珍妮模组

如下图
，ISA Server 2004安装在一台只有一个网络适配器的Internet主机上，此时 ，ISA Server将自动配置为Cache only的防火墙，可以用做Web代理 、缓存
、Web发布、OWA发布等等
，由于ISA Server 2004强大的IDS系统，它也可以为主机提供非常强大的保护 。关于在这种环境下如何发布ISA Server上的Web服务
。

在单网卡网络适配器环境下安装ISA Server的时候 ，会自动在内部网络中包含所有的IP地址
，所以在你建立访问规则时，一定要注意允许内部访问本地主机和允许本地主机访问内部(此时 ，外部网络已经没有实际作用了)。同样的
，通过ISA Server自带的单一网络适配器模板，你也可以很轻松的完成单网络适配器模型的ISA Server 2004的配置 。

二 、radius server是什么意思最好详细一点

1、 RADIUS是一种用于在需要认证其链接的网络访问服务器（NAS）和共享认证服务器之间进行认证
、授权和记帐信息的文档协议。

2、客户机／服务器体系结构网络访问服务器（NAS）作为 RADIUS客户机运行
。客户机负责将订户信息传递至指定的 RADIUS服务器 ，然后根据返回的响应进行操作。

3 、 RADIUS服务器负责接收订户的连接请求
、认证订户
，然后返回客户机所有必要的配置信息以将服务发送到订户 。

4、RADIUS服务器可以担当其它 RADIUS服务器或者是其它种类的认证服务器的代理
。

5 、通过使用加密的共享机密信息来认证客户机和 RADIUS服务器间的事务。从不通过网络发送机密信息 。此外，在客户机和 RADIUS服务器间发送任何订户密码时 ，都要加密该密码
。灵活认证机制：

6
、 RADIUS服务器可支持多种认证订户的方法。当订户提供订户名和原始密码时
，RADIUS可支持点对点协议（PPP）、密码认证协议（PAP） 、提问握手认证协议（CHAP）以及其它认证机制 。

7
、所有事务都由变长的三元组“属性-长度-值”组成
。可在不影响现有协议实现的情况下添加新属性值。

8、在“ISA服务器管理 ”的控制台树中，单击“常规
”：对于 ISA Server 2004 Enterprise Edition ，依次展开“Microsoft Internet Security and Acceleration Server 2004” 、“阵列 ”
、“Array_Name”、“配置
”，然后单击“常规” 。对于 ISA Server 2004 Standard Edition
，依次展开“Microsoft Internet Security and Acceleration Server 2004 ” 、“Server_Name
”、“配置”，然后单击“常规 ”
。在详细信息窗格中 ，单击“定义 RADIUS服务器
”。在“RADIUS服务器”选项卡上
，单击“添加 ” 。在“服务器名
”中，键入要用于身份验证的 RADIUS服务器的名称。单击“更改” ，然后在“新机密 ”中
，键入要用于 ISA服务器与 RADIUS服务器之间的安全通讯的共享机密
。必须在 ISA服务器与 RADIUS服务器上配置相同的共享机密，RADIUS通讯才能成功。在“端口
”中 ，键入 RADIUS服务器要对传入的 RADIUS身份验证请求使用的用户数据报协议(UDP) 。默认值 1812基于 RFC 2138
。对于更早的 RADIUS服务器
，请将端口值设置为 1645。在“超时（秒）”中，键入 ISA服务器将尝试从 RADIUS服务器获得响应的时间（秒） ，超过此时间之后
，ISA服务器将尝试另一台 RADIUS服务器 。如果基于共享机密的消息验证程序与每个 RADIUS消息一起发送，请选择“总是使用消息验证程序 ”
。

9
、要打开“ISA服务器管理” ，请单击“开始
”，依次指向“所有程序”、“Microsoft ISA Server ”
，然后单击“ISA服务器管理
”。当为 RADIUS身份验证配置 ISA服务器时，RADIUS服务器的配置会应用于使用 RADIUS身份验证的所有规则或网络对象 。共享机密用于验证 RADIUS消息（Access-Request消息除外）是否是配置了相同的共享机密且启用了 RADIUS的设备发送的
。请务必更改 RADISU服务器上的默认预共享密钥。配置强共享密钥 ，并经常更改
，以防止词典攻击 。强共享机密是一串很长（超过 22个字符）的随机字母 、数字和标点符号
。如果选择“总是使用消息验证程序”，请确保 RADIUS服务器能够接收并配置为接收消息验证程序。对于 VPN客户端 ，可扩展的身份验证协议(EAP)消息始终是随同消息验证程序一起发送的 。对于 Web代理客户端
，将仅使用密码身份验证协议(PAP)。如果 RADIUS服务器运行了 Internet身份验证服务(IAS)，并且为此服务器配置的 RADIUS客户端选择了“请求必须包含消息验证程序属性 ”选项 ，则必须选择“总是使用消息验证程序
”
。

三
、我仅想用windows 2003 server 来做简单的代理服务器

1、每台工作组都可以不安装杀毒软件
，但是没有任何代理服务器可以实现完全的病毒过滤，所以您的第一个需求 ，用代理服务器不可以实现。如果在活动目录的环境配置组策略的软件限制策略倒是有可能实现
，但是用户会很不爽 。

2 、任何一个代理服务器软件都可以实现这个功能 ，在Windows Server 2003平台上您可以使用CCProxy，Sygate
，ISA Server 2004/2006等，向您推荐CCProxy ，国产软件配置简单
，中文界面，帮助文档详尽
。

3
、代理服务器只代理HTTP/HTTPS/FTP这些协议 ，所以大多数软件都不能过代理
，除非该软件中可以指定代理服务器。当然CCProxy也是可以限制QQ这类聊天软件的 。

希望能按步聚教您，这个我还是推荐您去看CCProxy的帮助文档 ，配有图片
。比我这里打字好多了。这个软件安装上
，几乎不用做设置就可以实现基本功能 。

OK，本文到此结束 ，希望对大家有所帮助
。

老铁们
，大家好，相信还有很多朋友对于isa server 2004和isa server2006安装的相关问题不太懂 ，没关系，今天就由我来为大家分享分享isa server 2004以及isa server2006安装的问题
，文章篇幅可能偏长，希望可以帮助到大家 ，下面一起来看看吧！

本文目录

1. isa防火怎么配置
2. radius server是什么意思最好详细一点
3. 我仅想用windows 2003 server 来做简单的代理服务器

一、isa防火怎么配置

网络环境中是否有必要安装ISA 、是否可以安装ISA
、安装前ISA保护的内部网络中的客户如何进行配置、安装后的访问规则如何设置等问题
，本文将具体阐述一下。文章导读 1 、ISA server概述 2
、边缘防火墙模型 3、单网络与多网络模型

ISA Server 2004是目前世界上最好的路由级软件防火墙，它可以让你的企业内部网络安全 、快速的连接到Internet ，性能可以和硬件防火墙媲美
，并且深层次的应用层识别功能是目前很多基于包过滤的硬件防火墙都不具备的 。

你可以在网络的任何地方，如两个或多个网络的边缘层(Lan到Internet、Lan到Lan
、Lan到DMZ、Lan到VPN等等) 、单个主机上配置ISA Server 2004来对你的网络或主机进行防护
。

ISA Server 2004对于安装的要求非常低 ，可以说
，目前的服务器对于ISA Server 2004的硬件系统需求都是绰绰有余的。

ISA Server作为一个路由级的软件防火墙，要求管理员要熟悉网络中的路由设置
、TCP/IP设置、代理设置等等 ，它并不像其他单机防火墙一样
，只需安装一下就可以很好的使用 。在安装ISA Server时，你需要对你内部网络中的路由及TCP/IP设置进行预先的规划和配置 ，这样才能做到安装ISA Server后即可很容易的使用，而不会出现客户不能访问外部网络的问题。

再谈谈对在单机上安装ISA Server 2004的看法
。ISA Server 2004可以安装在单网络适配器计算机上
，它将会自动配置为Cache only的防火墙，同时 ，通过ISA Server 2004强大的IDS和应用层识别机制
，对本机提供了很好的防护。但是，ISA Server 2004的核心是多网络 ，它最适合的配置环境是作为网络边缘的防火墙;并且作为单机防火墙
，它太过于庞大了，这样会为服务器带来不必要的性能消耗 。

所以 ，我不推荐在单机上安装ISA Server 2004
。对于单机防火墙
，我推荐Sygate Personal Firewall Pro(SPF Pro) 、Zonealarm
、Blackice等，它们都是非常好的单机防火墙。不过对于需要提供服务的主机 ，最好安装Zonealarm或者Blackice
，SPF Pro因为太过于强大，反而不适合作为服务器使用 。对于基于IIS的Web服务器 ，你还可以安装IISLockdown和UrlScan工具，这样就可以做到比较安全了
。对于单网络适配器的ISA Server
，我会在后面的实例中介绍。

至于安装ISA Server前内部的客户如何进行配置，我以几个实例来进行介绍:

如下图 ，ISA Server 2004上安装有两个网络适配器
，它作为边缘防火墙，让内部客户安全快速的连接到Internet ，内部的Lan我以192.168.0.0/24为例
，不考虑接入Internet的方式(拨号或固定IP均可) 。

ISA Server 2004上的内部网络适配器作为内部客户的默认网关，根据惯例 ，它的IP地址要么设置为子网最前的IP(如192.168.0.1)
，或者设置为最末的IP(192.168.0.254)，在此我设置为192.168.0.1;对于DNS服务器 ，只要内部网络中没有域
，那么内部可以不建立DNS服务器，不过推荐你建立
。在此例中 ，我们假设外部网卡(或拨号连接)上已经设置了DNS服务器，所以我们在此不设置DNS服务器的IP地址;还有默认网关
，内部网卡上切忌不要设置默认网关，因为Windows主机同时只能使用一个默认网关 ，如果在外部和内部网络适配器上都设置了默认网关
，那么ISA Server可能会出现路由错误。

接下来是客户机的TCP/IP设置和代理设置 。SNAT客户和Web代理客户有些区别，防火墙客户兼容SNAT客户和Web代理客户的设置
。在身份验证不是必需的情况下 ，请尽量考虑使用SNAT客户
，因为它是标准的网络路由，兼容性是最好的。

必须和ISA Server的内部接口在同个子网;在此 ，我可以使用192.168.0.2/24～192.168.0.254/24;

配置ISA Server的内部接口为默认网关;此时默认网关是192.168.0.1;

DNS根据你的网络环境来设置
，可以使用ISP的DNS服务器或者你自己在内部建立一台DNS服务器;但是，DNS服务器是必需的 。

Web代理客户和SNAT客户相比 ，则要复杂一些:

IP地址必须和ISA Server的内部接口位于同个子网;在此
，我可以使用192.168.0.2/24～192.168.0.254/24;

默认网关和DNS服务器地址都可以不配置;

必须在IE的代理属性中配置ISA Server的代理，默认是内部接口的8080端口 ，在此是192.168.0.1:8080;

对于其他需要访问网络的程序，必须设置HTTP代理(ISA Server)
，否则是不能访问网络;

至于关闭SNAT客户的访问，在ISA Server的访问规则中不要允许所有用户访问 ，改为所有通过验证的用户即可。

防火墙客户默认会配置IE为web代理客户
，然后对其他不能使用代理的Winsock应用程序进行转换，然后转发到所连接的ISA防火墙
。对于防火墙客户 ，你最好先按照SNAT客户进行设置
，然后安装防火墙客户端，安装防火墙客户端后它会自动配置客户为Web代理客户。

在安装ISA Server时 ，内部网络配置为192.168.0.0/24 。安装好后
，你可以根据你的需要，自行配置访问规则
。ISA Server中带了五个网络模型的模板 ，可以让你只是点几下鼠标就可以设置好访问规则
，但是希望你能手动设置规则，这样可以让你有更深的认识。

下图中是一种特殊的情况 ，在内部网络中还有其他子网的内部客户 。此时，你首先得将这些子网的地址包含在ISA Server的内部网络中
，然后在ISA Server上配置到这些子网的路由，其他的就和单内部网络的配置一致了
。

如下图 ，我只是简单的设计了一个三周长的多网络模型。ISA Server 2004是专为多网络而设计的
，所以，对于这种环境 ，配置起来非常得心应手 。

在这种环境中
，LAN(192.168.0.0)的客户和ISA Server上连接LAN的网络适配器，按照上面的方法进行配置 ，在此我重点给大家讲解一下DMZ网络的配置
。

DMZ中的客户以及ISA Server上连接DMZ网络的网络适配器
，也按照上面的办法进行配置，但是 ，对于DMZ中的服务器
，请配置为SNAT客户，这样可以得到最好的性能 ，配置为Web代理客户可能会让它不能正常工作，配置为防火墙客户会导致它性能的降低。

在安装ISA Server时
，内部网络只是选择192.168.0.0，安装好后 ，在ISA管理控制台的配置的网络中
，新建一个DMZ网络，选择172.16.0.0网段 。另外对于多网络 ，你还需要设置网络规则
。另外你利用ISA Server自带的三周长网络模板就可以很方便的实现DMZ网络的配置。其他访问则根据你的需要来自行设置 。