扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
2007年8月31日
在本页阅读全文(共2页)
4.匹配标准
现在的问题在于 客户的访问请求怎样才能够匹配访问规则中定义的策略元素?如果请求匹配访问规则的策略元素,ISA Server则运用此规则 处理客户的访问请求。检查规则元素的顺序如下:
协议:访问规则中为出站方向定义的主要连接 端口范围,可以为一个或者多个协议;
从(源网络): 发起连接的一个或者更多的网络对象,可以包含网络、网络集、计算机、计算机集、地址范围或者子网;
计划时间:定义的任何计划时间;
到(目的网络): 连接到的一个或者更多的目的网络,可以包含网络、网络集、计算机、计算机集、地址范围、子网、域名集或者URL集;
用户:一个或者更多的用户对象,可以包含所有用户、所有经过认证的用户、系统和网络服务和其他自定义的用户集;
内容类型: 定义的任何内容类型;
上面的有些元素项可以很好的理解,例如协议、从(源网络)和计划时间,对于它们很容易区分匹配还是不匹配。但是,对于 到(目的网络)、用户集和内容类型这三个条件,则不是那么容易理解的。例如,在一条访问规则要求认证而客户端发起的请求不能通过认证时,ISA会对这个请求采取什么方法呢?在一条允许指定的URL或者内容类型并且包含HTTP或非HTTP协议的访问规则中,ISA将会怎么处理呢?让我们再对它们的细节做进一步的描述。
4.1. 到(目的网络)
如果你检查策略元素,你可以发现对于到(目的网络),会有三个候选值:IP地址、完全限定域名(FQDN)或者URL地址。让我们先分析使用IP地址或者FQDN时的情况,再分析使用URL时的情况。
域名集和计算机集
为了进行分析,我们将限制只能对目的地址www.cevi.be和www.pouseele.be进行访问,并且做好了以下DNS解析:
在ISA中已经做好了以下的防火墙策略:
注意: 域名集是www.cevi.be和www.pouseele.be;IP地址是193.75.143.142和194.150.224.42。我们使用CMD下的Ftp命令(非封装的FTP)和IE浏览器来 分别进行FTP和HTTP访问。
不管内部网络中的客户配置为防火墙客户还是SNat客户,对于它们 发起的FTP访问,结果如下:
到达目的集www.cevi.be的FTP访问将被规则1允许
当ISA按照顺序进行规则评估时,ISA发现内部客户的请求匹配规则1的协议、从(源网络)和计划时间这三个元素。为了检查是否匹配到(目的网络),ISA会对客户 请求连接到的IP地址193.75.143.142进行反向DNS解析。这个IP地址反向解析为域名www.cevi.be,匹配这条规则的到(目的网络),然后ISA Server检查用户集和内容类型,这也都是匹配的。所以客户的请求完全匹配第1条访问规则,然后ISA根据规则1定义的动作,允许客户的连接。
到达目的集www.pouseele.be的FTP访问将被规则2允许
当ISA按照顺序进行规则评估时,ISA发现内部客户的请求匹配规则1的协议、从(源网络)和计划时间这三个元素。为了检查是否匹配到(目的网络),ISA会对客户端连接到的IP地址194.150.224.42执行反向DNS解析。这个IP地址反向解析为域名comsec17.win2k.combell.com,和规则1中的到(目的网络)中的FQDN不匹配,所以ISA停止对规则1的匹配,然后开始对下一条规则的 评估。
现在ISA对规则2进行匹配检查,首先,ISA发现客户的请求匹配规则2的协议、从(源网络)和计划时间这三个元素,同时,也匹配剩下的到(目的网络)、用户集和内容类型,所以,ISA执行规则2定义的动作,允许客户的连接。
HTTP访问和上面的FTP访问是有很大区别的,ISA会试图匹配HTTP主机头而不仅仅是第三层的目的地址。HTTP主机头是用户在浏览器的地址栏输入的值,无论内部客户是作为Web代理客户、防火墙客户还是SNat客户,对于它们的HTTP访问,结果如下:
对于http://www.cevi.be和http://www.pouseele.be的访问,会通过规则1允许;因为HTTP主机头和规则1中的FQDN完全匹配。
对于http://193.75.143.142的访问将被规则1允许;同样通过反向DNS解析后,目的地址匹配规则1中的到(目的网络)。
对于http://194.150.224.42的访问将被规则2允许;原理同FTP的访问。
通过上面的分析,我们可以看出,DNS服务对于ISA Server是至关重要的,所以,如果你需要使用FQDN来建立防火墙策略,请确保DNS能够正确的进行 前向和反向的解析。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
京公网安备 11010802021500号