很多初次接触ISA的管理员,经常会发现自己的管理意图没有得到贯彻。自己明明禁止用户使用QQ聊天,可你看这个老兄正在和多个MM聊得热火朝天;早就禁止在上班时间访问游戏网站,可这个家伙不正在和别人下棋吗?最郁闷的是就连简单的禁止访问百度搜索引擎都做不到,照样有很多人用百度搜来搜去不少深感智力受到侮辱的网管愤怒地发出了“ISA就是不灵”的吼声。ISA真是不灵吗?不是的,其实发生这些的主要原因是ISA管理员并没有真正理解防火墙策略的执行过程。今天我们就来好好地分析一下ISA防火墙策略的执行过程,避免在以后的工作中犯类似的错误。 首先声明,我们今天讨论的是ISA2006标准版的策略执行过程,企业版比标准版要复杂一些,以后我们再讨论。我们可以把ISA当作是信息高速公路上的一个检查站,当有数据包要通过ISA时,ISA就会利用策略对数据包进行检查,检查通过就放行,否则就拒绝。ISA检查数据包的顺序是:一 检查是否符合网络规则二 检查是否符合系统策略三 检查是否符合防火墙策略一 网络规则一个数据包通过ISA时,ISA首先要检查的就是网络规则。网络规则是
