当您设定数组层级存取规则时,这些规则会与企业原则结合成有效的数组原则,形成由规则组合而成的防火墙行为。规则会依下列顺序处理:
? 数组层级系统原则规则。允许流量进出 ISA Server 计算机 (本机主机网络) 的一组预先定义的系统原则规则,会比所有其它规则优先处理。
? 数组前企业规则 (排在防火墙原则规则之前)。
? 数组层级防火墙原则规则。
? 数组后企业规则 (排在防火墙原则规则之后)。
例如,如果企业系统管理员想要让整个企业都能毫无例外地存取 FTP,应建立允许 FTP 的数组前企业存取规则。然而,若要一方面允许 FTP,并同时赋予数组系统管理员拒绝 FTP 存取的能力,就应该建立允许 FTP 的数组后企业存取规则。若数组系统管理员稍后建立数组存取规则拒绝 FTP,则有效的原则将会拒绝 FTP。若数组系统管理员未建立规则拒绝 FTP,则有效的原则将会允许 FTP。
在数组层级原则中使用企业网络
企业系统管理员使用企业网络来建立企业层级存取规则,但数组系统管理员可于定义数组层级网络时,将企业网络纳入其中。以 IP 地址范围设定数组层级网络,以及一或多个企业网络。如此一来,数组定义中便可含有未必实体联机到数组的 IP 地址。
附注:
企业网络中包含的地址范围对应于特定数组成员路由表者,才是您应当纳入的企业网络。
例如可考虑前端数组及后端数组,两者皆联机到 IP 地址范围是从 10.0.0.0/8 开始的网络。也假设企业系统管理员已利用 10.0.0.0 到 10.255.255.255 的 IP 地址范围,定义了名为 ENT-Perimeter 的企业网络。然后,每个数组系统管理员都可定义名为 Perimeter 的数组层级网络,并包含其所含之企业网络 ENT-Perimeter 的 IP 范围。接着可依据网络 Perimeter 来建立数组层级防火墙原则规则。
在部份情况下,数组系统管理员可能只想要建立数组层级网络,因此只会有效率地建立该数组可看到及使用的网络。其余企业则无法使用此网络。例如,数组层级网络可能在下列实例中十分有用:
? 数组层级网络不应受企业层级中所做的变更影响。
? 企业层级中不会使用也不需要该数组层级网络。
来自非数组层级网络中之 IP 地址的流量预设是视为诈骗。即使 IP 地址是包含在企业网络中,也是如此。
更多内容请看网络管理实用手册、ISA Server专题,或进入讨论组讨论。
相关专题
- 网络管理实用手册 (22554篇文章)
- ISA Server (194篇文章)
- 百毒不侵 安全手段让电脑轻松过春节 (150次浏览)
- 高手支招 详解注册表与系统安全 (149次浏览)
- 不怕攻击 家庭上网必学八招安全绝招 (84次浏览)
- Windows安全经验之预防病毒的八个忠告 (83次浏览)
- 最安全的打开U盘的方法 (62次浏览)
- 艳照门启示录:要给电脑“洗澡” (57次浏览)
- “网页挂马”新形态初现 木马传播数量激增 (52次浏览)
- 系统安全:剿清删不掉的DLL木马 (51次浏览)
- 后门程序:其实我就是传说中的卧底! (48次浏览)
- 让电脑裸奔 制作百毒不侵的Windows系统 (44次浏览)
