深入剖析ISA防火墙策略执行过程(4)
时间:2017-08-24 23:59 来源:网络整理 作者:墨客科技 点击:次
我们可以总结一下,客户机使用HTTP协议访问时,目标网络取决于主机头,而访问者输入的主机头既可能是域名也有可能是IP(一般以域名居多);。客户机使用其他协议访问时,目标网络一定是以IP进行描述! 现在我们考虑一下应该如果用ISA禁止用户访问某个目标网络,那这个目标网络应该如何描述,显然只用域名描述是不严谨的,除非你确信DNS反向解析的结果对你有利(大部分情况下你会失望的)。如果保险一些,我们应该用域名+IP来描述目标网络。以刚才的限制百度为例,用nslookkup查出的域名解析结果为202.108.22.43和202.108.22.5。创建一个计算机集将这两个地址包含进去,如下图所示。
然后就可以在拒绝访问百度的策略中加入刚创建的计算机集,如下图所示,这样做效果如何大家可以自己试试看,肯定比只用域名要好得多。
|
- 上一篇:让防火墙策略管理变的简单
- 下一篇:防火墙基于策略路由的配置技巧