一旦出现导致 Microsoft 防火墙服务关闭的情况, ISA 服务器就进入锁定模式(Lockdown mode)
什么情况下可能导致 MICROSOFT 防火墙服务关闭呢?
1 ,某个事件导致 MS 防火墙服务意外关闭
2 ,手动关闭了 MS 防火墙服务
 
在我理解的防火墙中大多数都是以服务启动的,但是在防火墙完全启动完毕之前,网络依然是不安全的。如果各位有部署过 WINDOWS SERVER 2003 就知道,在完成安装之后,有个提示警告安全配置。在你点击完成之前整个系统都是受保护状态的,这种方法的好处就是避免在新装之后的系统存在安全问题,这种思路同样映射到网络中。
ISA Server 有个特点就是核心驱动是作为硬件驱动来安装的,这有一个好处,就是具有高优先权。意思就是在启动时具有优先权, ISA Server 就可以在第一道防线保护网络安全。这种核心驱动运行的模式就称之为锁定模式( Loc kdown mode )。与 ISA Server 正常模式不一样,此时锁定模式是隔离限制网络间的流量;而 ISA Server 则是正常处理网络间的通信。
 
ISA 服务器进入锁定模式後,将应用以下功能:
  • 数据包筛选引擎 (fweng) 应用防火墙策略。
  • 以下系统策略规则仍适用:
    • 允许来自信任的服务器的 ICMP 传入本地主机。
    • 允许使用 MMC(通过端口 3847 执行 RPC)远程管理防火墙。
    • 允许使用 RDP 远程管理防火墙。
  • 允许从本地主机网络到所有网络的传出通讯。如果已建立传出连接,可以使用该连接来响应传入的通讯。例如,DNS 查询可以在同一连接上接收 DNS 响应。
  • 除非启用了某项明确允许传入通讯的系统策略规则(属于上面列出的规则),否则不允许任何传入通讯。一个例外是默认系统策略规则允许的 DHCP 通讯。允许在从所有网络到本地主机网络的通讯中使用端口 68 上的 UDP 发送协议。也允许端口 67 上的相应 UDP 接收协议。
  • ××× 远程访问客户端不能访问 ISA 服务器。同样,在站点到站点的 ××× 方案中,也拒绝对远程站点网络的访问。
  • 只有在防火墙服务重新启动,并且 ISA 服务器退出锁定模式后,才会应用在锁定模式下对网络配置所做的全部更改。例如,如果以物理方式移动了某个网段,并重新配置了 ISA 服务器以适应这种变动,那么新的拓扑只有在 ISA 服务器退出锁定模式后才会生效。
  • ISA 服务器不触发任何警报。
如果在运行 ISA 服务器服务的计算机上安装了配置存储服务器,将启用名为“允许从受信任的服务器访问本地配置存储服务器”的系统策略规则。此系统策略允许所有阵列成员使用 Microsoft CIFS (TCP)、Microsoft CIFS (UDP) 和 MS Firewall Storage 协议来访问本地主机。此规则即便在锁定模式下也适用。使用这些协议的通讯即便在锁定模式下也被允许。
 
当防火墙服务重新启动时,ISA 服务器会退出锁定模式并像以前一样继续运行。在 ISA 服务器退出锁定模式后才会应用对 ISA 服务器配置所做的全部更改。
微软也提供了手动停止ISA Server核心驱动的方法,你可以在cmd下运行net stop fweng来停止ISA Server的核心驱动,但是,Microsoft ISA Server Control和Microsoft Firewall 这两个服务依赖于此核心驱动,如果你停止核心驱动,那么这两个服务也会被停止。