ISA Server 的故障排除工具
　　 10.1.3　練習(xí)：測(cè)試端口狀態(tài) 
　　　　 在這個(gè)練習(xí)中，您需要使用Netstat和Telnet命令來(lái)斷定ISA Server計(jì)算機(jī)的端口狀態(tài)。此技術(shù)可用來(lái)驗(yàn)證安全或用來(lái)斷定ISA Server計(jì)算機(jī)上運(yùn)行的服務(wù)對(duì)外部站點(diǎn)是否　　可用。 

　　 練習(xí)：測(cè)試ISA Server端口 
　　　　 在這個(gè)練習(xí)中，在命令提示符中運(yùn)行Netstat實(shí)用程序，并注意ISA Server的外部接口上打開(kāi)了不同的端口。 

　　 Ø　　　　　測(cè)試ISA Server計(jì)算機(jī)的端口狀態(tài)： 

　　 1.　　以Administrator身份登錄到Server1。 

　　 2.　　單擊Start，選擇Run。 

　　 出現(xiàn)Run對(duì)話框。 

　　 3.　　在Open文本框中，輸入cmd并單擊OK。 

　　 出現(xiàn)命令提示符。 

　　 4.　　在命令提示符中，輸入netstat -an -p TCP。 

　　 出現(xiàn)ISA Server計(jì)算機(jī)的所有活動(dòng)TCP端口的輸出信息。在輸出屏幕上，左邊一列帶端口號(hào)的IP地址代表每一個(gè)活動(dòng)連接的本地地址，右邊一列帶端口號(hào)的IP地址代表每一個(gè)活動(dòng)連接的外部地址。輸出中的大多數(shù)本地地址都指內(nèi)部接口192.168.0.1。不過(guò)，在列表的末端可能有一些連接的本地地址是ISA Server的外部IP地址。 

　　 5.　　 在ISA Server的外部接口中，當(dāng)前有多少個(gè)活動(dòng)連接？仔細(xì)檢查這些連接的外部地址。這些地址真的是外部遠(yuǎn)程地址，或者僅僅是同一本地地址的另一個(gè)端口？這些外部地址中的哪些端口是用來(lái)向ISA Server計(jì)算機(jī)的外部接口發(fā)送信息的？ 

　　 答案寫(xiě)在下面的空白處： 

　　 6.　　在ISA Server計(jì)算機(jī)上，打開(kāi)IE瀏覽器，并連接到外部Web站點(diǎn)，如， 

　　 http://www. microsoft.com 

　　 。 

　　 7.　　當(dāng)Web頁(yè)面正在IE瀏覽器中下載時(shí)，切換到命令提示符窗口，再次輸入netstat -an -p TCP。 

　　 出現(xiàn)ISA Server計(jì)算機(jī)的所有活動(dòng)TCP端口的輸出信息。 

　　 8.　　查看輸出列表的末端。與第5步的答案相比，ISA Server計(jì)算機(jī)的外部端口上有多少個(gè)活動(dòng)連接？看見(jiàn)以前沒(méi)有列出的外部地址的活動(dòng)端口嗎？在查看該數(shù)據(jù)后，可以斷定是哪個(gè)外部端口是用來(lái)向本地的外部IP地址發(fā)送Web數(shù)據(jù)的嗎？ 

　　 9.　　該Web數(shù)據(jù)是發(fā)送到ISA Server計(jì)算機(jī)外部接口上的哪個(gè)本地端口的？這些端口都是動(dòng)態(tài)的。每個(gè)連接之間都不一樣。在下面的空白處寫(xiě)下這些端口的相應(yīng)的數(shù)字。 

　　 假設(shè)發(fā)現(xiàn)網(wǎng)絡(luò)有被入侵的跡象，檢測(cè)黑客可能試圖要通過(guò)的外部端口的狀態(tài)，以排除安全故障。您可以試著telnet連接試到外部端口，看該端口上的服務(wù)是否對(duì)連接請(qǐng)求作出響應(yīng)(通常來(lái)說(shuō)，需要在外部計(jì)算機(jī)上執(zhí)行此操作)。 

　　 10.　嘗試telnet連接到在第9步寫(xiě)下的外部端口。方法是在在命令提示符中輸入telnet [externa_ip_address][port_number]。此處[externa_ip_address]是當(dāng)前分配給ISA Server計(jì)算機(jī)的外部IP地址，[port_number]是第9步中記下的本地端口號(hào)之一，(例如telnet 64.43.113.110　10123)。 

　　 出現(xiàn)一條消息，提示連接端口失敗。此端口不是偵聽(tīng)端口。當(dāng)端口接收外部連接時(shí)，要么出現(xiàn)空白屏幕，要么是該端口上通信的服務(wù)發(fā)出的輸出信息。 

　　 11.　在命令提示符窗口，試著telnet連接到下表左列的每一個(gè)端口。指定當(dāng)前分配給計(jì)算機(jī)的外部IP地址。例如，如果您的IP地址是64.43.113.110 25，您可以在命令提示符中輸入telnet 64.43.113.110 25，就可以telnet連接到端口25。在下表的右列寫(xiě)下這些端口的打開(kāi)或關(guān)閉狀態(tài)。 

　　 端口號(hào)　　　　 端口狀態(tài) 

　　 25 

　　 7 

　　 389 

　　 443 

　　 21 

　　 8080 

　　 1030 

　　 端口開(kāi)放并不意味著有安全弱點(diǎn)。但是，出于安全考有些端口慮最好不要處于靜態(tài)打開(kāi)狀態(tài)，如15(Netstat)、21(FTP)、23(Telnet)、25(SMTP)、79(Finger)和80(HTTP)。 

　　 12.　關(guān)閉命令提示答窗口。 

　　 10.1.4　小結(jié) 
　　 進(jìn)行ISA Server故障排除時(shí)，有許多可用的工具。其中，第一步可以使用ISA Server報(bào)告。它可以確定性能故障的原因。事件查看器顯示了ISA Server服務(wù)生成的所有事件消息。ISA Server 性能監(jiān)視器能解決有關(guān)網(wǎng)絡(luò)使用、硬件和配置上的問(wèn)題。Netstat是一種命令行工具，可以顯示所有活動(dòng)TCP或UDP連接，這對(duì)排除安全和連接問(wèn)題很有幫助。此外，也可以利用Telnet實(shí)用程序來(lái)檢查服務(wù)器是否通過(guò)某個(gè)給定端口接收命令。網(wǎng)絡(luò)監(jiān)視器可以捕獲并顯示W(wǎng)indows 2000服務(wù)器從局域網(wǎng)接收的幀內(nèi)容。最后，Route命令可以驗(yàn)證和修改路由表，確認(rèn)通過(guò)可行的路由所有的網(wǎng)段都能被訪問(wèn)。 （小節(jié)完）

最新評(píng)論