声明:首先感谢Technet MVP王辉的精彩讲座,部分图片使用讲座中图片。文章是我对这次讲座的心的,希望能跟大家一起分享。

1. ISA规则的匹配顺序

wangyublues


首先开始检查是否有路由,如果没有路由直接就拒绝掉。检查到有路由之后开始检查系统策略,然后检查防火墙策略,没有的话丢弃,有的话转到下一步,检查网络关系是进行路由还是进行 NAT 转换,然后按照策略进行访问。以前有情况反映说杭州跟分支之间不能通讯,检查了发现策略没有问题,可是直接就被默认策略拒绝掉了,即使开启完全允许依然会被拒绝,这种情况最后发现是在网络规则中,没有更改为路由。
ISA 是完全按照匹配顺序进行筛选的系统策略优先于防火墙策略,原访问地址和目标访问地址是不能在同一个网络中的,也就是说,如果都是在局域网内,他们可以直接进行访问,不会通过 ISA 来进行匹配。

2. ISA客户端的不同点

ISA 客户端类型
如何发送请求
是否支持身份验证
Web 代理客户端
根据用户输入的 FQDN 或者 IP 地址
YES
HTTP\HTTPS\ 封装的 FTP
防火墙客户端
总是使用 IP 地址
YES
( 所有基于 TCP\UDP 的协议 )
Snat 客户端
总是使用 IP 地址
NO




 

3. 匹配元素顺序

3.1. 都有哪些元素

  
协议:访问规则中为出站方向定义的主要连接端口范围,可以为一个或者多个协议。

从(源网络):发起连接的一个或者更多的网络对象,可以包含网络、网络集、计算机、计算机集、地址范围或者子网。

计划时间:定义任何计划时间。

到(目的网络):连接到的一个或者更过的目的网络,可以包含网络、网络集、计算机、计算机集、地址范围、子网、域名集或者 URL 集。

用户:一个或者更多的用户对象,可以包含所有用户、所有经过认证的用户、系统和网络服务和其他自定义的用户集。
内容类型:定义的任何内容类型。



3.2. 到(目的网络)

 


FQDN 是域名
假设我们使用的是防火墙客户端进行访问,来测试非封装的 FTP (也就是不能在 IE 里边用的,必须使用命令进行的 FTP )进行测试,那么如果你访问这个两个地址的话,会首先用 IP 地址访问,然后 ISA SERVER 就会进行反向解析,第一条的 FQDN 中包含这两个地址,但是反向解析之后 WWW.TOM.COM 就不能访问了,因为反向解析的地址不在第一条中。那么它会通过第二条协议通过,因为是允许 IP
我们要是用 HTTP 进行访问的话, ISA 会试图匹配主机头的,这样使用防火墙客户端的话,就会使用第一条访问规则进行访问。如果用 HTTP 访问但是用的是 IP 地址的话,比如 http://61.155.6.100 ,这样 ISA 会试图反向解析成 FQDN ,那么 www.tom.com 也无法与第一条策略进行匹配。
如果“到”中使用 URL 集规则的话,只对 HTTP\HTTPS\ 和封装的 FTP 有效,如果使用的是其他协议,那么 ISA SERVER 将会进行忽略。

3.3. 用户
如果你的防火墙客户端开始的时候就没有验证通过,那么你进行访问的时候也就不会再次进行跳出认证框了。最好是使用防火墙客户端,因为 web 代理客户端只支持, http https 、封装的 FTP

当你有一个用户如果不属于经理组的话,那么第一条策略就不生效了,就会通过第二条策略进行访问。

3.4. 内容类型

内容类型通过配置 MIME 和文件扩展名来指定,它只能应用于 HTTP 和封装的 FTP 协议。对于其他协议将会忽略。
如果你设置了允许访问图片,但是这个网站是 HTTPS 的网站,那么在这个网站中图片是不能被现实的。你设置的那条允许规则是永远不会被匹配的,根本不需要检测是允许还是拒绝。

3.5. 过滤器

过滤 HTTP 中的签名、扩展名, FTP 的上传功能, RPC 是否启用 outlook 加密等。只有在访问规则都匹配之后才会进行过滤器筛选。

3.6. 元素的匹配顺序

1.    检查规则里的协议是否匹配
2.    跟这个源是不是匹配
3.    时间是不是匹配
4.    目的是不是匹配,有一个 DNS 的正向反向解析过程。如果你访问的是 URL 集的话,你要是使用非 WEB 协议的话,会给你返回到规则中继续匹配其他协议
5.    检查用户,如果要求了进行身份验证,可是客户端不能提供那么就会被拒绝掉
6.    检查内容类型,如果不是 HTTP 和封装的 FTP 的话会忽略内容类型
7.    检查你设置的动作
8.    看这条规则是否设置了过滤器( HTTP\FTP\RPC
9.    如果都 OK ,那么就可以正常访问了