Table of contents
TOC
Свернуть оглавление
Развернуть оглавление

Настроить брандмауэры для RADIUS-трафика

James McIllece|Последнее обновление: 10.03.2017
|
1 Участник

Применимо к: Windows Server 2016 г.

Брандмауэры можно настроить так, чтобы разрешить или заблокировать типы IP-трафика и к компьютеру или устройству, на котором работает брандмауэр. Если брандмауэры не настроена должным образом на разрешить трафик RADIUS между клиентов RADIUS, прокси-серверы RADIUS и RADIUS-серверов проверки подлинности доступа к сети может завершиться с ошибкой, запрещение пользователям доступа к сетевым ресурсам.

Может потребоваться настроить два типа брандмауэров, чтобы разрешить трафик RADIUS:

  • Брандмауэр Windows в режиме повышенной безопасности на локальном сервере сервера политики сети (NPS).
  • Брандмауэры, выполняемые на других компьютерах или устройствах.

Брандмауэр Windows на локальный сервер политики СЕТИ

По умолчанию, сервер политики СЕТИ отправляет и получает RADIUS-трафика с помощью протокола датаграмм пользователя (UDP) порты 1812, 1813, 1645 и 1646. Во время установки сервера политики СЕТИ, чтобы трафик RADIUS могут отправляться и приниматься с исключениями, автоматически настраивается брандмауэр Windows на сервере NPS.

Таким образом Если вы используете UDP-порты по умолчанию, необходимо изменить конфигурацию брандмауэра Windows, чтобы разрешить трафик RADIUS с серверов NPS.

В некоторых случаях может потребоваться изменить номера портов, которые использует сервер политики СЕТИ для RADIUS-трафика. При настройке сервера политики СЕТИ и серверов доступа к сети для отправки и получения RADIUS-трафик на порты, кроме значения по умолчанию, необходимо выполнить следующие действия.

  • Удалите исключения, разрешающие трафик RADIUS на порты по умолчанию.
  • Создаете новые исключения, разрешающие трафик RADIUS на новые порты.

Дополнительные сведения см. в разделе сведения о портах UDP NPS настроить.

Другие брандмауэры

В наиболее распространенных конфигурации брандмауэр подключен к Интернету, и сервер политики СЕТИ является ресурсом интрасети, который подключен к локальной сети.

Чтобы связаться с контроллером домена в интрасети, возможно, сервер политики СЕТИ:

  • Интерфейс в локальной сети и интерфейс в интрасети (IP-маршрутизация не включена).
  • Единый интерфейс локальной сети. В этой конфигурации NPS взаимодействует с контроллерами домена через другой брандмауэр, который подключается к интрасети в локальной сети.

Настройка брандмауэра Интернета

Брандмауэр, подключенного к Интернету должны быть настроены входные и выходные фильтры интерфейс с Интернетом (и, при необходимости, интерфейсом локальной сети), чтобы разрешить перенаправление RADIUS-сообщений между сервера политики СЕТИ и RADIUS-клиенты или прокси-серверов в Интернете. Дополнительные фильтры можно использовать для разрешать передачу трафика на веб-серверы, VPN-серверов и других типов серверов в локальной сети.

Отдельные входного и выходного пакетов фильтры можно настроить на интерфейсе Интернета и интерфейса локальной сети.

Настройка фильтров входа в интерфейсе Интернета

Настройте следующие фильтры входящих пакетов в интерфейсе Интернета брандмауэра для следующих типов трафика:

  • IP-адрес назначения интерфейса локальной сети и UDP-порт назначения 1812 (0x714) сервера политики СЕТИ. Этот фильтр разрешает трафик проверки подлинности RADIUS из Интернет-RADIUS-клиенты на сервер политики СЕТИ. Это UDP-порт по умолчанию, используемый NPS, см. Если вы используете другой порт, замените этот номер порта 1812.
  • IP-адрес назначения интерфейса локальной сети и UDP-порт назначения 1813 (0x715) сервера политики СЕТИ. Этот фильтр позволяет трафика учета RADIUS с Интернет-RADIUS-клиенты на сервере NPS. Это UDP-порт по умолчанию, используемый NPS, согласно определению в спецификации RFC 2866. Если вы используете другой порт, замените этот номер порта 1813.
  • (Необязательные) конечный IP-адрес интерфейса локальной сети и UDP-порт назначения 1645 (0x66D) сервера политики СЕТИ. Этот фильтр разрешает трафик проверки подлинности RADIUS из Интернет-RADIUS-клиенты на сервер политики СЕТИ. Это UDP-порт, используемый старыми клиентами RADIUS.
  • (Необязательные) конечный IP-адрес интерфейса локальной сети и UDP-порт назначения 1646 (0x66E) сервера политики СЕТИ. Этот фильтр позволяет трафика учета RADIUS с Интернет-RADIUS-клиенты на сервере NPS. Это UDP-порт, используемый старыми клиентами RADIUS.

Настройка фильтров выхода в интерфейсе Интернета

Настройте следующие фильтры выхода в интерфейсе Интернета брандмауэра для следующих типов трафика:

  • IP-адрес источника интерфейса локальной сети и UDP-порт источника 1812 (0x714) сервера политики СЕТИ. Этот фильтр разрешает трафик проверки подлинности RADIUS на сервере NPS в Интернет-RADIUS-клиенты. Это UDP-порт по умолчанию, используемый NPS, см. Если вы используете другой порт, замените этот номер порта 1812.
  • IP-адрес источника интерфейса локальной сети и UDP-порт источника 1813 (0x715) сервера политики СЕТИ. Этот фильтр разрешает RADIUS-трафик для учета от сервера политики СЕТИ для Интернет-RADIUS-клиенты. Это UDP-порт по умолчанию, используемый NPS, согласно определению в спецификации RFC 2866. Если вы используете другой порт, замените этот номер порта 1813.
  • (Необязательные) исходный IP-адрес интерфейса локальной сети и UDP-порт источника 1645 (0x66D) сервера политики СЕТИ. Этот фильтр разрешает трафик проверки подлинности RADIUS на сервере NPS в Интернет-RADIUS-клиенты. Это UDP-порт, используемый старыми клиентами RADIUS.
  • (Необязательные) исходный IP-адрес интерфейса локальной сети и UDP-порт источника 1646 (0x66E) сервера политики СЕТИ. Этот фильтр разрешает RADIUS-трафик для учета от сервера политики СЕТИ для Интернет-RADIUS-клиенты. Это UDP-порт, используемый старыми клиентами RADIUS.

Настройте ввода фильтры интерфейса локальной сети

Настройте следующие фильтры входа интерфейса локальной сети брандмауэра, чтобы разрешить следующие типы трафика.

  • IP-адрес источника интерфейса локальной сети и UDP-порт источника 1812 (0x714) сервера политики СЕТИ. Этот фильтр разрешает трафик проверки подлинности RADIUS на сервере NPS в Интернет-RADIUS-клиенты. Это UDP-порт по умолчанию, используемый NPS, см. Если вы используете другой порт, замените этот номер порта 1812.
  • IP-адрес источника интерфейса локальной сети и UDP-порт источника 1813 (0x715) сервера политики СЕТИ. Этот фильтр разрешает RADIUS-трафик для учета от сервера политики СЕТИ для Интернет-RADIUS-клиенты. Это UDP-порт по умолчанию, используемый NPS, согласно определению в спецификации RFC 2866. Если вы используете другой порт, замените этот номер порта 1813.
  • (Необязательные) исходный IP-адрес интерфейса локальной сети и UDP-порт источника 1645 (0x66D) сервера политики СЕТИ. Этот фильтр разрешает трафик проверки подлинности RADIUS на сервере NPS в Интернет-RADIUS-клиенты. Это UDP-порт, используемый старыми клиентами RADIUS.
  • (Необязательные) исходный IP-адрес интерфейса локальной сети и UDP-порт источника 1646 (0x66E) сервера политики СЕТИ. Этот фильтр разрешает RADIUS-трафик для учета от сервера политики СЕТИ для Интернет-RADIUS-клиенты. Это UDP-порт, используемый старыми клиентами RADIUS.

Настройте фильтры вывода интерфейса локальной сети

Настройте следующие фильтры выхода интерфейса локальной сети брандмауэра, чтобы разрешить следующие типы трафика:

  • IP-адрес назначения интерфейса локальной сети и UDP-порт назначения 1812 (0x714) сервера политики СЕТИ. Этот фильтр разрешает трафик проверки подлинности RADIUS из Интернет-RADIUS-клиенты на сервер политики СЕТИ. Это UDP-порт по умолчанию, используемый NPS, см. Если вы используете другой порт, замените этот номер порта 1812.
  • IP-адрес назначения интерфейса локальной сети и UDP-порт назначения 1813 (0x715) сервера политики СЕТИ. Этот фильтр позволяет трафика учета RADIUS с Интернет-RADIUS-клиенты на сервере NPS. Это UDP-порт по умолчанию, используемый NPS, согласно определению в спецификации RFC 2866. Если вы используете другой порт, замените этот номер порта 1813.
  • (Необязательные) конечный IP-адрес интерфейса локальной сети и UDP-порт назначения 1645 (0x66D) сервера политики СЕТИ. Этот фильтр разрешает трафик проверки подлинности RADIUS из Интернет-RADIUS-клиенты на сервер политики СЕТИ. Это UDP-порт, используемый старыми клиентами RADIUS.
  • (Необязательные) конечный IP-адрес интерфейса локальной сети и UDP-порт назначения 1646 (0x66E) сервера политики СЕТИ. Этот фильтр позволяет трафика учета RADIUS с Интернет-RADIUS-клиенты на сервере NPS. Это UDP-порт, используемый старыми клиентами RADIUS.

Для дополнительной безопасности можно использовать IP-адреса каждого клиента RADIUS, который отправляет пакеты через брандмауэр для определения фильтров для трафика между клиентом и IP-адрес сервера политики СЕТИ в локальной сети.

Фильтры интерфейса локальной сети

Настройте следующие фильтры входящих пакетов интерфейса сети локальной интрасети брандмауэра, чтобы разрешить следующие типы трафика:

  • IP-адрес источника интерфейса локальной сети сервера политики СЕТИ. Этот фильтр разрешает трафик с сервера политики СЕТИ в локальной сети.

Настройте следующие фильтры выхода интерфейса сети локальной интрасети брандмауэра, чтобы разрешить следующие типы трафика:

  • IP-адрес назначения интерфейса локальной сети сервера политики СЕТИ. Этот фильтр трафика на сервер политики СЕТИ позволяет в локальной сети.

Фильтры в интерфейсе интрасети

Настройте следующие фильтры входа в интерфейсе интрасети брандмауэра для следующих типов трафика:

  • IP-адрес назначения интерфейса локальной сети сервера политики СЕТИ. Этот фильтр трафика на сервер политики СЕТИ позволяет в локальной сети.

Настройте следующие фильтры выхода в интерфейсе интрасети брандмауэра для следующих типов трафика:

  • IP-адрес источника интерфейса локальной сети сервера политики СЕТИ. Этот фильтр разрешает трафик с сервера политики СЕТИ в локальной сети.

Дополнительные сведения об управлении NPS см. в разделе управление сервера политики сети.

Дополнительные сведения о NPS см. в разделе сервера политики сети (NPS).

© 2017 Microsoft