版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
1、部署防火墻策略的十六條守則部署防火墻策略的十六條守則內容概述:在部署防火墻策略時,你需要遵守一些規(guī)則。以下是我總結出來的十六條守則,希望你能夠認真的看一下,并且牢牢的記住,這樣,你才能最有效的、最高效的、最安全的、最穩(wěn)定的部署你的防火墻策略。如果你有些不能理解,請先參見站內其他技術文章,當你對ISA有了更深的認識時,你就能夠徹底的理解了。1、計算機沒有大腦。所以,當ISA的行為和你的要求不一致時,請檢查你的配置而不要埋怨ISA。2、只允
2、許你想要允許的客戶、源地址、目的地和協(xié)議。仔細的檢查你的每一條規(guī)則,看規(guī)則的元素是否和你所需要的一致,盡量避免使用拒絕規(guī)則。3、針對相同用戶或含有相同用戶子集的訪問規(guī)則,拒絕的規(guī)則一定要放在允許的規(guī)則前面。4、當需要使用拒絕時,顯式拒絕是首要考慮的方式。5、在不影響防火墻策略執(zhí)行效果的情況下,請將匹配度更高的規(guī)則放在前面。6、在不影響防火墻策略執(zhí)行效果的情況下,請將針對所有用戶的規(guī)則放在前面。7、盡量簡化你的規(guī)則,執(zhí)行一條規(guī)則的效率永遠
3、比執(zhí)行兩條規(guī)則的效率高。8、永遠不要在商業(yè)網絡中使用Allow4ALL規(guī)則(Allowallusersuseallprotocolsfromallwkstoallwks),這樣只是讓你的ISA形同虛設。9、如果可以通過配置系統(tǒng)策略來實現(xiàn),就沒有必要再建立自定義規(guī)則。10、ISA的每條訪問規(guī)則都是獨立的,執(zhí)行每條訪問規(guī)則時不會受到其他訪問規(guī)則的影響。11、永遠也不要允許任何網絡訪問ISA本機的所有協(xié)議。內部網絡也是不可信的。12、SNat
4、客戶不能提交身份驗證信息。所以,當你使用了身份驗證時,請配置客戶為Web代理客戶或防火墻客戶。13、無論作為訪問規(guī)則中的目的還是源,最好使用IP地址。14、如果你一定要在訪問規(guī)則中使用域名集或URL集,最好將客戶配置為Web代理客戶。15、請不要忘了,防火墻策略的最后還有一條DENY4ALL。16、最后,請記住,防火墻策略的測試是必需的。深入剖析防火墻策略的執(zhí)行過程:深入剖析防火墻策略的執(zhí)行過程:ISA2006系列系列正確理解防火墻策略
5、的執(zhí)行過程正確理解防火墻策略的執(zhí)行過程很多初次接觸ISA的管理員,經常會發(fā)現(xiàn)自己的管理意圖沒有得到貫徹。自己明明禁止用戶使用QQ聊天,可你看這個老兄正在和多個MM聊得熱火朝天;早就禁止在上班時間訪問游戲網站,可這個家伙不正在和別人下棋嗎?最郁悶的是就連簡單的禁止訪問百度搜索引擎都做不到,照樣有很多人用百度搜來搜去……不少深感智力受到侮辱的網管憤怒地發(fā)出了“ISA就是不靈”的吼聲。ISA真是不靈嗎?不是的,其實發(fā)生這些的主要原因是ISA管
6、理還有一個網絡規(guī)則的例子,有一個管理員用ISA把DMZ區(qū)的一個FTP服務器發(fā)布到了外網和內網,結果外網用戶訪問正常,內網用戶卻無法訪問。為什么,因為DMZ和外網是NAT關系,而DMZ和內網是路由關系。由于從DMZ到外網是NAT關系,外網用戶無法通過訪問規(guī)則直接訪問,所以通過發(fā)布規(guī)則訪問是合理的;而內網和DMZ是路由關系,因此內網用戶就應該通過訪問規(guī)則而不是路由規(guī)則來訪問。綜上所述,網絡規(guī)則是ISA進行訪問控制時所要考慮的第一要務,只有從
7、源網絡到目標網絡被網絡規(guī)則許可了,ISA才會繼續(xù)檢查系統(tǒng)策略和防火墻策略;如果訪問規(guī)則不許可,ISA會直接拒絕訪問,根本不會再向下檢查系統(tǒng)策略和防火墻策略。大家寫訪問規(guī)則時一定要注意這點。二系統(tǒng)策略系統(tǒng)策略如果一個數(shù)據包通過了網絡規(guī)則的檢查,ISA接下來就要看看它是否符合系統(tǒng)策略了。ISA2006標準版中預設了30條系統(tǒng)策略,系統(tǒng)策略應用于ISA本地主機,控制著從其他網絡到本地主機或者從本地主機到其他網絡的通訊,系統(tǒng)策略中啟用了一些諸如
8、遠程管理,日志,網絡診斷等功能。一般情況下,我們對系統(tǒng)策略只能允許或禁止,或對少數(shù)策略的某些屬性作一些修改。以前曾經有朋友問我,為什么ISA安裝后防火墻策略中明明禁止了所有通訊,但ISA主機還是可以ping到其他計算機,是否ISA本機有某些特權呢?不是的,ISA能對其他網絡進行有限訪問完全是由系統(tǒng)策略決定的,只是由于系統(tǒng)策略沒有顯示出來,因此安裝完ISA后我們并沒有注意到它。我們來看看系統(tǒng)策略到底有哪些內容,打開ISA服務器管理,右鍵點
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
評論
0/150
提交評論