WEB开发网
开发学院网络安全防火墙 探讨防火墙内核监听模式:ISA2006系列之十六 阅读

探讨防火墙内核监听模式:ISA2006系列之十六

 2010-09-30 12:14:54 来源:WEB开发网   
核心提示: 其实,3389端口是有进程监听的,探讨防火墙内核监听模式:ISA2006系列之十六(4),刚才我们说了,发布非Web服务器时由防火墙内核负责端口监听,引发的故障不易发现,大家要注意到这个环节的问题,由于防火墙内核工作在数据链路层和网卡驱动之间,因此我们用NETSTAT命令查看不到防火墙内核对端口

探讨防火墙内核监听模式:ISA2006系列之十六

其实,3389端口是有进程监听的,刚才我们说了,发布非Web服务器时由防火墙内核负责端口监听。由于防火墙内核工作在数据链路层和网卡驱动之间,因此我们用NETSTAT命令查看不到防火墙内核对端口的监听状况。那怎么才能知道防火墙内核在监听哪些端口呢?我们可以使用一个工具fwengmon,这个工具可以在微软网站下载,从文件名可以看出,这个工具可以监控防火墙内核引擎的工作。我们在ISA上允许fwengmon /c,如下图所示,我们可以很清楚地看到防火墙内核正在监听3389,53等端口。这下我们明白了,端口监听不一定非要委托TCP或UDP,防火墙内核也可以进行隐性的端口监听。

探讨防火墙内核监听模式:ISA2006系列之十六

那接下来再考虑这个问题,如果ISA用防火墙内核监听3389端口,同时又委托TCP监听3389端口,那两者的优先级哪个高呢?从理论上分析,应该是防火墙内核优先级更高,因为解码后的物理层数据先要经过防火墙内核才能到达TCP。我们用实验证实一下,我们先停止ISA的防火墙服务,然后在ISA上打开远程桌面连接,如下图所示,最后再启动防火墙服务。

探讨防火墙内核监听模式:ISA2006系列之十六

如下图所示,现在ISA服务器上TCP驱动程序和防火墙内核都在监听3389端口,它们谁的优先级更高呢?我们用Istanbul连接3389来测试一下,如果能连接到Perth的远程桌面,那说明是防火墙内核优先级高;如果访问被ISA拒绝,那说明是TCP优先级高,因为ISA不允许外网访问本机的远程桌面。

探讨防火墙内核监听模式:ISA2006系列之十六

在Istanbul上测试,结果如下图所示,Instanbul连接到了Perth,这证实了防火墙内核的优先级确实要比TCP驱动高。

探讨防火墙内核监听模式:ISA2006系列之十六

总结:以后如果遇到ISA发布服务器的故障,一定不要忘了可以用fwengmon检查防火墙内核对端口的监听状况,防火墙内核的端口盗用非常隐蔽,引发的故障不易发现,大家要注意到这个环节的问题。

本文出自 “岳雷的微软网络课堂” 博客,请务必保留此出处http://yuelei.blog.51cto.com/202879/89568

上一页  1 2 3 4 

Tags:探讨 防火墙 内核

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接