防火墻策略概述
源主機和目標主機必須在于不同的網絡
I
SA是嚴格按照順序評估放火墻策略
系統策略優先于防火墻策略
訪問規則是按照出站方向的主要連接端口來進行處理
匹配標準(元素)
協議--出站方向
從--源
計劃時間--
到--目的網絡
用戶--
內容類型--圖片
到目的網絡URL集
當ISA處理到(目的網絡)包含有url集的規則時,規則到(目的網絡)中的url集只對web協議(http、https、和封裝的ftp)有效,但是,對于https傳輸url集只有在沒有指定路徑時才進行匹配,如果客戶使用其他協議進行訪問,那么isa 會忽略規則中的url元素集。
例如:
如何新建一條防火墻策略來拒絕到www.msup.com.cn www.tom.com
然后允許到其他站點的訪問
可以使用域名集,計算機集方式進行正向/方向DNS解析.做一條策略進行拒絕,然后再設置一條策略允許其他網站允許.
除了域名集,還要做計算機集,是因為反向dns 的解析。
客戶端如何進行認證
防火墻客戶: 在會話建立后,ISA要求客戶進行身份驗證,所以當防火墻客戶后來再進行查詢時,ISA不會再詢問客戶端的身份驗證信息。
Web代理客戶:在允許Web代理客戶訪問后,你可以配置web代理客戶的身份驗證,如果你在web 代理偵聽器的屬性中選擇了要求所有的用戶驗證,ISA將總是要求用戶提供驗證信息。
