部署防火墙策略原理防火墙知识

1，计算机没有大脑，所以当ISA的行为与你的要求不一致时，检查你的配置，而不是抱怨ISA。
2。只允许您想允许的客户、源地址、目的地和协议。仔细检查您的每一条规则，看看规则的元素是否与您所需要的一致。
三.拒绝的规则必须放在允许的规则前面。
4，当需要拒绝时，首先要明确拒绝。
5，在不影响防火墙策略执行效果的情况下，请将更多的匹配规则放在前面。
6，在不影响防火墙策略执行效果的情况下，请将所有用户的规则放在前面。
7。试着简化你的规则。执行规则的效率总是比这两条规则更有效。
8，永远不要在业务网络中使用允许4的所有规则（允许所有用户使用来自所有网络的所有协议），这只会使您的表单无用。
9。如果可以配置系统策略，则不需要建立自定义规则。
10，ISA的每个访问规则是独立的，每个访问规则的执行不受其他访问规则的影响。
11，绝不允许任何网络访问ISA的所有协议，内部网络也令人难以置信。
12、SNat客户不能提交身份验证信息。所以，当你使用认证，配置客户为Web代理客户端或防火墙的客户。
13。最好使用IP地址，或者作为访问规则中的目的地或源。
14。如果您必须使用访问规则中设置的域名集或URL，最好将客户配置为Web代理客户。
15。请不要忘记在防火墙策略的结尾有一个拒绝4。
16。最后，请记住，防火墙策略的测试是必要的。