防火墙策略概述
源主机和目标主机必须在于不同的网络
I
SA是严格按照顺序评估放火墙策略
系统策略优先于防火墙策略
访问规则是按照出站方向的主要连接端口来进行处理
匹配标准(元素)
协议--出站方向
从--源
计划时间--
到--目的网络
用户--
内容类型--图片
到目的网络URL集
当ISA处理到(目的网络)包含有url集的规则时,规则到(目的网络)中的url集只对web协议(http、https、和封装的ftp)有效,但是,对于https传输url集只有在没有指定路径时才进行匹配,如果客户使用其他协议进行访问,那么isa 会忽略规则中的url元素集。
例如:
如何新建一条防火墙策略来拒绝到www.msup.com.cn www.tom.com
然后允许到其他站点的访问
可以使用域名集,计算机集方式进行正向/方向DNS解析.做一条策略进行拒绝,然后再设置一条策略允许其他网站允许.
除了域名集,还要做计算机集,是因为反向dns 的解析。
客户端如何进行认证
防火墙客户: 在会话建立后,ISA要求客户进行身份验证,所以当防火墙客户后来再进行查询时,ISA不会再询问客户端的身份验证信息。
Web代理客户:在允许Web代理客户访问后,你可以配置web代理客户的身份验证,如果你在web 代理侦听器的属性中选择了要求所有的用户验证,ISA将总是要求用户提供验证信息。
