Exporteren (0) Afdrukken
Alles uitvouwen

IAS en firewalls

IAS en firewalls

In de meestvoorkomende configuratie is de firewall aangesloten op internet en is de IAS-server een intranetbron die is aangesloten op het perimeternetwerk.

Om contact met de domeincontroller in het intranet mogelijk te maken, beschikt de IAS-server mogelijk over het volgende:

  • Een interface in het perimeternetwerk en een interface in het intranet (IP-routering is niet ingeschakeld).
  • Eén interface in het perimeternetwerk. In deze configuratie vindt de communicatie tussen IAS en domeincontrollers in het intranet plaats via een andere firewall, die het perimeternetwerk met het intranet verbindt. U ziet deze configuratie in de volgende afbeelding.
Configuratie van IAS en firewalls

De Internet-firewall configureren

De firewall die op het Internet is aangesloten, moet zijn geconfigureerd met invoer- en uitvoerfilters op de Internet-interface (en eventueel op de netwerkperimeterinterface) om het doorsturen van RADIUS-berichten tussen de IAS-server en RADIUS-clients of -proxy's op het Internet mogelijk te maken. Er kunnen andere filters worden gebruikt waarmee het verkeer wordt doorgelaten naar webservers, VPN-servers en andere servertypen in het perimeternetwerk.

Op de Internet-interface en de perimeternetwerkinterface kunnen afzonderlijke in- en uitvoerpakketfilters worden geconfigureerd.

Filters op de Internet-interface

Configureer de volgende invoerpakketfilters op de Internet-interface van de firewall om de volgende typen verkeer toe te staan:

  • Doel-IP-adres van de perimeternetwerkinterface van de IAS-server en UDP-bestemmingspoort 1812 (0x714)
    Met dit filter wordt RADIUS-verificatieverkeer mogelijk van op internet gebaseerde RADIUS-clients naar de IAS-server. Dit is de standaard-UDP-poort die wordt gebruikt door IAS, zoals gedefinieerd in RFC 2865. Als u een andere poort gebruikt, vervangt u dat poortnummer door 1812, dat in dit voorbeeld wordt gebruikt.
  • Doel-IP-adres van de perimeternetwerkinterface van de IAS-server en UDP-bestemmingspoort 1813 (0x715)
    Met dit filter wordt RADIUS-accountingverkeer mogelijk van op internet gebaseerde RADIUS-clients naar de IAS-server. Dit is de standaard-UDP-poort die wordt gebruikt door IAS, zoals gedefinieerd in RFC 2866. Als u een andere poort gebruikt, vervangt u dat poortnummer door 1813, dat in dit voorbeeld wordt gebruikt.
  • (Optioneel) Doel-IP-adres van de perimeternetwerkinterface van de IAS-server en UDP-bestemmingspoort 1645 (0x66D)
    Met dit filter wordt RADIUS-verificatieverkeer mogelijk van op internet gebaseerde RADIUS-clients naar de IAS-server. Dit is de UDP-poort die wordt gebruikt door oudere RADIUS-clients.
  • (Optioneel) Doel-IP-adres van de perimeternetwerkinterface van de IAS-server en UDP-bestemmingspoort 1646 (0x66E)
    Met dit filter wordt RADIUS-accountingverkeer mogelijk van op internet gebaseerde RADIUS-clients naar de IAS-server. Dit is de UDP-poort die wordt gebruikt door oudere RADIUS-clients.

Configureer de volgende uitvoerfilters op de Internet-interface van de firewall om de volgende typen verkeer toe te staan:

  • Bron-IP-adres van de perimeternetwerkinterface van de IAS-server en UDP-bronpoort 1812 (0x714)
    Met dit filter wordt RADIUS-verificatieverkeer mogelijk van de IAS server naar op internet gebaseerde RADIUS-clients. Dit is de standaard-UDP-poort die wordt gebruikt door IAS, zoals gedefinieerd in RFC 2865. Als u een andere poort gebruikt, vervangt u dat poortnummer door 1812, dat in dit voorbeeld wordt gebruikt.
  • Bron-IP-adres van de perimeternetwerkinterface van de IAS-server en UDP-bronpoort 1813 (0x715)
    Met dit filter wordt RADIUS-accountingverkeer mogelijk van de IAS-server naar op internet gebaseerde RADIUS-clients. Dit is de standaard-UDP-poort die wordt gebruikt door IAS, zoals gedefinieerd in RFC 2866. Als u een andere poort gebruikt, vervangt u dat poortnummer door 1813, dat in dit voorbeeld wordt gebruikt.
  • (Optioneel) Bron-IP-adres van de perimeternetwerkinterface van de IAS-server en UDP-bronpoort 1645 (0x66D)
    Met dit filter wordt RADIUS-verificatieverkeer mogelijk van de IAS server naar op internet gebaseerde RADIUS-clients. Dit is de UDP-poort die wordt gebruikt door oudere RADIUS-clients.
  • (Optioneel) Bron-IP-adres van de perimeternetwerkinterface van de IAS-server en UDP-bronpoort 1646 (0x66E)
    Met dit filter wordt RADIUS-accountingverkeer mogelijk van de IAS-server naar op internet gebaseerde RADIUS-clients. Dit is de UDP-poort die wordt gebruikt door oudere RADIUS-clients.

Filters op de perimeternetwerkinterface

Configureer de volgende invoerfilters op de perimeternetwerkinterface van de firewall om de volgende typen verkeer toe te staan:

  • Bron-IP-adres van de perimeternetwerkinterface van de IAS-server en UDP-bronpoort 1812 (0x714)
    Met dit filter wordt RADIUS-verificatieverkeer mogelijk van de IAS server naar op internet gebaseerde RADIUS-clients. Dit is de standaard-UDP-poort die wordt gebruikt door IAS, zoals gedefinieerd in RFC 2865. Als u een andere poort gebruikt, vervangt u dat poortnummer door 1812, dat in dit voorbeeld wordt gebruikt.
  • Bron-IP-adres van de perimeternetwerkinterface van de IAS-server en UDP-bronpoort 1813 (0x715)
    Met dit filter wordt RADIUS-accountingverkeer mogelijk van de IAS-server naar op internet gebaseerde RADIUS-clients. Dit is de standaard-UDP-poort die wordt gebruikt door IAS, zoals gedefinieerd in RFC 2866. Als u een andere poort gebruikt, vervangt u dat poortnummer door 1813, dat in dit voorbeeld wordt gebruikt.
  • (Optioneel) Bron-IP-adres van de perimeternetwerkinterface van de IAS-server en UDP-bronpoort 1645 (0x66D)
    Met dit filter wordt RADIUS-verificatieverkeer mogelijk van de IAS server naar op internet gebaseerde RADIUS-clients. Dit is de UDP-poort die wordt gebruikt door oudere RADIUS-clients.
  • (Optioneel) Bron-IP-adres van de perimeternetwerkinterface van de IAS-server en UDP-bronpoort 1646 (0x66E)
    Met dit filter wordt RADIUS-accountingverkeer mogelijk van de IAS-server naar op internet gebaseerde RADIUS-clients. Dit is de UDP-poort die wordt gebruikt door oudere RADIUS-clients.

Configureer de volgende uitvoerpakketfilters op de perimeternetwerkinterface van de firewall om de volgende typen verkeer toe te staan:

  • Doel-IP-adres van de perimeternetwerkinterface van de IAS-server en UDP-bestemmingspoort 1812 (0x714)
    Met dit filter wordt RADIUS-verificatieverkeer mogelijk van op internet gebaseerde RADIUS-clients naar de IAS-server. Dit is de standaard-UDP-poort die wordt gebruikt door IAS, zoals gedefinieerd in RFC 2865. Als u een andere poort gebruikt, vervangt u dat poortnummer door 1812, dat in dit voorbeeld wordt gebruikt.
  • Doel-IP-adres van de perimeternetwerkinterface van de IAS-server en UDP-bestemmingspoort 1813 (0x715)
    Met dit filter wordt RADIUS-accountingverkeer mogelijk van op internet gebaseerde RADIUS-clients naar de IAS-server. Dit is de standaard-UDP-poort die wordt gebruikt door IAS, zoals gedefinieerd in RFC 2866. Als u een andere poort gebruikt, vervangt u dat poortnummer door 1813, dat in dit voorbeeld wordt gebruikt.
  • (Optioneel) Doel-IP-adres van de perimeternetwerkinterface van de IAS-server en UDP-bestemmingspoort 1645 (0x66D)
    Met dit filter wordt RADIUS-verificatieverkeer mogelijk van op internet gebaseerde RADIUS-clients naar de IAS-server. Dit is de UDP-poort die wordt gebruikt door oudere RADIUS-clients.
  • (Optioneel) Doel-IP-adres van de perimeternetwerkinterface van de IAS-server en UDP-bestemmingspoort 1646 (0x66E)
    Met dit filter wordt RADIUS-accountingverkeer mogelijk van op internet gebaseerde RADIUS-clients naar de IAS-server. Dit is de UDP-poort die wordt gebruikt door oudere RADIUS-clients.

Voor extra beveiliging kunt u met de IP-adressen van RADIUS-clients die de pakketten door de firewall versturen, specifieke filters definiëren voor verkeer tussen de client en het IP-adres van de IAS-server in het perimeternetwerk.

De intranet-firewall configureren

De firewall die op het intranet is aangesloten, moet zijn geconfigureerd met invoer- en uitvoerfilters op de netwerkperimeterinterface (en eventueel op de intranetinterface) om het doorsturen van RADIUS-berichten tussen de IAS-server in het perimeternetwerk en domeincontrollers in het intranet mogelijk te maken. Er kunnen andere filters worden gebruikt waarmee het verkeer wordt doorgelaten naar webservers, VPN-servers en andere servertypen in het perimeternetwerk.

Op de intranetinterface en de perimeternetwerkinterface kunnen afzonderlijke in- en uitvoerpakketfilters worden geconfigureerd.

Filters op de perimeternetwerkinterface

Configureer de volgende invoerpakketfilters op de perimeternetwerkinterface van de intranet-firewall om de volgende typen verkeer toe te staan:

  • Bron-IP-adres van de perimeternetwerkinterface van de IAS-server.
    Met dit filter wordt verkeer van de IAS-server mogelijk in het perimeternetwerk.

Configureer de volgende uitvoerfilters op de perimeternetwerkinterface van de intranet-firewall om de volgende typen verkeer toe te staan:

  • Doel-IP-adres van de perimeternetwerkinterface van de IAS-server.
    Met dit filter wordt verkeer naar de IAS-server mogelijk in het perimeternetwerk.

Filters op de intranetinterface

Configureer de volgende invoerfilters op de intranetinterface van de firewall om de volgende typen verkeer toe te staan:

  • Doel-IP-adres van de perimeternetwerkinterface van de IAS-server.
    Met dit filter wordt verkeer naar de IAS-server mogelijk in het perimeternetwerk.

Configureer de volgende uitvoerpakketfilters op de intranetinterface van de firewall om de volgende typen verkeer toe te staan:

  • Bron-IP-adres van de perimeternetwerkinterface van de IAS-server.
    Met dit filter wordt verkeer van de IAS-server mogelijk in het perimeternetwerk.
Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Toevoegen
Weergeven:
© 2014 Microsoft