拓扑：

需求：

我们的目标是先写出一条访问规则：允许在午休时间（12:00-13:00），人事部和财务部的员工可以访问互联网上除百度之外的网站，而且访问网站时不能访问视频和音频内容，我们通过这条规则的实现过程来学习策略元素。

1、协议（HTTP,HTTPS,自定义协议）

2、用户

3、计划

4、内容类型

5、网络对象（计算机、子网、URL集、域名集等）

正确理解防火墙策略的执行过程

ISA检查数据包的顺序是：

一 检查是否符合网络规则

二 检查是否符合系统策略

三 检查是否符合防火墙策略

一 网络规则

一个数据包通过ISA时，ISA首先要检查的就是网络规则。网络规则是ISA中非常重要而又很容易被忽视的一个因素。ISA检查数据包时首先要考虑的就是这个数据包是从哪个网络到哪个网络，这两个网络间的网络规则是什么。也就是说ISA是基于网络进行控制，而不是很多朋友认为的基于主机进行控制。网络规则只有两种，路由或NAT。如果A网络到B网络的网络规则为路由，那么数据包从A网络到B网络或者从B网络到A网络都有可能；如果A网络到B网络的网络规则为NAT，那么数据包只有可能从A到B，而不可能从B到A。我们可以把两个网络比喻为两个城市，网络规则就象是城市之间的高速公路，如果两个网络之间的网络规则为路由，那就象是两个城市之间有一条双向高速公路；如果网络规则为NAT，则就相当于两个城市之间有一条单行高速公路

还有一个网络规则的例子，有一个管理员用ISA把DMZ区的一个FTP服务器发布到了外网和内网，结果外网用户访问正常，内网用户却无法访问。为什么，因为DMZ和外网是NAT关系，而DMZ和内网是路由关系。由于从DMZ到外网是NAT关系，外网用户无法通过访问规则直接访问，所以通过发布规则访问是合理的；而内网和DMZ是路由关系，因此内网用户就应该通过访问规则而不是发布规则来访问。

综上所述，网络规则是ISA进行访问控制时所要考虑的{dy}要务，只有从源网络到目标网络被网络规则许可了，ISA才会继续检查系统策略和防火墙策略；如果网络规则不许可，ISA会直接拒绝访问，根本不会再向下检查系统策略和防火墙策略。大家写访问规则时一定要注意这点。

二、系统策略

如果一个数据包通过了网络规则的检查，ISA接下来就要看看它是否符合系统策略了。ISA2006标准版中预设了30条系统策略，系统策略应用于ISA本地主机，控制着从其他网络到本地主机或者从本地主机到其他网络的通讯，系统策略中启用了一些诸如远程管理，日志，网络诊断等功能。一般情况下，我们对系统策略只能允许或禁止，或对少数策略的某些属性作一些修改。

以前曾经有朋友问我，为什么ISA安装后防火墙策略中明明禁止了所有通讯，但ISA主机还是可以ping到其他计算机，是否ISA本机有某些特权呢？不是的，ISA能对其他网络进行有限访问xx是由系统策略决定的，只是由于系统策略没有显示出来，因此安装完ISA后我们并没有注意到它。

三 防火墙策略

防火墙策略用来控制源网络和目标网络的通讯，是ISA管理员控制网络访问的常规武器，也是本文讨论的重点所在。防火墙策略的优先级就是按照规则排列的顺序，而不是按照拒绝优先原则。由于系统策略优先级也是按照序号排列，和防火墙策略优先级xx一样，我们甚至可以把防火墙策略看成是从31开始编号的系统策略。

数据包通过网络规则的检查后，就要面临系统策略和防火墙策略的考验了。ISA将从{dy}条策略开始检查，检查数据包的访问请求是否匹配策略，如果匹配，就按照策略的规定执行，结果无非是禁止或允许。如果不匹配，ISA就将按顺序检查下一条策略，从{dy}条系统策略一直检查到{zh1}一条防火墙策略。那有人要问了，如果把所有策略都检查完了还不匹配怎么办？呵呵，这是不可能的，ISA自带的{zh1}一条防火墙策略内容是禁止所有网络间的一切通讯，如下图所示，这条防火墙策略可以与所有的网络访问相匹配，因此ISA实际上使用了隐式拒绝，也就是说如果某个访问请求如果没有被策略显式允许，那肯定会被{zh1}一条防火墙策略所拒绝。

看了上面的介绍，我们要注意两点，一是策略顺序，二是策略匹配。

A 策略顺序

防火墙策略的排列顺序决定了优先级，排在前面的策略优先执行，根据这个原则，我们要好好设计一下防火墙策略的顺序。例如，我们写了两条防火墙策略，一条是允许内网用户任意访问，另外一条是拒绝内网用户访问联众游戏网站。如果排列顺序如下图所示，允许策略排在拒绝策略之前，那就是个错误的决定。拒绝访问联众的策略永远不会被执行，因为当用户访问联众时，访问请求匹配{dy}条防火墙策略，用户就被防火墙放行了，第二条策略根本没有执行的机会。正确的做法是将拒绝策略放到允许策略之前！

B 策略匹配

策略匹配是ISA管理员xx的核心问题。前面我们一直在提如果网络访问和防火墙策略匹配，则按防火墙策略执行允许或禁止的操作。那么，问题是，怎么才算和防火墙策略匹配呢？

只有把这个问题搞清楚了，才能写出符合你设计初衷的策略。

当ISA检测到访问请求时，ISA会检查访问请求能否匹配防火墙策略中的策略元素，策略元素的检查顺序为 协议，从（源网络），计划时间，到（目标网络），用户，内容类型。如果和这些元素都能匹配，ISA就认为访问请求匹配防火墙策略。

从被检查的策略元素来看， 到（目标网络）元素最容易出问题。

目标网络元素的问题容易出在哪儿呢？容易出现在DNS上，确切地说是出现在DNS的反向解析上！这个结论估计是很多管理员始料未及的，还是举个例子加以说明吧，假设我们要禁止内网访问百度，我见过很多管理员的处理方法都是这样的，首先创建一个域名集，将包含进去，如下图所示。

然后就写出一条拒绝内网访问百度的访问规则，如下图所示

我们在一台内网计算机Denver上测试一下，Denver使用Web代理访问百度，如下图所示，错误信息表明ISA拒绝了Denver访问百度的请求。这说明访问请求和拒绝百度访问的防火墙策略匹配成功，哈哈，看样子大功告成了？且慢，再向下看。

我们在Denver上换用IP访问，在IE中输入202.108.22.5，如下图所示，熟悉的百度界面已经出来了，哈哈，貌似严谨的访问规则竟如此不堪一击！这说明这次的访问请求没有和拒绝百度访问的防火墙策略匹配成功，而是和第二条允许内网用户任意访问的防火墙策略匹配成功了。

看到这儿，有些朋友可能得出结论了，哦，原来用域名禁止访问某个网站是不成立的。错！如果202.108.22.5的反向解析结果为[url]www.baidu.com[/url]，那么拒绝百度的防火墙策略就是成立的