体的.我并没有看到样书.但 ...

  4. Windows域环境下部署ISA Server 2006防火墙(二)

    利用ISA防火墙实现安全快速上网 本次接上回,上次咱们在windows域环境中部署了ISA Server 2006,安全性确实提高了,但也有点"太高了",因为现在用户只能在局域网里 ...

  5. Windows域环境下部署ISA Server 2006防火墙(四)

    构建基于ISA Server 2006的远程接入×××服务器<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:off ...

  6. 使用ISA Server 2006的DMZ区保护内网的服务器群

    使用ISA Server 2006的DMZ区保护内网的服务器群 在大多数单位中,网络中的所有服务器通常接在核心交换机上,工作站通过接入层交换机接到核心交换机,服务器与工作站划分在不同的VLAN中,如图 ...

  7. 实用ISA Server 2006之一: 简介

    实用ISA Server 2006之一: 简介 参考了一些资料.有些朋友的文档和自己的使用过程,整理了实用ISA Server 2006系列,希望对想学想用ISA Server 2006 的朋友有些帮 ...

  8. 可以下载Microsoft ISA Server 2006 试用版了,网管需要关注

    下载试用版地址:http://www.microsoft.com/china/isaserver/2006/beta.mspx 2006 FAQ: http://www.microsoft.com/c ...

  9. ISA Server 2006排错最佳实践

    作为一个ISA防火墙管理员......     为了使用ISA防火墙,你应该掌握以下基础知识: TCP/IP网络和路由基础  Windows 网络基础服务(DNS.DHCP.WINS) 远程访问技术基 ...

最新文章

  1. jTable 滚动条
  2. bcb 如何在DLL中捕捉系统级异常
  3. STL 之随机访问迭代器
  4. MySQL 事务 :ACID、并发带来的问题、事务的隔离级别、事务的实现
  5. 由通知栏进入到应用的尝试
  6. 接口编译后生成什么文件_NDK编译生成Android可执行文件
  7. Qt widgets deeps--烧鸡
  8. 引燃抖音短视频源码开发项目的几点原因
  9. 在函数内对带副作用的运算符 rand 的使用无效。_如何成体系掌握Excel函数(一)...
  10. HTTP与HTTPS之间的联系与连接状态
  11. silvaco 学习笔记 2——自定义材料
  12. Cocos2d-x_CCSprite(精灵类)介绍
  13. Python的io模块详解
  14. 微信小程序使用全套指南
  15. Python的@装饰器是干什么用的?
  16. 【DBC专题】-7-在DBC中创建一个Signal Group信号组
  17. 虚拟机flink webui无法访问
  18. idea编译报错:Refer to the generated Javadoc files in ‘..targetapidocs‘ dir. 解决
  19. 软件产品成本估算方法
  20. 无人船与智慧船舶解决方案

热门文章

  1. 什么是“GB/T ”? 计算机术语你又知道多少? 想不想别人听不懂的语言搞定别人!...
  2. c#利用宏定义调试代码
  3. MFC获得当前应用程序目录的GetCurrentDirectory()和GetModuleFileName()函数
  4. 深入浅出根据函数调用过程谈栈回溯原理
  5. c++的构造函数初始化列表
  6. c++中默认32位int类型转换截取高位部分
  7. C,C++,C#note
  8. uniapp底部弹出框效果
  9. gitlab 构建tag_Gitlab详细操作
  10. 如何保证进程间同步工作_冬季建房如何保证混凝土浇筑效果好,做好养护工作...