大家只知道防火墙可以新建一个策略规则,殊不知防火墙中有好多系统策略,这些策略都是系统默认自带的,我们看到防火墙的最后一条策略是阻挡来自所有网络的所有通讯

1

这些默认的系统规则被隐藏了通过右击防火墙策略--查看中看到有显示系统策略

2

点击后可以发现策略足足有30条之多

3

利用这些策略,在尽量不创建新的策略的基础之上修改一个系统策略也符合十六条规则,因为规则创建多了的话不利于防火墙的管理和维护,这也就是我们为什么安装上ISA之后能从ISA Server上ping到外网计算机,而外网计算机确ping不通外网的原因,因为有一条系统规则应用到了ISA上

4

在此我们要注意一点,ISA防火墙标准版系统策略有30条,ISA企业版系统策略有34条,如果要修改系统策略可以右击防火墙策略修改,也可以双击策略进行修改。

下面我们来介绍防火墙策略里的访问规则和发布规则,

当一个数据包经过ISA时,ISA会检查每一个通过对数据包,对符合要求的数据包就应用这条策略(允许还是拒绝),否则丢弃。ISA检查数据包的顺序是,网络规则-系统策略-防火墙策略,也就是说ISA会先检查它的网络规则,网络规则通过后再去检查系统策略,系统策略通过后最后检查防火墙策略,当这三个步骤有任何一个不符合将会不去执行这既是防火墙的作用,只允许管理员指定的流量通过,上面我们讲到有三个步骤,下面我们从第一个步骤开始介绍。

网络规则: ISA检查数据包时会首先检查网络规则,也就是数据包的源网络和目的网络,也就是说ISA是基于网络进行控制,网络只有两种,路由和NAT。NAT形象的描述一下就是一个漏斗,也就是说这个网络只能单方向通信而路由是双方向的通讯。访问规则就是正向NAT,发布规则就是反向NAT

如果数据包的检查符合网络规则那么就将继续系统策略的检查,如果检查的结果不符合网络规则那么就将拒绝访问,也不进行系统策略和防火墙策略的检查

系统策略 上面我们也已经介绍了系统策略的一些规则知识系统策略可以被编辑

5

点击编辑系统策略可以看到

6

防火墙策略 防火墙策略用来控制目标网络和源网络之间的通讯防火墙的策略优先级是按照策略排列的顺序执行的,如果数据包通过网络规则和系统策略的检查后,就要经过最后一道关口了ISA将从第一条策略开始检查直至最后一条策略,如果符合策略就按规定执行,如果不匹配就检查下一条策略一直到最后一条,如果检查到最后一条还不满足策略条件那么就执行最后一条拒绝策略