1、部署防火墙策略的十六条守则内容概述:在部署防火墙策略时,你需要遵守一些规则。以下是我总结出来的十六条守则,希望你能够认真的看一下,并且牢牢的记住,这样,你才能最有效的、最高效的、最安全的、最稳定的部署你的防火墙策略。如果你有些不能理解,请先参见站内其他技术文章,当你对 ISA 有了更深的认识时,你就能够彻底的理解了。 1、计算机没有大脑。所以,当 ISA 的行为和你的要求不一致时,请检查你的配置而不要埋怨 ISA。 2、只允许你想要允许的客户、源地址、目的地和协议。仔细的检查你的每一条规则,看规则的元素是否和你所需要的一致,尽量避免使用拒绝规则。 3、针对相同用户或含有相同用户子集的访问规则,
2、拒绝的规则一定要放在允许的规则前面。4、当需要使用拒绝时,显式拒绝是首要考虑的方式。 5、在不影响防火墙策略执行效果的情况下,请将匹配度更高的规则放在前面。 6、在不影响防火墙策略执行效果的情况下,请将针对所有用户的规则放在前面。 7、尽量简化你的规则,执行一条规则的效率永远比执行两条规则的效率高。 8、永远不要在商业网络中使用 Allow 4 ALL 规则(Allow all users use all protocols from all networks to all networks),这样只是让你的 ISA 形同虚设。 9、如果可以通过配置系统策略来实现,就没有必要再建立自定义规则。
3、 10、ISA 的每条访问规则都是独立的,执行每条访问规则时不会受到其他访问规则的影响。 11、永远也不要允许任何网络访问 ISA 本机的所有协议。内部网络也是不可信的。 12、SNat 客户不能提交身份验证信息。所以,当你使用了身份验证时,请配置客户为 Web 代理客户或防火墙客户。 13、无论作为访问规则中的目的还是源,最好使用 IP 地址。 14、如果你一定要在访问规则中使用域名集或 URL 集,最好将客户配置为 Web 代理客户。 15、请不要忘了,防火墙策略的最后还有一条 DENY 4 ALL。 16、最后,请记住,防火墙策略的测试是必需的。深入剖析防火墙策略的执行过程:ISA200
4、6 系列正确理解防火墙策略的执行过程很多初次接触 ISA 的管理员,经常会发现自己的管理意图没有得到贯彻。自己明明禁止用户使用 QQ 聊天,可你看这个老兄正在和多个 MM 聊得热火朝天;早就禁止在上班时间访问游戏网站,可这个家伙不正在和别人下棋吗?最郁闷的是就连简单的禁止访问百度搜索引擎都做不到,照样有很多人用百度搜来搜去不少深感智力受到侮辱的网管愤怒地发出了“ISA 就是不灵 ”的吼声。ISA 真是不灵吗?不是的,其实发生这些的主要原因是 ISA 管理员并没有真正理解防火墙策略的执行过程。今天我们就来好好地分析一下 ISA 防火墙策略的执行过程,避免在以后的工作中犯类似的错误。首先声明,我们
5、今天讨论的是 ISA2006 标准版的策略执行过程,企业版比标准版要复杂一些,以后我们再讨论。我们可以把 ISA 当作是信息高速公路上的一个检查站,当有数据包要通过 ISA 时,ISA 就会利用策略对数据包进行检查,检查通过就放行,否则就拒绝。ISA检查数据包的顺序是:一检查是否符合网络规则二检查是否符合系统策略三检查是否符合防火墙策略一网络规则一个数据包通过 ISA 时,ISA 首先要检查的就是网络规则。网络规则是 ISA 中非常重要而又很容易被忽视的一个因素。ISA 检查数据包时首先要考虑的就是这个数据包是从哪个网络到哪个网络,这两个网络间的网络规则是什么。也就是说 ISA 是基于网络进行
6、控制,而不是很多朋友认为的基于主机进行控制。网络规则只有两种,路由或 NAT。如果 A 网络到 B网络的网络规则为路由,那么数据包从 A 网络到 B 网络或者从 B 网络到 A 网络都有可能;如果 A 网络到 B 网络的网络规则为 NAT,那么数据包只有可能从 A 到 B,而不可能从 B 到A。我们可以把两个网络比喻为两个城市,网络规则就象是城市之间的高速公路,如果两个网络之间的网络规则为路由,那就象是两个城市之间有一条双向高速公路;如果网络规则为 NAT,则就相当于两个城市之间有一条单行高速公路。明白了网络规则的作用,有些问题就很好解释了。有些 ISA 管理员问过这样一个问题:“ 我在 IS
7、A 的防火墙策略中已经允许外网访问内网,为什么外网机器还是访问不进来?” 现在来看这个问题就很简单了,因为 ISA 认为内网和外网之间的网络规则是 NAT,如下图所示,NAT 规则决定了只有可能从内网到外网而不可能从外网到内网,因此当外网访问内网时,ISA 只需检查网络规则就。因此如果你确实需要外网访问内网,你就应该先把内网和外网之间的网络规则改为路由。还有一个网络规则的例子,有一个管理员用 ISA 把 DMZ 区的一个 FTP 服务器发布到了外网和内网,结果外网用户访问正常,内网用户却无法访问。为什么,因为 DMZ 和外网是 NAT关系,而 DMZ 和内网是路由关系。由于从 DMZ 到外网是
8、 NAT 关系,外网用户无法通过访问规则直接访问,所以通过发布规则访问是合理的;而内网和 DMZ是路由关系,因此内网用户就应该通过访问规则而不是路由规则来访问。综上所述,网络规则是 ISA 进行访问控制时所要考虑的第一要务,只有从源网络到目标网络被网络规则许可了,ISA 才会继续检查系统策略和防火墙策略;如果访问规则不许可,ISA 会直接拒绝访问,根本不会再向下检查系统策略和防火墙策略。大家写访问规则时一定要注意这点。二系统策略如果一个数据包通过了网络规则的检查,ISA 接下来就要看看它是否符合系统策略了。ISA2006 标准版中预设了 30 条系统策略,系统策略应用于 ISA 本地主机,控制
9、着从其他网络到本地主机或者从本地主机到其他网络的通讯,系统策略中启用了一些诸如远程管理,日志,网络诊断等功能。一般情况下,我们对系统策略只能允许或禁止,或对少数策略的某些属性作一些修改。以前曾经有朋友问我,为什么 ISA 安装后防火墙策略中明明禁止了所有通讯,但 ISA 主机还是可以 ping 到其他计算机,是否 ISA 本机有某些特权呢?不是的,ISA 能对其他网络进行有限访问完全是由系统策略决定的,只是由于系统策略没有显示出来,因此安装完 ISA后我们并没有注意到它。我们来看看系统策略到底有哪些内容,打开 ISA 服务器管理,右键点击防火墙策略,如下图所示,在查看中选择“显示系统策略规则”
10、。如下图所示,我们看到了 30 条系统策略的内容。系统策略也可以用系统策略器,系统策略器为管理员提供了更为友好的管理界面,如下图所示,右键点击“防火墙策略”,选择“ 系统策略”。如下图所示,我们可以在系统策略器中系统策略。系统策略的优先级比防火墙策略高,因此如果任务可以用系统策略完成,就不要用防火墙策略。例如有时候我们为了测试需要,允许从内网 ping ISA 服务器,这种需求完全可以用系统策略完成,如下图所示,我们只要把内部网络添加到允许 ping 本地主机的集合中,就可以完成任务了。三防火墙策略防火墙策略用来控制源网络和目标网络的通讯,是 ISA 管理员控制网络访问的常规武器,也是本文讨论
11、的重点所在。防火墙策略的优先级就是按照规则排列的顺序,而不是按照拒绝优先原则。由于系统策略优先级也是按照序号排列,和防火墙策略优先级完全一样,我们甚至可以把防火墙策略看成是从 31 开始编号的系统策略。数据包通过网络规则的检查后,就要面临系统策略和防火墙策略的考验了。ISA 将从第一条策略开始检查,检查数据包的访问请求是否匹配策略,如果匹配,就按照策略的规定执行,结果无非是禁止或允许。如果不匹配,ISA 就将按顺序检查下一条策略,从第一条系统策略一直检查到最后一条防火墙策略。那有人要问了,如果把所有策略都检查完了还不匹配怎么办?呵呵,这是不可能的,ISA 自带的最后一条防火墙策略内容是禁止所有网络间的一切通讯,如下图所示,这条防火墙策略可以与所有的网络访问相匹配,因此 ISA 实际上使用了隐式拒绝,也就是说如果某个访问请求如果没有被策略显式允许,那肯定会被最后一条防火墙策略所拒绝。看了上面的介绍,我们要注意两点,一是策略顺序,二是策略匹配。
