版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、部署防火墻策略的十六條守則部署防火墻策略的十六條守則內(nèi)容概述:在部署防火墻策略時(shí),你需要遵守一些規(guī)則。以下是我總結(jié)出來的十六條守則,希望你能夠認(rèn)真的看一下,并且牢牢的記住,這樣,你才能最有效的、最高效的、最安全的、最穩(wěn)定的部署你的防火墻策略。如果你有些不能理解,請(qǐng)先參見站內(nèi)其他技術(shù)文章,當(dāng)你對(duì)ISA有了更深的認(rèn)識(shí)時(shí),你就能夠徹底的理解了。1、計(jì)算機(jī)沒有大腦。所以,當(dāng)ISA的行為和你的要求不一致時(shí),請(qǐng)檢查你的配置而不要埋怨ISA。2、只允
2、許你想要允許的客戶、源地址、目的地和協(xié)議。仔細(xì)的檢查你的每一條規(guī)則,看規(guī)則的元素是否和你所需要的一致,盡量避免使用拒絕規(guī)則。3、針對(duì)相同用戶或含有相同用戶子集的訪問規(guī)則,拒絕的規(guī)則一定要放在允許的規(guī)則前面。4、當(dāng)需要使用拒絕時(shí),顯式拒絕是首要考慮的方式。5、在不影響防火墻策略執(zhí)行效果的情況下,請(qǐng)將匹配度更高的規(guī)則放在前面。6、在不影響防火墻策略執(zhí)行效果的情況下,請(qǐng)將針對(duì)所有用戶的規(guī)則放在前面。7、盡量簡(jiǎn)化你的規(guī)則,執(zhí)行一條規(guī)則的效率永遠(yuǎn)
3、比執(zhí)行兩條規(guī)則的效率高。8、永遠(yuǎn)不要在商業(yè)網(wǎng)絡(luò)中使用Allow4ALL規(guī)則(Allowallusersuseallprotocolsfromallwkstoallwks),這樣只是讓你的ISA形同虛設(shè)。9、如果可以通過配置系統(tǒng)策略來實(shí)現(xiàn),就沒有必要再建立自定義規(guī)則。10、ISA的每條訪問規(guī)則都是獨(dú)立的,執(zhí)行每條訪問規(guī)則時(shí)不會(huì)受到其他訪問規(guī)則的影響。11、永遠(yuǎn)也不要允許任何網(wǎng)絡(luò)訪問ISA本機(jī)的所有協(xié)議。內(nèi)部網(wǎng)絡(luò)也是不可信的。12、SNat
4、客戶不能提交身份驗(yàn)證信息。所以,當(dāng)你使用了身份驗(yàn)證時(shí),請(qǐng)配置客戶為Web代理客戶或防火墻客戶。13、無論作為訪問規(guī)則中的目的還是源,最好使用IP地址。14、如果你一定要在訪問規(guī)則中使用域名集或URL集,最好將客戶配置為Web代理客戶。15、請(qǐng)不要忘了,防火墻策略的最后還有一條DENY4ALL。16、最后,請(qǐng)記住,防火墻策略的測(cè)試是必需的。深入剖析防火墻策略的執(zhí)行過程:深入剖析防火墻策略的執(zhí)行過程:ISA2006系列系列正確理解防火墻策略
5、的執(zhí)行過程正確理解防火墻策略的執(zhí)行過程很多初次接觸ISA的管理員,經(jīng)常會(huì)發(fā)現(xiàn)自己的管理意圖沒有得到貫徹。自己明明禁止用戶使用QQ聊天,可你看這個(gè)老兄正在和多個(gè)MM聊得熱火朝天;早就禁止在上班時(shí)間訪問游戲網(wǎng)站,可這個(gè)家伙不正在和別人下棋嗎?最郁悶的是就連簡(jiǎn)單的禁止訪問百度搜索引擎都做不到,照樣有很多人用百度搜來搜去……不少深感智力受到侮辱的網(wǎng)管憤怒地發(fā)出了“ISA就是不靈”的吼聲。ISA真是不靈嗎?不是的,其實(shí)發(fā)生這些的主要原因是ISA管
6、理還有一個(gè)網(wǎng)絡(luò)規(guī)則的例子,有一個(gè)管理員用ISA把DMZ區(qū)的一個(gè)FTP服務(wù)器發(fā)布到了外網(wǎng)和內(nèi)網(wǎng),結(jié)果外網(wǎng)用戶訪問正常,內(nèi)網(wǎng)用戶卻無法訪問。為什么,因?yàn)镈MZ和外網(wǎng)是NAT關(guān)系,而DMZ和內(nèi)網(wǎng)是路由關(guān)系。由于從DMZ到外網(wǎng)是NAT關(guān)系,外網(wǎng)用戶無法通過訪問規(guī)則直接訪問,所以通過發(fā)布規(guī)則訪問是合理的;而內(nèi)網(wǎng)和DMZ是路由關(guān)系,因此內(nèi)網(wǎng)用戶就應(yīng)該通過訪問規(guī)則而不是路由規(guī)則來訪問。綜上所述,網(wǎng)絡(luò)規(guī)則是ISA進(jìn)行訪問控制時(shí)所要考慮的第一要?jiǎng)?wù),只有從
7、源網(wǎng)絡(luò)到目標(biāo)網(wǎng)絡(luò)被網(wǎng)絡(luò)規(guī)則許可了,ISA才會(huì)繼續(xù)檢查系統(tǒng)策略和防火墻策略;如果訪問規(guī)則不許可,ISA會(huì)直接拒絕訪問,根本不會(huì)再向下檢查系統(tǒng)策略和防火墻策略。大家寫訪問規(guī)則時(shí)一定要注意這點(diǎn)。二系統(tǒng)策略系統(tǒng)策略如果一個(gè)數(shù)據(jù)包通過了網(wǎng)絡(luò)規(guī)則的檢查,ISA接下來就要看看它是否符合系統(tǒng)策略了。ISA2006標(biāo)準(zhǔn)版中預(yù)設(shè)了30條系統(tǒng)策略,系統(tǒng)策略應(yīng)用于ISA本地主機(jī),控制著從其他網(wǎng)絡(luò)到本地主機(jī)或者從本地主機(jī)到其他網(wǎng)絡(luò)的通訊,系統(tǒng)策略中啟用了一些諸如
8、遠(yuǎn)程管理,日志,網(wǎng)絡(luò)診斷等功能。一般情況下,我們對(duì)系統(tǒng)策略只能允許或禁止,或?qū)ι贁?shù)策略的某些屬性作一些修改。以前曾經(jīng)有朋友問我,為什么ISA安裝后防火墻策略中明明禁止了所有通訊,但I(xiàn)SA主機(jī)還是可以ping到其他計(jì)算機(jī),是否ISA本機(jī)有某些特權(quán)呢?不是的,ISA能對(duì)其他網(wǎng)絡(luò)進(jìn)行有限訪問完全是由系統(tǒng)策略決定的,只是由于系統(tǒng)策略沒有顯示出來,因此安裝完ISA后我們并沒有注意到它。我們來看看系統(tǒng)策略到底有哪些內(nèi)容,打開ISA服務(wù)器管理,右鍵點(diǎn)
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- isa防火墻部署與設(shè)置
- isa防火墻技術(shù)在企業(yè)多重網(wǎng)絡(luò)環(huán)境中的應(yīng)用
- dos命令 關(guān)閉windows系統(tǒng)防火墻 重置防火墻
- 防火墻論文
- 防火墻系統(tǒng)策略配置研究.pdf
- 防火墻等級(jí)
- 防火墻1
- 防火墻方案
- 防火墻技術(shù)論文
- 防火墻技術(shù)介紹
- windows防火墻設(shè)計(jì)
- 構(gòu)筑新聞“防火墻”
- 防火墻招標(biāo)參數(shù)
- 用好windowsxp防火墻
- 防火墻策略異常檢測(cè)與處理.pdf
- 防火墻的配置
- 1.1防火墻概論
- 防火墻工作原理
- 防火墻基礎(chǔ)
- 華為防火墻設(shè)置
評(píng)論
0/150
提交評(píng)論