探讨防火墙内核监听模式：ISA2006系列之十六

核心提示： 其实，3389端口是有进程监听的，探讨防火墙内核监听模式：ISA2006系列之十六(4)，刚才我们说了，发布非Web服务器时由防火墙内核负责端口监听，引发的故障不易发现，大家要注意到这个环节的问题，由于防火墙内核工作在数据链路层和网卡驱动之间，因此我们用NETSTAT命令查看不到防火墙内核对端口

其实，3389端口是有进程监听的，刚才我们说了，发布非Web服务器时由防火墙内核负责端口监听。由于防火墙内核工作在数据链路层和网卡驱动之间，因此我们用NETSTAT命令查看不到防火墙内核对端口的监听状况。那怎么才能知道防火墙内核在监听哪些端口呢？我们可以使用一个工具fwengmon，这个工具可以在微软网站下载，从文件名可以看出，这个工具可以监控防火墙内核引擎的工作。我们在ISA上允许fwengmon /c，如下图所示，我们可以很清楚地看到防火墙内核正在监听3389，53等端口。这下我们明白了，端口监听不一定非要委托TCP或UDP，防火墙内核也可以进行隐性的端口监听。

那接下来再考虑这个问题，如果ISA用防火墙内核监听3389端口，同时又委托TCP监听3389端口，那两者的优先级哪个高呢？从理论上分析，应该是防火墙内核优先级更高，因为解码后的物理层数据先要经过防火墙内核才能到达TCP。我们用实验证实一下，我们先停止ISA的防火墙服务，然后在ISA上打开远程桌面连接，如下图所示，最后再启动防火墙服务。

如下图所示，现在ISA服务器上TCP驱动程序和防火墙内核都在监听3389端口，它们谁的优先级更高呢？我们用Istanbul连接3389来测试一下，如果能连接到Perth的远程桌面，那说明是防火墙内核优先级高；如果访问被ISA拒绝，那说明是TCP优先级高，因为ISA不允许外网访问本机的远程桌面。

在Istanbul上测试，结果如下图所示，Instanbul连接到了Perth，这证实了防火墙内核的优先级确实要比TCP驱动高。

总结：以后如果遇到ISA发布服务器的故障，一定不要忘了可以用fwengmon检查防火墙内核对端口的监听状况，防火墙内核的端口盗用非常隐蔽，引发的故障不易发现，大家要注意到这个环节的问题。

本文出自 “岳雷的微软网络课堂” 博客，请务必保留此出处http://yuelei.blog.51cto.com/202879/89568