[转载]学习和认识ISA相关服务

信息来源：windows中文站

第一步就是先找出安装ISA后所注册的服务，这些服务太分散，无法抓图

icrosoft Firewall　　　　　　　　　　　　服务名：fwsrv　状态：自动
Microsoft ISA Server Control　　　　　 服务名：isactrl　状态：自动
Microsoft ISA Server Job Scheduler　　服务名：isasched　状态：自动
Microsoft ISA Server Storage　　　　　服务名：isastg　状态：自动
MSSQL$MSFW　　　　　　　　　　　　 服务名：MSSQL$MSFW　状态：自动
MSSQLServerADHelper　　　　　　　　服务名：MSSQLServerADHelper　状态：手动
SQLAgent$MSFW　　　　　　　　　　 服务名：SQLAgent$MSFW　状态：手动

用的是2003全新完整安装ISA2004标准版
如上所有服务状态目前都是正常的，我做的实验还是个空策略。要的就是这个效果
内部或本机暂不能访问除MS之外的页面，外部也无法ping通本机

在CMD下用命令直接停止fweng　net stop fweng /y 显示如下

C:\Documents and Settings\Administrator>net stop fweng /y
下面的服务依赖于 Microsoft Firewall Packet Engine 驱动程序 服务。
停止 Microsoft Firewall Packet Engine 驱动程序 服务也会停止这些服务。

Microsoft ISA Server Job Scheduler
Microsoft Firewall
Microsoft ISA Server Control

Microsoft ISA Server Job Scheduler 服务正在停止.
Microsoft ISA Server Job Scheduler 服务已成功停止。

Microsoft Firewall 服务正在停止..
Microsoft Firewall 服务已成功停止。

Microsoft ISA Server Control 服务正在停止.
Microsoft ISA Server Control 服务已成功停止。

Microsoft Firewall Packet Engine 驱动程序 服务已成功停止。

然后在控制台监视服务中观察，除了数据引擎外，其它的全停止了


并在services.msc中查看之上列出的服务
发现除了Microsoft ISA Server Storage与MSSQL$MSFW这两个服务之处，其它都停止了。觉得奇怪，查看这两个未停的服务属性，发现这两个服务根本不依赖于停止的服务，反而是被停止的服务依赖于未停的服务。所以在用上面的命令之后，这两个服务不受影响，依然是在启动状态。数据引擎并不会被停止，先不管它
然后在本机打开IE直接上163，却出面空白页面，才想起来用的是WEB代理方式，改为SNET后，刷新页面后立马就通，网站很快就得到响应。呵呵，防火墙服务被停止了，它也无法为你代理。如elecman所言，如没有安装过ISA一样的效果

说起这个fweng这个东东，很奇怪，它并不是个服务，它是基于IP协议栈的核心驱动，并且是系统核心级的。不能在界面上停止。此命令也不能帮你停止数据引擎服务。在services.msc中停止上面没能停止的MSSQL$MSFW服务，在ISA界面中刷新后数据引擎会显示为停止状态，手工在界面停止也可以。说白了只不过是停止了MSDE引擎，而存储配置服务还在运行。那么FWENG作为系统级的驱动真的停止了吗？而且这个驱动是在那里启动的？



原来FWENG驱动由四个子驱动组成。而且全在设备管理器非既插既用界面中
在这里可以看到它作为系统级驱动的原因





这四张图的状态都是默认的，不应该被改变，动了它破坏性很大，呵呵，试过啦

如果用 net start fweng 命令启动防火墙服务的时候，它检查自身状态，但是它并不会帮你启动防火墙服务，防火墙相关的服务却都是基于它来启动的。
当想要在CMD中启动防火墙服务时，用了 net start fwsrv 命令，防火墙服务被启动起来，但任务计划服务也不会启动，如果开了VPN服务，也不会被启动，此两个服务都要手工启动。fwsrv只启动了由它所依赖的服务。其它的服务要手工开启。

总结就是确认了用fweng停止了相关服务后，确实可以象无安装一样，侦查本地到网络间的通信是否由ISA引起，但它并不会代理客户IP上公网或参与内部路由，纯粹的一台边缘主机罢了。

原帖地址：
http://www.isacn.org/bbs/index.php?showtopic=19007