正確理解防火墻策略的執(zhí)行過程

1、正確理解防火墻策略的執(zhí)行過程很多初次接觸ISA的管理員，經(jīng)常會(huì)發(fā)現(xiàn)自己的管理意圖沒有得到貫徹。自己明明禁止用戶使用QQ聊天，可你看這個(gè)老兄正在和多個(gè)MM聊得熱火朝天；早就禁止在上班時(shí)間訪問游戲網(wǎng)站，可這個(gè)家伙不正在和別人下棋嗎？最郁悶的是就連簡單的禁止訪問百度搜索引擎都做不到，照樣有很多人用百度搜來搜去不少深感智力受到侮辱的網(wǎng)管憤怒地發(fā)出了“ISA就是不靈”的吼聲。ISA真是不靈嗎？不是的，其實(shí)發(fā)生這些的主要原因是ISA管理員并沒有真正理解防火墻策略的執(zhí)行過程。今天我們就來好好地分析一下ISA防火墻策略的執(zhí)行過程，避免在以后的工作中犯類似的錯(cuò)誤。首先聲明，我們今天討論的是ISA2006標(biāo)準(zhǔn)版的

2、策略執(zhí)行過程，企業(yè)版比標(biāo)準(zhǔn)版要復(fù)雜一些，以后我們?cè)儆懻摗Ｎ覀兛梢园袸SA當(dāng)作是信息高速公路上的一個(gè)檢查站，當(dāng)有數(shù)據(jù)包要通過ISA時(shí)，ISA就會(huì)利用策略對(duì)數(shù)據(jù)包進(jìn)行檢查，檢查通過就放行，否則就拒絕。ISA檢查數(shù)據(jù)包的順序是：一 檢查是否符合網(wǎng)絡(luò)規(guī)則二 檢查查是否符符合系統(tǒng)統(tǒng)策略三 檢查查是否符符合防火火墻策略略一 網(wǎng)絡(luò)絡(luò)規(guī)則一個(gè)數(shù)據(jù)據(jù)包通過過ISAA時(shí)，ISSA首先先要檢查查的就是是網(wǎng)絡(luò)規(guī)規(guī)則。網(wǎng)網(wǎng)絡(luò)規(guī)則則是ISSA中非非常重要要而又很很容易被被忽視的的一個(gè)因因素。IISA檢檢查數(shù)據(jù)據(jù)包時(shí)首首先要考考慮的就就是這個(gè)個(gè)數(shù)據(jù)包包是從哪哪個(gè)網(wǎng)絡(luò)絡(luò)到哪個(gè)個(gè)網(wǎng)絡(luò)，這兩個(gè)個(gè)網(wǎng)絡(luò)間間的網(wǎng)絡(luò)絡(luò)規(guī)則是是什么。也就

3、是是說ISSA是基基于網(wǎng)絡(luò)絡(luò)進(jìn)行控控制，而而不是很很多朋友友認(rèn)為的的基于主主機(jī)進(jìn)行行控制。網(wǎng)絡(luò)規(guī)規(guī)則只有有兩種，路由或或NATT。如果果A網(wǎng)絡(luò)到到B網(wǎng)絡(luò)的的網(wǎng)絡(luò)規(guī)規(guī)則為路路由，那那么數(shù)據(jù)據(jù)包從AA網(wǎng)絡(luò)到到B網(wǎng)絡(luò)或或者從BB網(wǎng)絡(luò)到到A網(wǎng)絡(luò)都都有可能能；如果果A網(wǎng)絡(luò)到到B網(wǎng)絡(luò)的的網(wǎng)絡(luò)規(guī)規(guī)則為NNAT，那么數(shù)數(shù)據(jù)包只只有可能能從A到B，而不不可能從從B到A。我們們可以把把兩個(gè)網(wǎng)網(wǎng)絡(luò)比喻喻為兩個(gè)個(gè)城市，網(wǎng)絡(luò)規(guī)規(guī)則就象象是城市市之間的的高速公公路，如如果兩個(gè)個(gè)網(wǎng)絡(luò)之之間的網(wǎng)網(wǎng)絡(luò)規(guī)則則為路由由，那就就象是兩兩個(gè)城市市之間有有一條雙雙向高速速公路；如果網(wǎng)網(wǎng)絡(luò)規(guī)則則為NAAT，則則就相當(dāng)當(dāng)于兩個(gè)個(gè)城市之之間有

4、一一條單行行高速公公路。明白了網(wǎng)網(wǎng)絡(luò)規(guī)則則的作用用，有些些問題就就很好解解釋了。有些IISA管管理員問問過這樣樣一個(gè)問問題：“我在ISSA的防防火墻策策略中已已經(jīng)允許許外網(wǎng)訪訪問內(nèi)網(wǎng)網(wǎng)，為什什么外網(wǎng)網(wǎng)機(jī)器還還是訪問問不進(jìn)來來？”現(xiàn)在來來看這個(gè)個(gè)問題就就很簡單單了，因因?yàn)镮SSA認(rèn)為為內(nèi)網(wǎng)和和外網(wǎng)之之間的網(wǎng)網(wǎng)絡(luò)規(guī)則則是NAAT，如如下圖所所示，NNAT規(guī)規(guī)則決定定了只有有可能從從內(nèi)網(wǎng)到到外網(wǎng)而而不可能能從外網(wǎng)網(wǎng)到內(nèi)網(wǎng)網(wǎng)，因此此當(dāng)外網(wǎng)網(wǎng)訪問內(nèi)內(nèi)網(wǎng)時(shí)，ISAA只需檢檢查網(wǎng)絡(luò)絡(luò)規(guī)則就就。因此此如果你你確實(shí)需需要外網(wǎng)網(wǎng)訪問內(nèi)內(nèi)網(wǎng)，你你就應(yīng)該該先把內(nèi)內(nèi)網(wǎng)和外外網(wǎng)之間間的網(wǎng)絡(luò)絡(luò)規(guī)則改改為路由由。還有一個(gè)個(gè)網(wǎng)

5、絡(luò)規(guī)規(guī)則的例例子，有有一個(gè)管管理員用用ISAA把DMZZ區(qū)的一一個(gè)FTTP服務(wù)務(wù)器發(fā)布布到了外外網(wǎng)和內(nèi)內(nèi)網(wǎng)，結(jié)結(jié)果外網(wǎng)網(wǎng)用戶訪訪問正常常，內(nèi)網(wǎng)網(wǎng)用戶卻卻無法訪訪問。為為什么，因?yàn)镈DMZ和和外網(wǎng)是是NATT關(guān)系，而DMMZ和內(nèi)內(nèi)網(wǎng)是路路由關(guān)系系。由于于從DMMZ到外外網(wǎng)是NNAT關(guān)關(guān)系，外外網(wǎng)用戶戶無法通通過訪問問規(guī)則直直接訪問問，所以以通過發(fā)發(fā)布規(guī)則則訪問是是合理的的；而內(nèi)內(nèi)網(wǎng)和DDMZ是是路由關(guān)關(guān)系，因因此內(nèi)網(wǎng)網(wǎng)用戶就就應(yīng)該通通過訪問問規(guī)則而而不是路路由規(guī)則則來訪問問。綜上所述述，網(wǎng)絡(luò)絡(luò)規(guī)則是是ISAA進(jìn)行訪訪問控制制時(shí)所要要考慮的的第一要要?jiǎng)?wù)，只只有從源源網(wǎng)絡(luò)到到目標(biāo)網(wǎng)網(wǎng)絡(luò)被網(wǎng)網(wǎng)絡(luò)規(guī)則則

6、許可了了，ISSA才會(huì)會(huì)繼續(xù)檢檢查系統(tǒng)統(tǒng)策略和和防火墻墻策略；如果訪訪問規(guī)則則不許可可，ISSA會(huì)直直接拒絕絕訪問，根本不不會(huì)再向向下檢查查系統(tǒng)策策略和防防火墻策策略。大大家寫訪訪問規(guī)則則時(shí)一定定要注意意這點(diǎn)。二 系統(tǒng)統(tǒng)策略如果一個(gè)個(gè)數(shù)據(jù)包包通過了了網(wǎng)絡(luò)規(guī)規(guī)則的檢檢查，IISA接接下來就就要看看看它是否否符合系系統(tǒng)策略略了。IISA220066標(biāo)準(zhǔn)版版中預(yù)設(shè)設(shè)了300條系統(tǒng)統(tǒng)策略，系統(tǒng)策策略應(yīng)用用于ISSA本地地主機(jī)，控制著著從其他他網(wǎng)絡(luò)到到本地主主機(jī)或者者從本地地主機(jī)到到其他網(wǎng)網(wǎng)絡(luò)的通通訊，系系統(tǒng)策略略中啟用用了一些些諸如遠(yuǎn)遠(yuǎn)程管理理，日志志，網(wǎng)絡(luò)絡(luò)診斷等等功能。一般情情況下，我們對(duì)對(duì)系統(tǒng)策

7、策略只能能允許或或禁止，或?qū)ι偕贁?shù)策略略的某些些屬性作作一些修修改。以前曾經(jīng)經(jīng)有朋友友問我，為什么么ISAA安裝后后防火墻墻策略中中明明禁禁止了所所有通訊訊，但I(xiàn)ISA主主機(jī)還是是可以ppingg到其他他計(jì)算機(jī)機(jī)，是否否ISAA本機(jī)有有某些特特權(quán)呢？不是的的，ISSA能對(duì)對(duì)其他網(wǎng)網(wǎng)絡(luò)進(jìn)行行有限訪訪問完全全是由系系統(tǒng)策略略決定的的，只是是由于系系統(tǒng)策略略沒有顯顯示出來來，因此此安裝完完ISAA后我們們并沒有有注意到到它。我們來看看看系統(tǒng)統(tǒng)策略到到底有哪哪些內(nèi)容容，打開開ISAA服務(wù)器器管理，右鍵點(diǎn)點(diǎn)擊防火火墻策略略，如下下圖所示示，在查查看中選選擇“顯示系系統(tǒng)策略略規(guī)則”。如下圖所所示，我我們看

8、到到了300條系統(tǒng)統(tǒng)策略的的內(nèi)容。編輯系統(tǒng)統(tǒng)策略也也可以用用系統(tǒng)策策略編輯輯器，系系統(tǒng)策略略編輯器器為管理理員提供供了更為為友好的的管理界界面，如如下圖所所示，右右鍵點(diǎn)擊擊“防火墻墻策略”，選擇擇“編輯系系統(tǒng)策略略”。如下圖所所示，我我們可以以在系統(tǒng)統(tǒng)策略編編輯器中中編輯系系統(tǒng)策略略。系統(tǒng)策略略的優(yōu)先先級(jí)比防防火墻策策略高，因此如如果任務(wù)務(wù)可以用用系統(tǒng)策策略完成成，就不不要用防防火墻策策略。例例如有時(shí)時(shí)候我們們?yōu)榱藴y(cè)測(cè)試需要要，允許許從內(nèi)網(wǎng)網(wǎng)pinng IISA服服務(wù)器，這種需需求完全全可以用用系統(tǒng)策策略完成成，如下下圖所示示，我們們只要把把內(nèi)部網(wǎng)網(wǎng)絡(luò)添加加到允許許pinng本地地主機(jī)的的集合

9、中中，就可可以完成成任務(wù)了了。三 防火火墻策略略防火墻策策略用來來控制源源網(wǎng)絡(luò)和和目標(biāo)網(wǎng)網(wǎng)絡(luò)的通通訊，是是ISAA管理員員控制網(wǎng)網(wǎng)絡(luò)訪問問的常規(guī)規(guī)武器，也是本本文討論論的重點(diǎn)點(diǎn)所在。防火墻墻策略的的優(yōu)先級(jí)級(jí)就是按按照規(guī)則則排列的的順序，而不是是按照拒拒絕優(yōu)先先原則。由于系系統(tǒng)策略略優(yōu)先級(jí)級(jí)也是按按照序號(hào)號(hào)排列，和防火火墻策略略優(yōu)先級(jí)級(jí)完全一一樣，我我們甚至至可以把把防火墻墻策略看看成是從從31開始始編號(hào)的的系統(tǒng)策策略。數(shù)據(jù)包通通過網(wǎng)絡(luò)絡(luò)規(guī)則的的檢查后后，就要要面臨系系統(tǒng)策略略和防火火墻策略略的考驗(yàn)驗(yàn)了。IISA將將從第一一條策略略開始檢檢查，檢檢查數(shù)據(jù)據(jù)包的訪訪問請(qǐng)求求是否匹匹配策略略，如果果

10、匹配，就按照照策略的的規(guī)定執(zhí)執(zhí)行，結(jié)結(jié)果無非非是禁止止或允許許。如果果不匹配配，ISSA就將將按順序序檢查下下一條策策略，從從第一條條系統(tǒng)策策略一直直檢查到到最后一一條防火火墻策略略。那有有人要問問了，如如果把所所有策略略都檢查查完了還還不匹配配怎么辦辦？呵呵呵，這是是不可能能的，IISA自自帶的最最后一條條防火墻墻策略內(nèi)內(nèi)容是禁禁止所有有網(wǎng)絡(luò)間間的一切切通訊，如下圖圖所示，這條防防火墻策策略可以以與所有有的網(wǎng)絡(luò)絡(luò)訪問相相匹配，因此IISA實(shí)實(shí)際上使使用了隱隱式拒絕絕，也就就是說如如果某個(gè)個(gè)訪問請(qǐng)請(qǐng)求如果果沒有被被策略顯顯式允許許，那肯肯定會(huì)被被最后一一條防火火墻策略略所拒絕絕。看了上面面的介

11、紹紹，我們們要注意意兩點(diǎn)，一是策策略順序序，二是是策略匹匹配。A 策略略順序防火墻策策略的排排列順序序決定了了優(yōu)先級(jí)級(jí)，排在在前面的的策略優(yōu)優(yōu)先執(zhí)行行，根據(jù)據(jù)這個(gè)原原則，我我們要好好好設(shè)計(jì)計(jì)一下防防火墻策策略的順順序。例例如，我我們寫了了兩條防防火墻策策略，一一條是允允許內(nèi)網(wǎng)網(wǎng)用戶任任意訪問問，另外外一條是是拒絕內(nèi)內(nèi)網(wǎng)用戶戶訪問聯(lián)聯(lián)眾游戲戲網(wǎng)站。如果排排列順序序如下圖圖所示，允許策策略排在在拒絕策策略之前前，那就就是個(gè)錯(cuò)錯(cuò)誤的決決定。拒拒絕訪問問聯(lián)眾的的策略永永遠(yuǎn)不會(huì)會(huì)被執(zhí)行行，因?yàn)闉楫?dāng)用戶戶訪問聯(lián)聯(lián)眾時(shí)，訪問請(qǐng)請(qǐng)求匹配配第一條條防火墻墻策略，用戶就就被防火火墻放行行了，第第二條策策略根本本沒

12、有執(zhí)執(zhí)行的機(jī)機(jī)會(huì)。正正確的做做法是將將拒絕策策略放到到允許策策略之前前！B 策略略匹配策略匹配配是ISSA管理理員關(guān)注注的核心心問題。前面我我們一直直在提如如果網(wǎng)絡(luò)絡(luò)訪問和和防火墻墻策略匹匹配，則則按防火火墻策略略執(zhí)行允允許或禁禁止的操操作。那那么，問問題是，怎么才才算和防防火墻策策略匹配配呢？只有把這這個(gè)問題題搞清楚楚了，才才能寫出出符合你你設(shè)計(jì)初初衷的策策略。當(dāng)ISAA檢測(cè)到到訪問請(qǐng)請(qǐng)求時(shí)，ISAA會(huì)檢查查訪問請(qǐng)請(qǐng)求能否否匹配防防火墻策策略中的的策略元元素，策策略元素素的檢查查順序?yàn)闉?協(xié)議，從（源源網(wǎng)絡(luò)），計(jì)劃劃時(shí)間，到（目目標(biāo)網(wǎng)絡(luò)絡(luò)），用用戶，內(nèi)內(nèi)容類型型。如果果和這些些元素都都能匹配

13、配，ISSA就認(rèn)認(rèn)為訪問問請(qǐng)求匹匹配防火火墻策略略。從被檢查查的策略略元素來來看， 到（目目標(biāo)網(wǎng)絡(luò)絡(luò)）元素素最容易易出問題題。目標(biāo)網(wǎng)絡(luò)絡(luò)元素的的問題容容易出在在哪兒呢呢？容易易出現(xiàn)在在DNSS上，確確切地說說是出現(xiàn)現(xiàn)在DNNS的反反向解析析上！這這個(gè)結(jié)論論估計(jì)是是很多管管理員始始料未及及的，還還是舉個(gè)個(gè)例子加加以說明明吧，假假設(shè)我們們要禁止止內(nèi)網(wǎng)訪訪問百度度，我見見過很多多管理員員的處理理方法都都是這樣樣的，首首先創(chuàng)建建一個(gè)域域名集，將 HYPERLINK / HYPERLINK / htttp:/m/包含含進(jìn)去，如下圖圖所示。然后就寫寫出一條條拒絕內(nèi)內(nèi)網(wǎng)訪問問百度的的訪問規(guī)規(guī)則，如如下圖所所

14、示我們?cè)谝灰慌_(tái)內(nèi)網(wǎng)網(wǎng)計(jì)算機(jī)機(jī)Dennverr上測(cè)試試一下，Dennverr使用Weeb代理理訪問百百度，如如下圖所所示，錯(cuò)錯(cuò)誤信息息表明IISA拒拒絕了DDenvver訪訪問百度度的請(qǐng)求求。這說說明訪問問請(qǐng)求和和拒絕百百度訪問問的防火火墻策略略匹配成成功，哈哈哈，看看樣子大大功告成成了？且且慢，再再向下看看。我們?cè)贒Denvver上上換用IIP訪問問，在IIE中輸輸入2002.1108.22.5，如如下圖所所示，熟熟悉的百百度界面面已經(jīng)出出來了，哈哈，貌似嚴(yán)嚴(yán)謹(jǐn)?shù)脑L訪問規(guī)則則竟如此此不堪一一擊！這這說明這這次的訪訪問請(qǐng)求求沒有和和拒絕百百度訪問問的防火火墻策略略匹配成成功，而而是和第第二條允允

15、許內(nèi)網(wǎng)網(wǎng)用戶任任意訪問問的防火火墻策略略匹配成成功了?？吹竭@兒兒，有些些朋友可可能得出出結(jié)論了了，哦，原來用用域名禁禁止訪問問某個(gè)網(wǎng)網(wǎng)站是不不成立的的。錯(cuò)！如果2202.1088.222.5的的反向解解析結(jié)果果為 HYPERLINK / htttp:/m/，那那么拒絕絕百度的的防火墻墻策略就就是成立立的！還是來認(rèn)認(rèn)真分析析一下原原理吧，當(dāng)客戶戶機(jī)用HHTTPP協(xié)議訪訪問目標(biāo)標(biāo)網(wǎng)絡(luò)時(shí)時(shí)，ISSA判斷斷目標(biāo)網(wǎng)網(wǎng)絡(luò)的根根據(jù)是HHTTPP主機(jī)頭頭，主機(jī)機(jī)頭的內(nèi)內(nèi)容顯然然源自我我們?cè)跒g瀏覽器中中的輸入入。當(dāng)我我們?cè)跒g瀏覽器中中輸入 HYPERLINK / hhttpp:/wwww.baaiduu.coo

16、m/時(shí)時(shí)，ISSA開始始檢查訪訪問請(qǐng)求求能否匹匹配第一一條防火火墻策略略，也就就是拒絕絕內(nèi)網(wǎng)訪訪問百度度的那條條策略。ISAA先檢查查協(xié)議，從（源源網(wǎng)絡(luò)），計(jì)劃劃時(shí)間三三個(gè)元素素，這三三個(gè)元素素都能和和訪問請(qǐng)請(qǐng)求匹配配，然后后ISAA檢查到到（目標(biāo)標(biāo)網(wǎng)絡(luò)）元素，ISAA根據(jù)主主機(jī)頭內(nèi)內(nèi)容判斷斷訪問請(qǐng)請(qǐng)求中的的目標(biāo)網(wǎng)網(wǎng)絡(luò)是 HYPERLINK / hhttpp:/wwww.baaiduu.coom/，而防火火墻策略略中的目目標(biāo)網(wǎng)絡(luò)絡(luò)元素也也包含了了 HYPERLINK / htttp:/wwww.bbaiddu.ccom/，因此此ISAA判斷訪訪問請(qǐng)求求和到（目標(biāo)網(wǎng)網(wǎng)絡(luò)）元元素也能能匹配上上。然

17、后后ISAA檢查用用戶和內(nèi)內(nèi)容類型型兩個(gè)元元素也可可以匹配配，所以以ISAA判斷訪訪問請(qǐng)求求和拒絕絕訪問百百度的防防火墻策策略完全全匹配，于是按按照防火火墻策略略的要求求拒絕了了這次訪訪問請(qǐng)求求。當(dāng)我們?cè)谠跒g覽器器中輸入入2022.1008.222.55時(shí)，ISSA是這這么檢查查的。首首先還是是判斷 協(xié)議，從（源源網(wǎng)絡(luò)），計(jì)劃劃時(shí)間三三個(gè)元素素匹配策策略，然然后檢查查到（目目標(biāo)網(wǎng)絡(luò)絡(luò)）元素素，ISSA判斷斷訪問請(qǐng)請(qǐng)求的目目標(biāo)是2202.1088.222.5，而防火火墻策略略的目標(biāo)標(biāo)網(wǎng)絡(luò)是是包含 HYPERLINK / hhttpp:/wwww.baaiduu.coom/的的域名集集，這時(shí)時(shí)IS

18、AA會(huì)對(duì)2002.1108.22.5進(jìn)行行DNSS反向解解析，如如果解析析的結(jié)果果等于 HYPERLINK / hhttpp:/wwww.baaiduu.coom/。，ISSA就認(rèn)認(rèn)為訪問問請(qǐng)求的的目標(biāo)網(wǎng)網(wǎng)絡(luò)和策策略的目目標(biāo)網(wǎng)絡(luò)絡(luò)也是匹匹配的。如果反反向解析析的結(jié)果果不等于于 HYPERLINK / htttp:/wwww.bbaiddu.ccom/（解析析的結(jié)果果確實(shí)不不是百度度的域名名），IISA就就認(rèn)為訪訪問請(qǐng)求求的目標(biāo)標(biāo)網(wǎng)絡(luò)和和防火墻墻策略的的目標(biāo)網(wǎng)網(wǎng)絡(luò)不匹匹配。這這樣ISSA就會(huì)會(huì)停止匹匹配第一一條拒絕絕訪問百百度的防防火墻策策略，轉(zhuǎn)轉(zhuǎn)而匹配配第二條條允許內(nèi)內(nèi)網(wǎng)任意意訪問的的防火墻墻

19、策略，匹配結(jié)結(jié)果是完完全成功功，因此此ISAA執(zhí)行第第二條防防火墻策策略規(guī)定定的動(dòng)作作，允許許了對(duì)2202.1088.222.5的的訪問。如果客戶戶機(jī)不是是用HTTTP協(xié)協(xié)議訪問問目標(biāo)網(wǎng)網(wǎng)絡(luò)，那那么匹配配的過程程又稍微微有些不不同。例例如客戶戶機(jī)用FFTP協(xié)協(xié)議訪問問 HYPERLINK / htttp:/wwww.bbaiddu.ccom/，那么么客戶機(jī)機(jī)在發(fā)送送訪問請(qǐng)請(qǐng)求時(shí)不不會(huì)把 HYPERLINK / hhttpp:/wwww.baaiduu.coom/作作為目標(biāo)標(biāo)網(wǎng)絡(luò)，而是先先對(duì) HYPERLINK / htttp:/m/進(jìn)行行域名解解析，然然后把解解析出來來的IPP作為目目標(biāo)網(wǎng)絡(luò)絡(luò)

20、發(fā)送給給ISAA。ISAA對(duì)訪問問請(qǐng)求進(jìn)進(jìn)行匹配配時(shí)，如如果被匹匹配的防防火墻策策略用域域名描述述目標(biāo)網(wǎng)網(wǎng)絡(luò)，IISA就就會(huì)對(duì)訪訪問請(qǐng)求求發(fā)來的的IP進(jìn)行行反向解解析，看看解析出出的域名名能否和和防火墻墻策略的的目標(biāo)網(wǎng)網(wǎng)絡(luò)相匹匹配。根根據(jù)這個(gè)個(gè)結(jié)論，我們用用IE訪問問 HYPERLINK / htttp:/wwww.bbaiddu.ccom/會(huì)被拒拒絕，因因?yàn)閯偛挪欧治鲞^過了，此此時(shí)客戶戶機(jī)將域域名 HYPERLINK / htttp:/m/作為為訪問請(qǐng)請(qǐng)求中的的目標(biāo)網(wǎng)網(wǎng)絡(luò)發(fā)送送給ISSA，ISAA認(rèn)為訪訪問請(qǐng)求求和拒絕絕訪問百百度的防防火墻策策略完全全匹配，因此客客戶機(jī)被被拒絕訪訪問。但但如

21、果客客戶機(jī)在在命令行行下輸入入tellnett HYPERLINK / htttp:/m/ 880，如如下圖所所示，直直接連接接百度的的80端口口，ISSA會(huì)如如何處理理呢？如下圖所所示，IISA對(duì)對(duì)訪問請(qǐng)請(qǐng)求放行行了，顯顯然這次次的訪問問請(qǐng)求沒沒有和拒拒絕訪問問百度的的策略匹匹配上，原因是是什么呢呢？客戶機(jī)ttelnnet百百度800端口時(shí)時(shí)，我在在ISAA上啟用用了實(shí)時(shí)時(shí)日志，日志記記錄的結(jié)結(jié)果如下下圖所示示。從日日志上我我們很清清楚地看看到，客客戶機(jī)先先對(duì) HYPERLINK / htttp:/m/進(jìn)行行了DNNS解析析，解析析結(jié)果為為2022.1008.222.55，然后后客戶機(jī)機(jī)把2002.1108