锁定模式

防火墙的一项关键功能是应对攻击。当攻击出现时，第一道防线似乎是断开与 Internet 的连接，将受到安全威胁的网络与恶意入侵者隔开。但是，这并不是建议的防范措施。尽管必须处理攻击，但正常的网络连接必须尽快恢复，并且必须确定攻击源。

ISA Server 2004 引入的锁定功能将隔离需求与保持连接的需求结合起来。一旦出现导致 Microsoft 防火墙服务关闭的情况，ISA 服务器就进入锁定模式。当出现以下情况时会导致进入锁定模式：

• 某个事件导致防火墙服务关闭。配置警报定义时，可以决定哪些事件将导致防火墙服务关闭。实际上，就是配置 ISA 服务器何时进入锁定模式。
• 防火墙服务被手动关闭。如果您觉察到恶意攻击，可以关闭防火墙服务，同时配置 ISA 服务器计算机和网络来处理攻击。

受影响的功能

当处于锁定模式时，将应用以下功能：

• 防火墙数据包筛选引擎 (fweng) 应用防火墙策略。
• 以下系统策略规则仍适用：
  • 允许来自信任的服务器的 ICMP 传入本地主机。
  • 允许使用 MMC（通过端口 3847 执行 RPC）远程管理防火墙。
  • 允许使用 RDP 远程管理防火墙。
• 允许从本地主机网络到所有网络的传出通讯。如果已建立传出连接，可以使用该连接来响应传入的通讯。例如，DNS 查询可以在同一连接上接收 DNS 响应。
• 除非启用了某项明确允许传入通讯的系统策略规则（属于上面列出的规则），否则不允许任何传入通讯。一个例外是 DHCP 通讯，该通讯始终被允许。即允许通过端口 68 从所有网络到本地主机网络的 UDP 发送协议。也允许端口 67 上的相应 UDP 接收协议。
• VPN 远程访问客户端不能访问 ISA 服务器。同样，在站点到站点的 VPN 方案中，也拒绝对远程站点网络的访问。
• 只有在防火墙服务重新启动，并且 ISA 服务器退出锁定模式后，才会应用在锁定模式下对网络配置所做的全部更改。例如，如果物理地移动了某个网段，并重新配置了 ISA 服务器以适应这种变动，那么新的拓扑只有在 ISA 服务器退出锁定模式后才会生效。
• ISA 服务器不触发任何警报。

退出锁定模式

当防火墙服务重新启动时，ISA 服务器会退出锁定模式并像以前一样继续运行。在 ISA 服务器退出锁定模式后才会应用对 ISA 服务器所做的全部更改。

---

请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。