我們回到ISA的情況，如果采用被動模式，由于IIS是完全隨機的選擇一個端口，并告知客戶，然后客戶進行主動連接，這就意味著在ISA上，你要讓所有的端口都允許動態(tài)入站連接才行，這樣肯定不行，因為太危險了，等于打開了所有的端口連接。

　　如果采用主動模式（PORT Mode)，IIS選擇好端口后，主動與客戶進行連接，這時候不需要像PASV模式那樣打開所有的動態(tài)入站連接，而且正好相反，我們需要打開所有的動態(tài)出站連接即可，安全性增加很多。而且由ISA的IP PACKET FILTER只對ISA本機起作用，不會造成局域網(wǎng)內的客戶“放了羊”。

　　所以，我個人這樣做的：

　　（1）由于IIS和ISA都在一臺機器上，所以它倆都在偵聽21號端口（IIS默認情況下會偵聽所有地址的21端口），所以我們首先要讓IIS只偵聽內網(wǎng)地址的PORT 21，在DOS下，你可以通過NETSTAT -NA > abc.txt，然后打開這個文件，你會看到0.0.0.0 21 LISTENING字樣。

　　輸入如下命令：

　　net stop msftpsvc （停止FTP服務）
　　進入/Inetpub/adminscripts/目錄
　　cscript adsutil.vbs set msftpsvc/disablesocketpooling true （停止偵聽）
　　net start msftpsvc （啟動FTP服務）

　　（2）在IIS控制臺里面，ftp->Property->FTP Site->IP Address改為內網(wǎng)地址。現(xiàn)在，F(xiàn)TP服務只偵聽內網(wǎng)IP的21號端口了。

　　（3）大家可能這時候有疑問，如果是IIS主動連接客戶端，那客戶端的防火墻是不是會阻止這個連接（PASV模式不存在這個問題）。為了防止這種情況，我們可以強制IIS不能與客戶端的任意端口進行連接，而只有客戶端連接IIS的端口進行數(shù)據(jù)傳輸。這樣就可以解決PORT MODE與客戶端防火墻的沖突。方法：修改注冊
表，HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Msftpsvc/Parameters/，將EnablePortAttack的值由0改為1，然后重新啟動FTP服務。

　　（4）在ISA里面，使用SERVER PUBLISH的方法發(fā)布FTP服務，其中：IP address of internal server 填寫ISA的內部網(wǎng)卡的IP，IP address of external server 填寫ISA的外部網(wǎng)卡的IP，Mapped server protocol 選擇 FTP Server。

　　（5）然后在IP Packet Filter建立一條新RULES，Protocol->TCP,Direction->Outbound,Local Port->Dymanic,Remote Port->All。

　　這是我的解決辦法，但是并不完美，主要是：

　　（1）客戶不能使用PASV方法進行連接，原因上面已經(jīng)講了。

　　（2）由于第五條，所以ISA服務器隨著保證了對外部訪問的限制，卻無法限制ISA本機對外部的訪問。