关于isa的一些总结

这两天一直钻研isa，没法咱以前是学思科出身的，对于微软的东西咱是外行，没法子，这不最近qq聊天，一哥们是微软的MVP，这才在他的影响下，才钻研起微软的东西来，以后会陆续给大家带来这方面的文章，让来我博客的饭饭们，也算没有白来，好了废话少说开讲：

isa是微软出的一个软件防火墙，功能主要有三，限制 代理  和发布。其中限制自然是控制内部主机上网行为，代理是代理内部主机上网，发布是发布内部主机web等对外服务。总之一句话管理内部主机上网，对外提供发布服务

一般新手安装isa指定好策略，如规定上班时间不可以上qq，发现规制指定出来等于没有用，从机房出来，看见四台机子有两对聊天的。其实我们在指定策略之前需要了解isa的一些习性，所谓知己知彼百战不殆。    ISA Server能对企业进行安全的防护，依靠的是它的防火墙策略规则，其实基本上分三类规则：

1. 网络规则：主要是指网络与网络之间的关系，分为路由和NAT两种。
2. 访问规则：源网络上的客户端如何访问目标网络上的资源。一般比如企业内部用户通过ISA访问互联网。
3. 发布规则：让外部用户访问企业的Web或邮件等服务器。同时又不危及内部网络的安全性。

其中我们先说网络规则这是isa首先检查的，网络规则不符合其他的都是白搭，我们打开isa -网络-可以看见有内部 访问外部是nat，而本地主机之间则是路由，其中nat是单向的，而路由是双向的，举个 例子 有一个管理员用ISA把DMZ区的一个FTP服务器发布到了外网和内网，结果外网用户访问正常，内网用户却无法访问。为什么，因为DMZ和外网是NAT关系，而DMZ和内网是路由关系。由于从DMZ到外网是NAT关系，外网用户无法通过访问规则直接访问，所以通过发布规则访问是合理的；而内网和DMZ是路由关系，因此内网用户就应该通过访问规则而不是发布规则来访问。

搞清楚网络规则后，我们再看系统策略，一般系统策略都是默认的是关于本地主机的，一般我们不去改动

再看防火墙策略，这个我们要好好说说：防火墙策略分为发布策略和访问策略，其中发布是团结一致对外的，访问策略则是一心对内的。在我们刚健好isa时，系统是默认全部禁止访问的无论对内对外。匹配规则和路由的acl控制策略一样从上往下执行，如果第一条就拉出去毙了其他的再好也没有用，我们还可以调整策略顺序按照自己的要求。

然后我们再说下工具箱，isa提供的工具箱包括协议，用户 内容，计划，网络对象，举例如我们要限制qq登陆

1.我们限制客户web代理上网

2.关掉snat上网

3.新建的协议我们命名为禁止qq上网，我们知道qq上网端口 tcp 443 udp8000

拒绝访问外网

4.再封杀死点就是运用网络协议封杀qq的服务器，qq的服务器我们可以自己用nslookup查下，添加到网络协议中，然后我们新建策略加上我们预先做好的网络协议，拒绝访问

这样我们就可以不让用户访问了，一些其他的软件我们也可以按照这个思路进行，就所谓好几人练葵花宝典，书就这么一本书，招式就这么点招式，就看你怎么运用了，难怪人家说武功的最高境界是无招胜有招，这个道理在IT这行业行得通！

我们可以自己制定策略，前提是你要明白这些工具的用法，而不是单单死记硬背一些案例应用

ok  结束

本文转自q狼的诱惑 51CTO博客，原文链接：http://blog.51cto.com/liangrui/367895，如需转载请自行联系原作者