正確理解防火墻策略的執(zhí)行過程

1、正確理解防火墻策略的執(zhí)行過程很多初次接觸ISA的管理員，經(jīng)常會發(fā)現(xiàn)自己的管理意圖沒有得到貫徹。自己明明禁止用戶使用QQ聊天，可你看這個老兄正在和多個MM聊得熱火朝天；早就禁止在上班時間訪問游戲網(wǎng)站，可這個家伙不正在和別人下棋嗎？最郁悶的是就連簡單的禁止訪問百度搜索引擎都做不到，照樣有很多人用百度搜來搜去不少深感智力受到侮辱的網(wǎng)管憤怒地發(fā)出了“ISA就是不靈”的吼聲。ISA真是不靈嗎？不是的，其實發(fā)生這些的主要原因是ISA管理員并沒有真正理解防火墻策略的執(zhí)行過程。今天我們就來好好地分析一下ISA防火墻策略的執(zhí)行過程，避免在以后的工作中犯類似的錯誤。首先聲明，我們今天討論的是ISA2006標準版的

2、策略執(zhí)行過程，企業(yè)版比標準版要復雜一些，以后我們再討論。我們可以把ISA當作是信息高速公路上的一個檢查站，當有數(shù)據(jù)包要通過ISA時，ISA就會利用策略對數(shù)據(jù)包進行檢查，檢查通過就放行，否則就拒絕。ISA檢查數(shù)據(jù)包的順序是：一 檢查是否符合網(wǎng)絡規(guī)則二 檢查查是否符符合系統(tǒng)統(tǒng)策略三 檢查查是否符符合防火火墻策略略一 網(wǎng)絡絡規(guī)則一個數(shù)據(jù)據(jù)包通過過ISAA時，ISSA首先先要檢查查的就是是網(wǎng)絡規(guī)規(guī)則。網(wǎng)網(wǎng)絡規(guī)則則是ISSA中非非常重要要而又很很容易被被忽視的的一個因因素。IISA檢檢查數(shù)據(jù)據(jù)包時首首先要考考慮的就就是這個個數(shù)據(jù)包包是從哪哪個網(wǎng)絡絡到哪個個網(wǎng)絡，這兩個個網(wǎng)絡間間的網(wǎng)絡絡規(guī)則是是什么。也就

3、是是說ISSA是基基于網(wǎng)絡絡進行控控制，而而不是很很多朋友友認為的的基于主主機進行行控制。網(wǎng)絡規(guī)規(guī)則只有有兩種，路由或或NATT。如果果A網(wǎng)絡到到B網(wǎng)絡的的網(wǎng)絡規(guī)規(guī)則為路路由，那那么數(shù)據(jù)據(jù)包從AA網(wǎng)絡到到B網(wǎng)絡或或者從BB網(wǎng)絡到到A網(wǎng)絡都都有可能能；如果果A網(wǎng)絡到到B網(wǎng)絡的的網(wǎng)絡規(guī)規(guī)則為NNAT，那么數(shù)數(shù)據(jù)包只只有可能能從A到B，而不不可能從從B到A。我們們可以把把兩個網(wǎng)網(wǎng)絡比喻喻為兩個個城市，網(wǎng)絡規(guī)規(guī)則就象象是城市市之間的的高速公公路，如如果兩個個網(wǎng)絡之之間的網(wǎng)網(wǎng)絡規(guī)則則為路由由，那就就象是兩兩個城市市之間有有一條雙雙向高速速公路；如果網(wǎng)網(wǎng)絡規(guī)則則為NAAT，則則就相當當于兩個個城市之之間有

4、一一條單行行高速公公路。明白了網(wǎng)網(wǎng)絡規(guī)則則的作用用，有些些問題就就很好解解釋了。有些IISA管管理員問問過這樣樣一個問問題：“我在ISSA的防防火墻策策略中已已經(jīng)允許許外網(wǎng)訪訪問內(nèi)網(wǎng)網(wǎng)，為什什么外網(wǎng)網(wǎng)機器還還是訪問問不進來來？”現(xiàn)在來來看這個個問題就就很簡單單了，因因為ISSA認為為內(nèi)網(wǎng)和和外網(wǎng)之之間的網(wǎng)網(wǎng)絡規(guī)則則是NAAT，如如下圖所所示，NNAT規(guī)規(guī)則決定定了只有有可能從從內(nèi)網(wǎng)到到外網(wǎng)而而不可能能從外網(wǎng)網(wǎng)到內(nèi)網(wǎng)網(wǎng)，因此此當外網(wǎng)網(wǎng)訪問內(nèi)內(nèi)網(wǎng)時，ISAA只需檢檢查網(wǎng)絡絡規(guī)則就就。因此此如果你你確實需需要外網(wǎng)網(wǎng)訪問內(nèi)內(nèi)網(wǎng)，你你就應該該先把內(nèi)內(nèi)網(wǎng)和外外網(wǎng)之間間的網(wǎng)絡絡規(guī)則改改為路由由。還有一個個網(wǎng)

5、絡規(guī)規(guī)則的例例子，有有一個管管理員用用ISAA把DMZZ區(qū)的一一個FTTP服務務器發(fā)布布到了外外網(wǎng)和內(nèi)內(nèi)網(wǎng)，結(jié)結(jié)果外網(wǎng)網(wǎng)用戶訪訪問正常常，內(nèi)網(wǎng)網(wǎng)用戶卻卻無法訪訪問。為為什么，因為DDMZ和和外網(wǎng)是是NATT關系，而DMMZ和內(nèi)內(nèi)網(wǎng)是路路由關系系。由于于從DMMZ到外外網(wǎng)是NNAT關關系，外外網(wǎng)用戶戶無法通通過訪問問規(guī)則直直接訪問問，所以以通過發(fā)發(fā)布規(guī)則則訪問是是合理的的；而內(nèi)內(nèi)網(wǎng)和DDMZ是是路由關關系，因因此內(nèi)網(wǎng)網(wǎng)用戶就就應該通通過訪問問規(guī)則而而不是路路由規(guī)則則來訪問問。綜上所述述，網(wǎng)絡絡規(guī)則是是ISAA進行訪訪問控制制時所要要考慮的的第一要要務，只只有從源源網(wǎng)絡到到目標網(wǎng)網(wǎng)絡被網(wǎng)網(wǎng)絡規(guī)則則

6、許可了了，ISSA才會會繼續(xù)檢檢查系統(tǒng)統(tǒng)策略和和防火墻墻策略；如果訪訪問規(guī)則則不許可可，ISSA會直直接拒絕絕訪問，根本不不會再向向下檢查查系統(tǒng)策策略和防防火墻策策略。大大家寫訪訪問規(guī)則則時一定定要注意意這點。二 系統(tǒng)統(tǒng)策略如果一個個數(shù)據(jù)包包通過了了網(wǎng)絡規(guī)規(guī)則的檢檢查，IISA接接下來就就要看看看它是否否符合系系統(tǒng)策略略了。IISA220066標準版版中預設設了300條系統(tǒng)統(tǒng)策略，系統(tǒng)策策略應用用于ISSA本地地主機，控制著著從其他他網(wǎng)絡到到本地主主機或者者從本地地主機到到其他網(wǎng)網(wǎng)絡的通通訊，系系統(tǒng)策略略中啟用用了一些些諸如遠遠程管理理，日志志，網(wǎng)絡絡診斷等等功能。一般情情況下，我們對對系統(tǒng)策

7、策略只能能允許或或禁止，或?qū)ι偕贁?shù)策略略的某些些屬性作作一些修修改。以前曾經(jīng)經(jīng)有朋友友問我，為什么么ISAA安裝后后防火墻墻策略中中明明禁禁止了所所有通訊訊，但IISA主主機還是是可以ppingg到其他他計算機機，是否否ISAA本機有有某些特特權(quán)呢？不是的的，ISSA能對對其他網(wǎng)網(wǎng)絡進行行有限訪訪問完全全是由系系統(tǒng)策略略決定的的，只是是由于系系統(tǒng)策略略沒有顯顯示出來來，因此此安裝完完ISAA后我們們并沒有有注意到到它。我們來看看看系統(tǒng)統(tǒng)策略到到底有哪哪些內(nèi)容容，打開開ISAA服務器器管理，右鍵點點擊防火火墻策略略，如下下圖所示示，在查查看中選選擇“顯示系系統(tǒng)策略略規(guī)則”。如下圖所所示，我我們看

8、到到了300條系統(tǒng)統(tǒng)策略的的內(nèi)容。編輯系統(tǒng)統(tǒng)策略也也可以用用系統(tǒng)策策略編輯輯器，系系統(tǒng)策略略編輯器器為管理理員提供供了更為為友好的的管理界界面，如如下圖所所示，右右鍵點擊擊“防火墻墻策略”，選擇擇“編輯系系統(tǒng)策略略”。如下圖所所示，我我們可以以在系統(tǒng)統(tǒng)策略編編輯器中中編輯系系統(tǒng)策略略。系統(tǒng)策略略的優(yōu)先先級比防防火墻策策略高，因此如如果任務務可以用用系統(tǒng)策策略完成成，就不不要用防防火墻策策略。例例如有時時候我們們?yōu)榱藴y測試需要要，允許許從內(nèi)網(wǎng)網(wǎng)pinng IISA服服務器，這種需需求完全全可以用用系統(tǒng)策策略完成成，如下下圖所示示，我們們只要把把內(nèi)部網(wǎng)網(wǎng)絡添加加到允許許pinng本地地主機的的集合

9、中中，就可可以完成成任務了了。三 防火火墻策略略防火墻策策略用來來控制源源網(wǎng)絡和和目標網(wǎng)網(wǎng)絡的通通訊，是是ISAA管理員員控制網(wǎng)網(wǎng)絡訪問問的常規(guī)規(guī)武器，也是本本文討論論的重點點所在。防火墻墻策略的的優(yōu)先級級就是按按照規(guī)則則排列的的順序，而不是是按照拒拒絕優(yōu)先先原則。由于系系統(tǒng)策略略優(yōu)先級級也是按按照序號號排列，和防火火墻策略略優(yōu)先級級完全一一樣，我我們甚至至可以把把防火墻墻策略看看成是從從31開始始編號的的系統(tǒng)策策略。數(shù)據(jù)包通通過網(wǎng)絡絡規(guī)則的的檢查后后，就要要面臨系系統(tǒng)策略略和防火火墻策略略的考驗驗了。IISA將將從第一一條策略略開始檢檢查，檢檢查數(shù)據(jù)據(jù)包的訪訪問請求求是否匹匹配策略略，如果果

10、匹配，就按照照策略的的規(guī)定執(zhí)執(zhí)行，結(jié)結(jié)果無非非是禁止止或允許許。如果果不匹配配，ISSA就將將按順序序檢查下下一條策策略，從從第一條條系統(tǒng)策策略一直直檢查到到最后一一條防火火墻策略略。那有有人要問問了，如如果把所所有策略略都檢查查完了還還不匹配配怎么辦辦？呵呵呵，這是是不可能能的，IISA自自帶的最最后一條條防火墻墻策略內(nèi)內(nèi)容是禁禁止所有有網(wǎng)絡間間的一切切通訊，如下圖圖所示，這條防防火墻策策略可以以與所有有的網(wǎng)絡絡訪問相相匹配，因此IISA實實際上使使用了隱隱式拒絕絕，也就就是說如如果某個個訪問請請求如果果沒有被被策略顯顯式允許許，那肯肯定會被被最后一一條防火火墻策略略所拒絕絕?？戳松厦婷娴慕?/p>

11、紹紹，我們們要注意意兩點，一是策策略順序序，二是是策略匹匹配。A 策略略順序防火墻策策略的排排列順序序決定了了優(yōu)先級級，排在在前面的的策略優(yōu)優(yōu)先執(zhí)行行，根據(jù)據(jù)這個原原則，我我們要好好好設計計一下防防火墻策策略的順順序。例例如，我我們寫了了兩條防防火墻策策略，一一條是允允許內(nèi)網(wǎng)網(wǎng)用戶任任意訪問問，另外外一條是是拒絕內(nèi)內(nèi)網(wǎng)用戶戶訪問聯(lián)聯(lián)眾游戲戲網(wǎng)站。如果排排列順序序如下圖圖所示，允許策策略排在在拒絕策策略之前前，那就就是個錯錯誤的決決定。拒拒絕訪問問聯(lián)眾的的策略永永遠不會會被執(zhí)行行，因為為當用戶戶訪問聯(lián)聯(lián)眾時，訪問請請求匹配配第一條條防火墻墻策略，用戶就就被防火火墻放行行了，第第二條策策略根本本沒

12、有執(zhí)執(zhí)行的機機會。正正確的做做法是將將拒絕策策略放到到允許策策略之前前！B 策略略匹配策略匹配配是ISSA管理理員關注注的核心心問題。前面我我們一直直在提如如果網(wǎng)絡絡訪問和和防火墻墻策略匹匹配，則則按防火火墻策略略執(zhí)行允允許或禁禁止的操操作。那那么，問問題是，怎么才才算和防防火墻策策略匹配配呢？只有把這這個問題題搞清楚楚了，才才能寫出出符合你你設計初初衷的策策略。當ISAA檢測到到訪問請請求時，ISAA會檢查查訪問請請求能否否匹配防防火墻策策略中的的策略元元素，策策略元素素的檢查查順序為為 協(xié)議，從（源源網(wǎng)絡），計劃劃時間，到（目目標網(wǎng)絡絡），用用戶，內(nèi)內(nèi)容類型型。如果果和這些些元素都都能匹配

13、配，ISSA就認認為訪問問請求匹匹配防火火墻策略略。從被檢查查的策略略元素來來看， 到（目目標網(wǎng)絡絡）元素素最容易易出問題題。目標網(wǎng)絡絡元素的的問題容容易出在在哪兒呢呢？容易易出現(xiàn)在在DNSS上，確確切地說說是出現(xiàn)現(xiàn)在DNNS的反反向解析析上！這這個結(jié)論論估計是是很多管管理員始始料未及及的，還還是舉個個例子加加以說明明吧，假假設我們們要禁止止內(nèi)網(wǎng)訪訪問百度度，我見見過很多多管理員員的處理理方法都都是這樣樣的，首首先創(chuàng)建建一個域域名集，將 HYPERLINK / HYPERLINK / htttp:/m/包含含進去，如下圖圖所示。然后就寫寫出一條條拒絕內(nèi)內(nèi)網(wǎng)訪問問百度的的訪問規(guī)規(guī)則，如如下圖所所

14、示我們在一一臺內(nèi)網(wǎng)網(wǎng)計算機機Dennverr上測試試一下，Dennverr使用Weeb代理理訪問百百度，如如下圖所所示，錯錯誤信息息表明IISA拒拒絕了DDenvver訪訪問百度度的請求求。這說說明訪問問請求和和拒絕百百度訪問問的防火火墻策略略匹配成成功，哈哈哈，看看樣子大大功告成成了？且且慢，再再向下看看。我們在DDenvver上上換用IIP訪問問，在IIE中輸輸入2002.1108.22.5，如如下圖所所示，熟熟悉的百百度界面面已經(jīng)出出來了，哈哈，貌似嚴嚴謹?shù)脑L訪問規(guī)則則竟如此此不堪一一擊！這這說明這這次的訪訪問請求求沒有和和拒絕百百度訪問問的防火火墻策略略匹配成成功，而而是和第第二條允允

15、許內(nèi)網(wǎng)網(wǎng)用戶任任意訪問問的防火火墻策略略匹配成成功了?？吹竭@兒兒，有些些朋友可可能得出出結(jié)論了了，哦，原來用用域名禁禁止訪問問某個網(wǎng)網(wǎng)站是不不成立的的。錯！如果2202.1088.222.5的的反向解解析結(jié)果果為 HYPERLINK / htttp:/m/，那那么拒絕絕百度的的防火墻墻策略就就是成立立的！還是來認認真分析析一下原原理吧，當客戶戶機用HHTTPP協(xié)議訪訪問目標標網(wǎng)絡時時，ISSA判斷斷目標網(wǎng)網(wǎng)絡的根根據(jù)是HHTTPP主機頭頭，主機機頭的內(nèi)內(nèi)容顯然然源自我我們在瀏瀏覽器中中的輸入入。當我我們在瀏瀏覽器中中輸入 HYPERLINK / hhttpp:/wwww.baaiduu.coo

16、m/時時，ISSA開始始檢查訪訪問請求求能否匹匹配第一一條防火火墻策略略，也就就是拒絕絕內(nèi)網(wǎng)訪訪問百度度的那條條策略。ISAA先檢查查協(xié)議，從（源源網(wǎng)絡），計劃劃時間三三個元素素，這三三個元素素都能和和訪問請請求匹配配，然后后ISAA檢查到到（目標標網(wǎng)絡）元素，ISAA根據(jù)主主機頭內(nèi)內(nèi)容判斷斷訪問請請求中的的目標網(wǎng)網(wǎng)絡是 HYPERLINK / hhttpp:/wwww.baaiduu.coom/，而防火火墻策略略中的目目標網(wǎng)絡絡元素也也包含了了 HYPERLINK / htttp:/wwww.bbaiddu.ccom/，因此此ISAA判斷訪訪問請求求和到（目標網(wǎng)網(wǎng)絡）元元素也能能匹配上上。然

17、后后ISAA檢查用用戶和內(nèi)內(nèi)容類型型兩個元元素也可可以匹配配，所以以ISAA判斷訪訪問請求求和拒絕絕訪問百百度的防防火墻策策略完全全匹配，于是按按照防火火墻策略略的要求求拒絕了了這次訪訪問請求求。當我們在在瀏覽器器中輸入入2022.1008.222.55時，ISSA是這這么檢查查的。首首先還是是判斷 協(xié)議，從（源源網(wǎng)絡），計劃劃時間三三個元素素匹配策策略，然然后檢查查到（目目標網(wǎng)絡絡）元素素，ISSA判斷斷訪問請請求的目目標是2202.1088.222.5，而防火火墻策略略的目標標網(wǎng)絡是是包含 HYPERLINK / hhttpp:/wwww.baaiduu.coom/的的域名集集，這時時IS

18、AA會對2002.1108.22.5進行行DNSS反向解解析，如如果解析析的結(jié)果果等于 HYPERLINK / hhttpp:/wwww.baaiduu.coom/。，ISSA就認認為訪問問請求的的目標網(wǎng)網(wǎng)絡和策策略的目目標網(wǎng)絡絡也是匹匹配的。如果反反向解析析的結(jié)果果不等于于 HYPERLINK / htttp:/wwww.bbaiddu.ccom/（解析析的結(jié)果果確實不不是百度度的域名名），IISA就就認為訪訪問請求求的目標標網(wǎng)絡和和防火墻墻策略的的目標網(wǎng)網(wǎng)絡不匹匹配。這這樣ISSA就會會停止匹匹配第一一條拒絕絕訪問百百度的防防火墻策策略，轉(zhuǎn)轉(zhuǎn)而匹配配第二條條允許內(nèi)內(nèi)網(wǎng)任意意訪問的的防火墻墻

19、策略，匹配結(jié)結(jié)果是完完全成功功，因此此ISAA執(zhí)行第第二條防防火墻策策略規(guī)定定的動作作，允許許了對2202.1088.222.5的的訪問。如果客戶戶機不是是用HTTTP協(xié)協(xié)議訪問問目標網(wǎng)網(wǎng)絡，那那么匹配配的過程程又稍微微有些不不同。例例如客戶戶機用FFTP協(xié)協(xié)議訪問問 HYPERLINK / htttp:/wwww.bbaiddu.ccom/，那么么客戶機機在發(fā)送送訪問請請求時不不會把 HYPERLINK / hhttpp:/wwww.baaiduu.coom/作作為目標標網(wǎng)絡，而是先先對 HYPERLINK / htttp:/m/進行行域名解解析，然然后把解解析出來來的IPP作為目目標網(wǎng)絡絡

20、發(fā)送給給ISAA。ISAA對訪問問請求進進行匹配配時，如如果被匹匹配的防防火墻策策略用域域名描述述目標網(wǎng)網(wǎng)絡，IISA就就會對訪訪問請求求發(fā)來的的IP進行行反向解解析，看看解析出出的域名名能否和和防火墻墻策略的的目標網(wǎng)網(wǎng)絡相匹匹配。根根據(jù)這個個結(jié)論，我們用用IE訪問問 HYPERLINK / htttp:/wwww.bbaiddu.ccom/會被拒拒絕，因因為剛才才分析過過了，此此時客戶戶機將域域名 HYPERLINK / htttp:/m/作為為訪問請請求中的的目標網(wǎng)網(wǎng)絡發(fā)送送給ISSA，ISAA認為訪訪問請求求和拒絕絕訪問百百度的防防火墻策策略完全全匹配，因此客客戶機被被拒絕訪訪問。但但如

21、果客客戶機在在命令行行下輸入入tellnett HYPERLINK / htttp:/m/ 880，如如下圖所所示，直直接連接接百度的的80端口口，ISSA會如如何處理理呢？如下圖所所示，IISA對對訪問請請求放行行了，顯顯然這次次的訪問問請求沒沒有和拒拒絕訪問問百度的的策略匹匹配上，原因是是什么呢呢？客戶機ttelnnet百百度800端口時時，我在在ISAA上啟用用了實時時日志，日志記記錄的結(jié)結(jié)果如下下圖所示示。從日日志上我我們很清清楚地看看到，客客戶機先先對 HYPERLINK / htttp:/m/進行行了DNNS解析析，解析析結(jié)果為為2022.1008.222.55，然后后客戶機機把2002.1108