ISA Server 2004中的锁定模式
现在有很多非常优秀的软件防火墙,它们都是作为服务启动的,但是在防火墙服务完全启动以前,网络是不会受到此防火墙的防护,所以在这个防火墙服务的启动期,网络仍然是不安全的;还有在防火墙服务停止的时候,很多软件防火墙就丧失了它应有的检查网络通信的功能(不过我记得Sygate Personal Firewall pro是可以做到在服务启动前和停止的时候,阻止所有网络通信)。目前很多病毒或者木马都可以作为服务启动,并且可以有比其他服务有更高的启动优先级,它可以做到比软件防火墙更快的启动,然后就不会受到防火墙的阻止。在ISA Server 2004的设计上,已经考虑到了这个问题,ISA Server 2004的核心驱动是作为硬件设备驱动来安装的,这样,它比所有的软件服务都具有更高的优先权。所以,就算ISA Server的服务没有启动,它的核心驱动也会随着硬件驱动的装载提前运行,保证网络和主机的安全。
不过,核心驱动运行的模式和ISA Server正常运行时的模式不一样,此时主要是隔离网络间的流量以保证主机和网络的安全,而不是像ISA Server服务正常运行时的处理网络间的通讯。核心驱动下运行的模式称为锁定模式(Lockdown mode)。
只要出现导致 Microsoft 防火墙服务停止的情况,ISA 服务器就进入锁定模式。当出现以下情况时会导致进入锁定模式:
- 防火墙服务没有启动或者完全启动;
- 某个事件导致防火墙服务关闭。配置警报定义时,可以决定哪些事件将导致防火墙服务关闭。实际上,就是配置 ISA 服务器何时进入锁定模式。
- 防火墙服务被手动关闭。如果您觉察到恶意攻击,可以关闭防火墙服务,同时配置 ISA 服务器计算机和网络来处理攻击。
当ISA Server处于锁定模式时,ISA Server将应用以下功能:
- 防火墙数据包筛选引擎 (fweng) 应用锁定模式下的防火墙策略,它由四条系统规则和一些硬件核心设置组成。
- 以下四条系统策略规则仍适用:
- 允许来自信任的服务器的 ICMP 传入本地主机;
- 允许远程管理计算机组中的计算机使用 MMC(通过端口 3847 执行 RPC)远程管理ISA Server防火墙;
- 允许远程管理计算机组中的计算机使用 RDP 远程管理ISA Server防火墙;
- 允许传入本地主机的DHCP回复。
- 允许来自信任的服务器的 ICMP 传入本地主机;
- 允许从本地主机网络到所有网络的传出通讯。如果已建立传出连接,可以使用该连接来响应传入的通讯。例如,DNS 查询可以在同一连接上接收 DNS 响应。
- 除非启用了某项明确允许传入通讯的系统策略规则(属于上面列出的规则),否则拒绝任何传入通讯。唯一的例外是 DHCP 通讯,该通讯始终被允许。即允许通过端口68 从所有网络到本地主机网络的 UDP 发送协议。也允许端口67 上的相应 UDP 接收协议。
- VPN 远程访问客户端不能访问 ISA 服务器。同样,在站点到站点的 VPN 方案中,也拒绝对远程站点网络的访问。
- 只有在防火墙服务重新启动,并且 ISA 服务器退出锁定模式后,才会应用在锁定模式下对网络配置所做的全部更改。例如,如果物理地移动了某个网段,并重新配置了 ISA 服务器以适应这种变动,那么新的拓扑只有在 ISA 服务器退出锁定模式后才会生效。
- ISA 服务器不触发任何警报。
当防火墙服务重新启动时,ISA 服务器会退出锁定模式并像以前一样继续运行。在 ISA 服务器退出锁定模式后才会应用对 ISA 服务器所做的全部更改。
不过,微软也提供了手动停止ISA Server核心驱动的方法,你可以在cmd下运行net stop fweng来停止ISA Server的核心驱动,但是,Microsoft ISA Server Control和Microsoft Firewall 这两个服务依赖于此核心驱动,如果你停止核心驱动,那么这两个服务也会被停止。
