I firewall possono essere configurati per consentire o bloccare tipi di traffico IP da e verso il computer o il dispositivo su cui il firewall stesso è in esecuzione. Se i firewall non sono configurati in modo corretto per consentire il traffico RADIUS tra client, proxy e server RADIUS, potrebbe non essere possibile eseguire l'autenticazione per l'accesso alla rete, impedendo in questo modo agli utenti di accedere alle risorse di rete.

Per consentire il traffico RADIUS, può essere necessario configurare due tipi di firewall:

  • Windows Firewall sul server locale che esegue Server dei criteri di rete.

  • Firewall in esecuzione su altri computer o dispositivi hardware.

Windows Firewall sul Server dei criteri di rete locale

Per impostazione predefinita, Server dei criteri di rete invia e riceve traffico RADIUS utilizzando le porte UDP (User Datagram Protocol) 1812, 1813, 1645 e 1646. Windows Firewall viene configurato automaticamente nel server che esegue Server dei criteri di rete durante l'installazione di quest'ultimo con eccezioni che consentono l'invio e la ricezione del traffico RADIUS.

Di conseguenza, se si utilizzano le porte UDP predefinite, non è necessario modificare la configurazione di Windows Firewall per consentire il traffico RADIUS da e verso i Server dei criteri di rete.

In alcuni casi potrebbe essere necessario modificare le porte utilizzate dal Server dei criteri di rete per il traffico RADIUS. Se si configura il Server dei criteri di rete e i server di accesso alla rete per inviare e ricevere traffico RADIUS su porte diverse rispetto a quelle predefinite, è necessario eseguire le operazioni seguenti:

  • Rimuovere le eccezioni che consentono il traffico RADIUS sulle porte predefinite.

  • Creare nuove eccezioni che consentano il traffico RADIUS sulle nuove porte.

Per ulteriori informazioni, vedere Configurare le informazioni sulla porta UDP del Server dei criteri di rete.

Altri firewall

Nelle configurazioni più comuni il firewall è connesso a Internet e il server che esegue Server dei criteri di rete è una risorsa Intranet connessa alla rete perimetrale.

Per raggiungere il controller di dominio all'interno della rete Intranet, nel Server dei criteri di rete può essere disponibile uno degli elementi seguenti:

  • Un'interfaccia sulla rete perimetrale e una sulla rete Intranet (il routing IP non è abilitato).

  • Un'unica interfaccia sulla rete perimetrale. In questa configurazione Server dei criteri di rete comunica con i controller di dominio attraverso un altro firewall che connette la rete perimetrale alla rete Intranet.

Configurare il firewall per Internet

Il firewall connesso a Internet deve essere configurato con filtri di input e di output sulla propria interfaccia Internet e, se si desidera, sull'interfaccia della rete perimetrale, per consentire l'inoltro di messaggi RADIUS tra il Server dei criteri di rete e i client oppure i proxy RADIUS su Internet. È possibile utilizzare filtri aggiuntivi per consentire il passaggio di traffico verso server Web, VPN e altri tipi di server sulla rete perimetrale.

È possibile configurare filtri pacchetti di input e di output sull'interfaccia Internet e su quella della rete perimetrale.

Applicare filtri all'interfaccia Internet

Configurare i seguenti filtri pacchetti di input sull'interfaccia Internet del firewall per consentire i tipi di traffico seguenti:

  • Indirizzo IP di destinazione dell’interfaccia della rete perimetrale e porta di destinazione UDP di 1812 (0x714) del Server dei criteri di rete.

    Questo filtro consente il traffico di autenticazione RADIUS da client RADIUS basati su Internet al Server dei criteri di rete. Questa è la porta UDP predefinita utilizzata da Server dei criteri di rete, definita nella RFC 2865. Se si utilizza una porta diversa, sostituire tale numero di porta con 1812.

  • Indirizzo IP di destinazione dell’interfaccia della rete perimetrale e porta di destinazione UDP di 1813 (0x715) del Server dei criteri di rete.

    Questo filtro consente il traffico di accounting RADIUS da client RADIUS basati su Internet al Server dei criteri di rete. Questa è la porta UDP predefinita utilizzata da Server dei criteri di rete, definita nella RFC 2866. Se si utilizza una porta diversa, sostituire tale numero di porta con 1813.

  • (Facoltativo) Indirizzo IP di destinazione dell’interfaccia della rete perimetrale e porta di destinazione UDP di 1645 (0x66D) del Server dei criteri di rete.

    Questo filtro consente il traffico di autenticazione RADIUS da client RADIUS basati su Internet al server che esegue Server dei criteri di rete. Questa è la porta UDP utilizzata da versioni precedenti dei client RADIUS.

  • (Facoltativo) Indirizzo IP di destinazione dell’interfaccia della rete perimetrale e porta di destinazione UDP di 1646 (0x66E) del Server dei criteri di rete.

    Questo filtro consente il traffico di accounting RADIUS da client RADIUS basati su Internet al server che esegue Server dei criteri di rete. Questa è la porta UDP utilizzata da versioni di client RADIUS precedenti.

Configurare i seguenti filtri pacchetti di output sull'interfaccia Internet del firewall per consentire i tipi di traffico seguenti:

  • Indirizzo IP di origine dell’interfaccia della rete perimetrale e porta di origine UDP di 1812 (0x714) del Server dei criteri di rete.

    Questo filtro consente il traffico di autenticazione RADIUS dal Server dei criteri di rete ai client RADIUS basati su Internet. Questa è la porta UDP predefinita utilizzata da Server dei criteri di rete, definita nella RFC 2865. Se si utilizza una porta diversa, sostituire tale numero di porta con 1812.

  • Indirizzo IP di origine dell’interfaccia della rete perimetrale e porta di origine UDP di 1813 (0x715) del Server dei criteri di rete.

    Questo filtro consente il traffico di accounting RADIUS dal Server dei criteri di rete ai client RADIUS basati su Internet. Questa è la porta UDP predefinita utilizzata da Server dei criteri di rete, definita nella RFC 2866. Se si utilizza una porta diversa, sostituire tale numero di porta con 1813.

  • (Facoltativo) Indirizzo IP di origine dell’interfaccia della rete perimetrale e porta di origine UDP di 1645 (0x66D) del Server dei criteri di rete.

    Questo filtro consente il traffico di autenticazione RADIUS dal server che esegue Server dei criteri di rete ai client RADIUS basati su Internet. Questa è la porta UDP utilizzata da versioni di client RADIUS precedenti.

  • (Facoltativo) Indirizzo IP di origine dell’interfaccia della rete perimetrale e porta di origine UDP di 1646 (0x66E) del Server dei criteri di rete.

    Questo filtro consente il traffico di accounting RADIUS dal server che esegue Server dei criteri di rete ai client RADIUS basati su Internet. Questa è la porta UDP utilizzata da versioni di client RADIUS precedenti.

Applicare filtri all'interfaccia della rete perimetrale

Configurare seguenti i filtri di input sull'interfaccia della rete perimetrale del firewall per consentire i tipi di traffico seguenti:

  • Indirizzo IP di origine dell'interfaccia della rete perimetrale e porta di origine UDP 1812 (0x714) del server che esegue Server dei criteri di rete.

    Questo filtro consente il traffico di autenticazione RADIUS dal server che esegue Server dei criteri di rete ai client RADIUS basati su Internet. Questa è la porta UDP predefinita utilizzata da Server dei criteri di rete, definita nella RFC 2865. Se si utilizza una porta diversa, sostituire tale numero di porta con 1812.

  • Indirizzo IP di origine dell'interfaccia della rete perimetrale e porta di origine UDP 1813 (0x715) del server che esegue Server dei criteri di rete.

    Questo filtro consente il traffico di accounting RADIUS dal server che esegue Server dei criteri di rete ai client RADIUS basati su Internet. Questa è la porta UDP predefinita utilizzata da Server dei criteri di rete, definita nella RFC 2866. Se si utilizza una porta diversa, sostituire tale numero di porta con 1813.

  • (Facoltativo) Indirizzo IP di origine dell'interfaccia della rete perimetrale e porta di origine UDP 1645 (0x66D) del server che esegue Server dei criteri di rete.

    Questo filtro consente il traffico di autenticazione RADIUS dal server che esegue Server dei criteri di rete ai client RADIUS basati su Internet. Questa è la porta UDP utilizzata da versioni di client RADIUS precedenti.

  • (Facoltativo) Indirizzo IP di origine dell'interfaccia della rete perimetrale e porta di origine UDP 1646 (0x66E) del server che esegue Server dei criteri di rete.

    Questo filtro consente il traffico di accounting RADIUS dal server che esegue Server dei criteri di rete ai client RADIUS basati su Internet. Questa è la porta UDP utilizzata da versioni di client RADIUS precedenti.

Configurare seguenti i filtri pacchetti di output sull'interfaccia della rete perimetrale del firewall per consentire i tipi di traffico seguenti:

  • Indirizzo IP di destinazione dell'interfaccia della rete perimetrale e porta di destinazione UDP 1812 (0x714) del server che esegue Server dei criteri di rete.

    Questo filtro consente il traffico di autenticazione RADIUS da client RADIUS basati su Internet al server che esegue Server dei criteri di rete. Questa è la porta UDP predefinita utilizzata da Server dei criteri di rete, definita nella RFC 2865. Se si utilizza una porta diversa, sostituire tale numero di porta con 1812.

  • Indirizzo IP di destinazione dell'interfaccia della rete perimetrale e porta di destinazione UDP 1813 (0x715) del server che esegue Server dei criteri di rete.

    Questo filtro consente il traffico di accounting RADIUS da client RADIUS basati su Internet al server che esegue Server dei criteri di rete. Questa è la porta UDP predefinita utilizzata da Server dei criteri di rete, definita nella RFC 2866. Se si utilizza una porta diversa, sostituire tale numero di porta con 1813.

  • (Facoltativo) Indirizzo IP di destinazione dell'interfaccia della rete perimetrale e porta di destinazione UDP 1645 (0x66D) del server che esegue Server dei criteri di rete.

    Questo filtro consente il traffico di autenticazione RADIUS da client RADIUS basati su Internet al server che esegue Server dei criteri di rete. Questa è la porta UDP utilizzata da versioni di client RADIUS precedenti.

  • (Facoltativo) Indirizzo IP di destinazione dell'interfaccia della rete perimetrale e porta di destinazione UDP 1646 (0x66E) del server che esegue Server dei criteri di rete.

    Questo filtro consente il traffico di accounting RADIUS da client RADIUS basati su Internet al server che esegue Server dei criteri di rete. Questa è la porta UDP utilizzata da versioni di client RADIUS precedenti.

Per aumentare la sicurezza, è possibile utilizzare gli indirizzi IP di ogni client RADIUS che invia i pacchetti attraverso il firewall per definire filtri per il traffico tra il client e l'indirizzo IP del Server dei criteri di rete sulla rete perimetrale.

Configurare il firewall Intranet

Il firewall connesso alla rete Intranet deve essere configurato con filtri di input e di output nell'interfaccia della rete perimetrale e, se lo si desidera, nella relativa interfaccia Intranet, per consentire l'inoltro di messaggi RADIUS tra il server che esegue Server dei criteri di rete sulla rete perimetrale e i controller di dominio nella rete Intranet. È possibile utilizzare filtri aggiuntivi per consentire il passaggio di traffico verso server Web, VPN e altri tipi di server sulla rete perimetrale.

È possibile configurare filtri pacchetti di input e di output sull'interfaccia della rete perimetrale e su quella della rete Intranet.

Applicare filtri all'interfaccia della rete perimetrale

Configurare seguenti i filtri pacchetti di input sull'interfaccia della rete perimetrale del firewall Intranet per consentire i tipi di traffico seguenti:

  • Indirizzo IP di origine dell'interfaccia della rete perimetrale del Server dei criteri di rete.

    Questo filtro consente il traffico dal Server dei criteri di rete sulla rete perimetrale.

Configurare seguenti i filtri pacchetti di output sull'interfaccia della rete perimetrale del firewall Intranet per consentire i tipi di traffico seguenti:

  • Indirizzo IP di destinazione dell'interfaccia della rete perimetrale del Server dei criteri di rete.

    Questo filtro consente il traffico verso il Server dei criteri di rete sulla rete perimetrale.

Applicare filtri all'interfaccia Intranet

Configurare i seguenti filtri pacchetti di input sull'interfaccia Intranet del firewall per consentire i tipi di traffico seguenti:

  • Indirizzo IP di destinazione dell'interfaccia della rete perimetrale del server che esegue Server dei criteri di rete.

    Questo filtro consente il traffico verso il server che esegue Server dei criteri di rete sulla rete perimetrale.

Configurare i seguenti filtri pacchetti di output sull'interfaccia Intranet del firewall per consentire i tipi di traffico seguenti:

  • Indirizzo IP di origine dell'interfaccia della rete perimetrale del server che esegue Server dei criteri di rete.

    Questo filtro consente il traffico dal server che esegue Server dei criteri di rete sulla rete perimetrale.


Argomenti della Guida