防火墙策略概述

源主机和目标主机必须在于不同的网络
I
SA是严格按照顺序评估放火墙策略

系统策略优先于防火墙策略

访问规则是按照出站方向的主要连接端口来进行处理　
 
匹配标准（元素）
协议－－出站方向
从－－源
计划时间－－
到－－目的网络
用户－－
内容类型－－图片　

到目的网络URL集

当ISA处理到（目的网络）包含有url集的规则时，规则到（目的网络）中的url集只对web协议（http、https、和封装的ftp）有效，但是，对于https传输url集只有在没有指定路径时才进行匹配，如果客户使用其他协议进行访问，那么isa 会忽略规则中的url元素集。

例如：

如何新建一条防火墙策略来拒绝到www.msup.com.cn  www.tom.com

然后允许到其他站点的访问

可以使用域名集，计算机集方式进行正向／方向ＤＮＳ解析．做一条策略进行拒绝，然后再设置一条策略允许其他网站允许．

除了域名集，还要做计算机集，是因为反向dns 的解析。

客户端如何进行认证

防火墙客户：　在会话建立后，ISA要求客户进行身份验证，所以当防火墙客户后来再进行查询时，ISA不会再询问客户端的身份验证信息。

Web代理客户：在允许Web代理客户访问后，你可以配置web代理客户的身份验证，如果你在web 代理侦听器的属性中选择了要求所有的用户验证，ISA将总是要求用户提供验证信息。