Matching delle Firewall Access Rule di ISA Server

Il matching delle Firewall Access Rule di ISA Server a volte non è proprio intuitivo come ci si aspetterebbe (o forse solo come mi aspetterei).
Innanzitutto va detto che una Firewall Access Rule viene presa in considerazione se soddisfa i seguenti elementi nel seguente ordine:

  • Protocol
  • From (source)
  • Schedule
  • To (destination)
  • Users
  • Content groups

Vi sono però delle particolarità una in particolare riguarda l’elemento Users: se una rule che richiede autenticazione processa una richiesta anonima questa richiesta verrà negata anche se è una Allow rule.

Ciò significa che è importatre l’ordine delle rule si cosiderino per esempio queste rule:
#1 HTTP – Internal – Always – External – All Auth Users – All – Allow
#2 HTTP – Internal – Always – URLs – All Users – All – Allow

In  questo caso la rule #1 blocca tutte le richeste anonime (client su cui ISA è definito come gateway) per HTTP. Per fare in modo che le richieste anonime siano accettate verso le URLs consentite occorre invertire le rule.

Per maggiori informazioni si veda l’ articolo Understanding the ISA 2004 Access Rule Processing in cui è disponibile il seguente schema che mostra il flusso con cui viene gestito il Matching delle Firewall Access Rule.