ISA规则列表集合-->见下图:
                                                        20033443
防火墙策略概述: 源主机和目标主机必须位于不同的网络  ISA Server是严格按照顺序评估防火墙策略  系统策略优先于防火墙策略进行处理  访问规则是按照出站方向的主要连接端口来进行处理
ISA客户端类型的不同点-->见下图:
                                  20033444
ISA客户发送请求到ISA Server的方式将决定ISA是否必须执行正向/反向DNS解析以将客户的请求匹配到某个访问规则,因此,拥有一个稳定的DNS服务显得极为重要
匹配标准: 协议: 访问规则中为出站方向定义的主要连接端口范围,可以为一个或者多个协议。
            从(源网络): 发起连接的一个或者更多的网络对象,可以包含网络、网络集、计算机、计算机集、地址范围或者子网。
           计划时间: 定义的任何计划时间;。 
          到(目的网络): 连接到的一个或者更多的目的网络,可以包含网络、网络集、计算机、计算机集、地址范围、子网、域名集或者URL集;。
         用户: 一个或者更多的用户对象,可以包含所有用户、所有经过认证的用户、系统和网络服务和其他自定义的用户集。
        内容类型: 定义的任何内容类型。
到目的网络(域名集和计算机集)-->见下图:
                      20033445
思考: 如何创建一条防火墙策略来拒绝到 www.msup.com.cn www.tom.com 的访问,然后允许到其他站点的访问?
到目的网络(URL集): 当ISA处理到(目的网络)包含有URL集的规则时,规则到(目的网络)中的URL集只对Web协议(HTTP、HTTPS和封装的FTP)有效,但是,对于HTTPS传输,URL集只有在没有指定路径时才进行匹配。如果客户使用其他协议进行访问,那么ISA Server会忽略规则中的URL集元素。
到目的网络(URL集)-->见下图:
                          20033446
用户: 所有经过认证的用户: 表示为所有通过验证的用户,注意SNat客户端将不会进行认证,除非它们是VPN客户(VPN 客户用于登陆VPN所用的VPN用户可用于身份认证);
       所有用户: 表示为所有用户,不管是否通过了身份验证。
      系统和网络服务: 表示为ISA计算机上的本地系统和网络服务账户,被ISA Server用于部分系统策略。
用户: 客户端如何进行认证取决于客户端的类型:
防火墙客户: 在会话建立后,ISA Server要求客户进行身份验证,所以当防火墙客户后来再进行访问时,ISA不会再询问客户端的身份验证信息,因为会话已经被验证过了。记住在防火墙客户端软件和ISA Server进行连接时就已经验证了用户。
Web代理客户: 在允许Web代理客户访问后,你可以配置Web代理客户的身份验证。如果你在Web代理侦听器的属性中选择了要求所有用户进行认证,ISA Server将总是在检查防火墙策略之前要求用户提供身份验证信息;否则ISA Server只会在访问规则要求时才要求客户进行身份验证。
注意事项: 如果规则是应用到所有用户,那么ISA Server将不会要求用户进行身份验证  如果你配置访问规则要求客户进行身份验证,而客户由于某种原因不能提交身份验证信息,那么客户的请求将被拒绝(如sNat客户端)
用户-->见下图:
     20033447
内容类型: 内容类型通过配置MIME和文件扩展名来指定,它只能应用到HTTP和封装的FTP协议,对于其他的协议,包含HTTPS,ISA Server会总是忽略规则中的内容类型元素。见下图:
               20033448
结论: 当规则的内容类型不是所有类型时,对于非HTTP和封装的FTP的协议,这条规则将永远不会匹配执行,而不管这条规则是允许还是拒绝 
过滤标准: 只有在客户的连接请求与某个允许规则完全匹配的情况下才检查这些过滤标准。见下图:
                          20033449
小结-->见下图:
                               20033450
部署防火墙策略的十六条守则: 1.计算机没有大脑。所以,当ISA的行为和你的要求不一致时,请检查你的配置而不要埋怨ISA。
                                    2.只允许你想要允许的客户、源地址、目的地和协议。仔细的检查你的每一条规则,看规则的元素是否和你所需要的一致,尽量避免使用拒绝规则。
                                   3.针对相同用户或含有相同用户子集的访问规则,拒绝的规则一定要放在允许的规则前面。
                                   4.当需要使用拒绝时,显示拒绝是首要考虑的方式。
                                   5.在不影响防火墙策略执行效果的情况下,请将匹配度更高的规则放在前面。
                                   6.在不影响防火墙策略执行效果的情况下,请将针对所有用户的规则放在前面。
                                   7.尽量简化你的规则,执行一条规则的效率永远比执行两条规则的效率高。
                                   8.永远不要在商业网络中使用Allow 4 ALL规则(Allow all users use all protocols from all networks to all networks),这样只是让你的ISA形同虚设。
                                   9.如果可以通过配置系统策略来实现,就没有必要再建立自定义规则。
                                 10.ISA的每条访问规则都是独立的,执行每条访问规则时不会受到其他访问规则的影响。
                                 11.永远也不要允许任何网络访问ISA本机的所有协议。内部网络也是不可信的。
                                12.SNat客户不能提交身份验证信息。所以,当你使用了身份验证时,请配置客户为Web代理客户或防火墙客户。
                               13.无论作为访问规则中的目的还是源,最好使用IP地址。
                              14.如果你一定要在访问规则中使用域名集或URL集,最好将客户配置为Web代理客户。
                             15.请不要忘了,防火墙策略的最后还有一条DENY 4 ALL。
                            16.最后,请记住,防火墙策略的测试是必需的