正确理解防火墙策略的执行过程74893.docx

《正确理解防火墙策略的执行过程74893.docx》由会员分享，可在线阅读，更多相关《正确理解防火墙策略的执行过程74893.docx（18页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、正确理解防火墙策略的执行过程很多初次接触ISA的管理员，经常会发现自己的管理意图没有得到贯彻。自己明明禁止用户使用QQ聊天，可你看这个老兄正在和多个MM聊得热火朝天；早就禁止在上班时间访问游戏网站，可这个家伙不正在和别人下棋吗？最郁闷的是就连简单的禁止访问百度搜索引擎都做不到，照样有很多人用百度搜来搜去不少深感智力受到侮辱的网管愤怒地发出了“ISA就是不灵”的吼声。ISA真是不灵吗？不是的，其实发生这些的主要原因是ISA管理员并没有真正理解防火墙策略的执行过程。今天我们就来好好地分析一下ISA防火墙策略的执行过程，避免在以后的工作中犯类似的错误。首先声明，我们今天讨论的是ISA2006标准版的

2、策略执行过程，企业版比标准版要复杂一些，以后我们再讨论。我们可以把ISA当作是信息高速公路上的一个检查站，当有数据包要通过ISA时，ISA就会利用策略对数据包进行检查，检查通过就放行，否则就拒绝。ISA检查数据包的顺序是：一检查是否否符合网网络规则则二检查是否否符合系系统策略略三检查是否否符合防防火墙策策略一网络规则则一个数据包包通过IISA时时，ISSA首先先要检查查的就是是网络规规则。网网络规则则是ISSA中非非常重要要而又很很容易被被忽视的的一个因因素。IISA检检查数据据包时首首先要考考虑的就就是这个个数据包包是从哪哪个网络络到哪个个网络，这这两个网网络间的的网络规规则是什什么。也也就

3、是说说ISAA是基于于网络进进行控制制，而不不是很多多朋友认认为的基基于主机机进行控控制。网网络规则则只有两两种，路路由或NNAT。如如果A网络到到B网络的的网络规规则为路路由，那那么数据据包从AA网络到到B网络或或者从BB网络到到A网络都都有可能能；如果果A网络到到B网络的的网络规规则为NNAT，那那么数据据包只有有可能从从A到B，而不不可能从从B到A。我们们可以把把两个网网络比喻喻为两个个城市，网网络规则则就象是是城市之之间的高高速公路路，如果果两个网网络之间间的网络络规则为为路由，那那就象是是两个城城市之间间有一条条双向高高速公路路；如果果网络规规则为NNAT，则则就相当当于两个个城市之

4、之间有一一条单行行高速公公路。明白了网络络规则的的作用，有有些问题题就很好好解释了了。有些些ISAA管理员员问过这这样一个个问题：“我在ISSA的防防火墙策策略中已已经允许许外网访访问内网网，为什什么外网网机器还还是访问问不进来来？”现在来来看这个个问题就就很简单单了，因因为ISSA认为为内网和和外网之之间的网网络规则则是NAAT，如如下图所所示，NNAT规规则决定定了只有有可能从从内网到到外网而而不可能能从外网网到内网网，因此此当外网网访问内内网时，ISA只需检查网络规则就。因此如果你确实需要外网访问内网，你就应该先把内网和外网之间的网络规则改为路由。还有一个网网络规则则的例子子，有一一个管

5、理理员用IISA把把DMZZ区的一一个FTTP服务务器发布布到了外外网和内内网，结结果外网网用户访访问正常常，内网网用户却却无法访访问。为为什么，因因为DMMZ和外外网是NNAT关关系，而而DMZZ和内网网是路由由关系。由由于从DDMZ到到外网是是NATT关系，外外网用户户无法通通过访问问规则直直接访问问，所以以通过发发布规则则访问是是合理的的；而内内网和DDMZ是是路由关关系，因因此内网网用户就就应该通通过访问问规则而而不是路路由规则则来访问问。综上所述，网网络规则则是ISSA进行行访问控控制时所所要考虑虑的第一一要务，只只有从源源网络到到目标网网络被网网络规则则许可了了，ISSA才会会继续

6、检检查系统统策略和和防火墙墙策略；如果访访问规则则不许可可，ISSA会直直接拒绝绝访问，根根本不会会再向下下检查系系统策略略和防火火墙策略略。大家家写访问问规则时时一定要要注意这这点。二系统策略略如果一个数数据包通通过了网网络规则则的检查查，ISSA接下下来就要要看看它它是否符符合系统统策略了了。ISSA20006标标准版中中预设了了30条系系统策略略，系统统策略应应用于IISA本本地主机机，控制制着从其其他网络络到本地地主机或或者从本本地主机机到其他他网络的的通讯，系系统策略略中启用用了一些些诸如远远程管理理，日志志，网络络诊断等等功能。一一般情况况下，我我们对系系统策略略只能允允许或禁禁止

7、，或或对少数数策略的的某些属属性作一一些修改改。以前曾经有有朋友问问我，为为什么IISA安安装后防防火墙策策略中明明明禁止止了所有有通讯，但但ISAA主机还还是可以以pinng到其其他计算算机，是是否ISSA本机机有某些些特权呢呢？不是是的，IISA能能对其他他网络进进行有限限访问完完全是由由系统策策略决定定的，只只是由于于系统策策略没有有显示出出来，因因此安装装完ISSA后我我们并没没有注意意到它。我们来看看看系统策策略到底底有哪些些内容，打打开ISSA服务务器管理理，右键键点击防防火墙策策略，如如下图所所示，在在查看中中选择“显示系系统策略略规则”。如下图所示示，我们们看到了了30条系系统

8、策略略的内容容。编辑系统策策略也可可以用系系统策略略编辑器器，系统统策略编编辑器为为管理员员提供了了更为友友好的管管理界面面，如下下图所示示，右键键点击“防火墙墙策略”，选择择“编辑系系统策略略”。如下图所示示，我们们可以在在系统策策略编辑辑器中编编辑系统统策略。系统策略的的优先级级比防火火墙策略略高，因因此如果果任务可可以用系系统策略略完成，就就不要用用防火墙墙策略。例例如有时时候我们们为了测测试需要要，允许许从内网网pinng IISA服服务器，这这种需求求完全可可以用系系统策略略完成，如如下图所所示，我我们只要要把内部部网络添添加到允允许piing本本地主机机的集合合中，就就可以完完成任

9、务务了。三防火墙策策略防火墙策略略用来控控制源网网络和目目标网络络的通讯讯，是IISA管管理员控控制网络络访问的的常规武武器，也也是本文文讨论的的重点所所在。防防火墙策策略的优优先级就就是按照照规则排排列的顺顺序，而而不是按按照拒绝绝优先原原则。由由于系统统策略优优先级也也是按照照序号排排列，和和防火墙墙策略优优先级完完全一样样，我们们甚至可可以把防防火墙策策略看成成是从331开始始编号的的系统策策略。数据包通过过网络规规则的检检查后，就就要面临临系统策策略和防防火墙策策略的考考验了。ISA将从第一条策略开始检查，检查数据包的访问请求是否匹配策略，如果匹配，就按照策略的规定执行，结果无非是禁止

10、或允许。如果不匹配，ISA就将按顺序检查下一条策略，从第一条系统策略一直检查到最后一条防火墙策略。那有人要问了，如果把所有策略都检查完了还不匹配怎么办？呵呵，这是不可能的，ISA自带的最后一条防火墙策略内容是禁止所有网络间的一切通讯，如下图所示，这条防火墙策略可以与所有的网络访问相匹配，因此ISA实际上使用了隐式拒绝，也就是说如果某个访问请求如果没有被策略显式允许，那肯定会被最后一条防火墙策略所拒绝。看了上面的的介绍，我我们要注注意两点点，一是是策略顺顺序，二二是策略略匹配。A 策略顺顺序防火墙策略略的排列列顺序决决定了优优先级，排排在前面面的策略略优先执执行，根根据这个个原则，我我们要好好好

11、设计计一下防防火墙策策略的顺顺序。例例如，我我们写了了两条防防火墙策策略，一一条是允允许内网网用户任任意访问问，另外外一条是是拒绝内内网用户户访问联联众游戏戏网站。如如果排列列顺序如如下图所所示，允允许策略略排在拒拒绝策略略之前，那那就是个个错误的的决定。拒拒绝访问问联众的的策略永永远不会会被执行行，因为为当用户户访问联联众时，访访问请求求匹配第第一条防防火墙策策略，用用户就被被防火墙墙放行了了，第二二条策略略根本没没有执行行的机会会。正确确的做法法是将拒拒绝策略略放到允允许策略略之前！B 策略匹匹配策略匹配是是ISAA管理员员关注的的核心问问题。前前面我们们一直在在提如果果网络访访问和防防火

12、墙策策略匹配配，则按按防火墙墙策略执执行允许许或禁止止的操作作。那么么，问题题是，怎怎么才算算和防火火墙策略略匹配呢呢？只有把这个个问题搞搞清楚了了，才能能写出符符合你设设计初衷衷的策略略。当ISA检检测到访访问请求求时，IISA会会检查访访问请求求能否匹匹配防火火墙策略略中的策策略元素素，策略略元素的的检查顺顺序为协协议，从从（源网网络），计计划时间间，到（目目标网络络），用用户，内内容类型型。如果果和这些些元素都都能匹配配，ISSA就认认为访问问请求匹匹配防火火墙策略略。从被检查的的策略元元素来看看，到（目目标网络络）元素素最容易易出问题题。目标网络元元素的问问题容易易出在哪哪儿呢？容易出

13、出现在DDNS上上，确切切地说是是出现在在DNSS的反向向解析上上！这个个结论估估计是很很多管理理员始料料未及的的，还是是举个例例子加以以说明吧吧，假设设我们要要禁止内内网访问问百度，我我见过很很多管理理员的处处理方法法都是这这样的，首首先创建建一个域域名集，将将htttp:/wwww.bbaiddu.ccom/包含进进去，如如下图所所示。然后就写出出一条拒拒绝内网网访问百百度的访访问规则则，如下下图所示示我们在一台台内网计计算机DDenvver上上测试一一下，DDenvver使使用Weeb代理理访问百百度，如如下图所所示，错错误信息息表明IISA拒拒绝了DDenvver访访问百度度的请求求。

14、这说说明访问问请求和和拒绝百百度访问问的防火火墙策略略匹配成成功，哈哈哈，看看样子大大功告成成了？且且慢，再再向下看看。我们在Deenveer上换换用IPP访问，在在IE中输输入2002.1108.22.5，如如下图所所示，熟熟悉的百百度界面面已经出出来了，哈哈哈，貌貌似严谨谨的访问问规则竟竟如此不不堪一击击！这说说明这次次的访问问请求没没有和拒拒绝百度度访问的的防火墙墙策略匹匹配成功功，而是是和第二二条允许许内网用用户任意意访问的的防火墙墙策略匹匹配成功功了。看到这儿，有有些朋友友可能得得出结论论了，哦哦，原来来用域名名禁止访访问某个个网站是是不成立立的。错错！如果果2022.1008.22

15、2.55的反向向解析结结果为hhttpp:/wwww.baaiduu.coom/，那那么拒绝绝百度的的防火墙墙策略就就是成立立的！还是来认真真分析一一下原理理吧，当当客户机机用HTTTP协协议访问问目标网网络时，ISA判断目标网络的根据是HTTP主机头，主机头的内容显然源自我们在浏览器中的输入。当我们在浏览器中输入当我们在浏浏览器中中输入2202.1088.222.5时时，ISSA是这这么检查查的。首首先还是是判断协协议，从从（源网网络），计计划时间间三个元元素匹配配策略，然然后检查查到（目目标网络络）元素素，ISSA判断断访问请请求的目目标是2202.1088.222.5，而而防火墙墙策略的

16、的目标网网络是包包含htttp:/m/的域域名集，这这时ISSA会对对2022.1008.222.55进行DNNS反向向解析，如如果解析析的结果果等于hhttpp:/wwww.baaiduu.coom/。，ISSA就认认为访问问请求的的目标网网络和策策略的目目标网络络也是匹匹配的。如如果反向向解析的的结果不不等于hhttpp:/wwww.baaiduu.coom/（解解析的结结果确实实不是百百度的域域名），ISA就认为访问请求的目标网络和防火墙策略的目标网络不匹配。这样ISA就会停止匹配第一条拒绝访问百度的防火墙策略，转而匹配第二条允许内网任意访问的防火墙策略，匹配结果是完全成功，因此ISA执

17、行第二条防火墙策略规定的动作，允许了对202.108.22.5的访问。如果客户机机不是用用HTTTP协议议访问目目标网络络，那么么匹配的的过程又又稍微有有些不同同。例如如客户机机用FTTP协议议访问hhttpp:/wwww.baaiduu.coom/，那那么客户户机在发发送访问问请求时时不会把把htttp:/wwww.bbaiddu.ccom/作为目目标网络络，而是是先对hhttpp:/wwww.baaiduu.coom/进进行域名名解析，然然后把解解析出来来的IPP作为目目标网络络发送给给ISAA。ISAA对访问问请求进进行匹配配时，如如果被匹匹配的防防火墙策策略用域域名描述述目标网网络，I

18、ISA就就会对访访问请求求发来的的IP进行行反向解解析，看看解析出出的域名名能否和和防火墙墙策略的的目标网网络相匹匹配。根根据这个个结论，我我们用IIE访问问htttp:/wwww.bbaiddu.ccom/会被拒拒绝，因因为刚才才分析过过了，此此时客户户机将域域名htttp:/m/作为为访问请请求中的的目标网网络发送送给ISSA，ISAA认为访访问请求求和拒绝绝访问百百度的防防火墙策策略完全全匹配，因因此客户户机被拒拒绝访问问。但如如果客户户机在命命令行下下输入ttelnnet htttp:/wwww.bbaiddu.ccom/ 800，如下下图所示示，直接接连接百百度的880端口口，ISS

19、A会如如何处理理呢？如下图所示示，ISSA对访访问请求求放行了了，显然然这次的的访问请请求没有有和拒绝绝访问百百度的策策略匹配配上，原原因是什什么呢？客户机teelneet百度度80端口口时，我我在ISSA上启启用了实实时日志志，日志志记录的的结果如如下图所所示。从从日志上上我们很很清楚地地看到，客客户机先先对htttp:/m/进行行了DNNS解析析，解析析结果为为2022.1008.222.55，然后后客户机机把2002.1108.22.5作为为访问请请求的目目标网络络发送给给ISAA，ISAA对2022.1008.222.55进行反反向解析析，解析析出的域域名并不不是htttp:/m/，因

20、因此ISSA认为为访问请请求和第第一条防防火墙策策略并不不匹配。然然后ISSA将访访问请求求和第二二条策略略进行匹匹配，匹匹配成功功后正从从我们在在日志中中看到的的那样，访访问请求求被第二二条允许许内网用用户任意意访问的的策略放放行了。我们可以总总结一下下，客户户机使用用HTTTP协议议访问时时，目标标网络取取决于主主机头，而而访问者者输入的的主机头头既可能能是域名名也有可可能是IIP（一一般以域域名居多多）；。客客户机使使用其他他协议访访问时，目目标网络络一定是是以IPP进行描描述！现在我们考考虑一下下应该如如果用IISA禁禁止用户户访问某某个目标标网络，那那这个目目标网络络应该如如何描述述，显然然只用域域名描述述是不严严谨的，除除非你确确信DNNS反向向解析的的结果对对你有利利（大部部分情况况下你会会失望的的）。如如果保险险一些，我我们应该该用域名名IPP来描述述目标网网络。以以刚才的的限制百百度为例例，用nnsloookkkup查查出htttp:/m/的域域名解析析结果为为2022.1008.222.443和2022.1008.222.55。创建建一个计计算机集集将这两两个地址址包含进进去，如如下图所所示。然后就可以以在拒绝绝访问百百度的策策略中加加入刚创创建的计计算机集集，如下下图所示示，这样样做效果果如何大大家可以以自己试试试看，肯肯定比只只用域名名要好得得多。