防火墻策略概述

源主機和目標主機必須在于不同的網絡
I
SA是嚴格按照順序評估放火墻策略

系統策略優先于防火墻策略

訪問規則是按照出站方向的主要連接端口來進行處理　
 
匹配標準（元素）
協議－－出站方向
從－－源
計劃時間－－
到－－目的網絡
用戶－－
內容類型－－圖片　

到目的網絡URL集

當ISA處理到（目的網絡）包含有url集的規則時，規則到（目的網絡）中的url集只對web協議（http、https、和封裝的ftp）有效，但是，對于https傳輸url集只有在沒有指定路徑時才進行匹配，如果客戶使用其他協議進行訪問，那么isa 會忽略規則中的url元素集。

例如：

如何新建一條防火墻策略來拒絕到www.msup.com.cn  www.tom.com

然后允許到其他站點的訪問

可以使用域名集，計算機集方式進行正向／方向ＤＮＳ解析．做一條策略進行拒絕，然后再設置一條策略允許其他網站允許．

除了域名集，還要做計算機集，是因為反向dns 的解析。

客戶端如何進行認證

防火墻客戶：　在會話建立后，ISA要求客戶進行身份驗證，所以當防火墻客戶后來再進行查詢時，ISA不會再詢問客戶端的身份驗證信息。

Web代理客戶：在允許Web代理客戶訪問后，你可以配置web代理客戶的身份驗證，如果你在web 代理偵聽器的屬性中選擇了要求所有的用戶驗證，ISA將總是要求用戶提供驗證信息。