방화벽이 실행되는 컴퓨터나 장치와 주고받는 IP 트래픽의 종류를 허용하거나 차단하도록 방화벽을 구성할 수 있습니다. 방화벽이 RADIUS 클라이언트, RADIUS 프록시 및 RADIUS 서버 간의 RADIUS 트래픽을 허용하도록 제대로 구성되어 있지 않으면 네트워크 액세스 인증이 실패하여 사용자가 네트워크 리소스에 액세스하지 못할 수 있습니다.

다음 두 가지 종류의 방화벽을 RADIUS 트래픽을 허용하도록 구성해야 할 수 있습니다.

  • NPS(네트워크 정책 서버)를 실행하는 로컬 서버의 Windows 방화벽

  • 다른 컴퓨터나 하드웨어 장치에서 실행되는 방화벽

로컬 NPS 서버의 Windows 방화벽

기본적으로 NPS는 UDP(User Datagram Protocol) 포트 1812, 1813, 1645 및 1646을 사용하여 RADIUS 트래픽을 보내고 받으며, NPS 서버의 Windows 방화벽은 NPS 설치 과정에서 이 RADIUS 트래픽을 보내고 받도록 허용하는 예외로 자동 구성됩니다.

따라서 기본 UDP 포트를 사용하는 경우에는 NPS 서버와의 RADIUS 트래픽을 허용하도록 Windows 방화벽 구성을 변경할 필요가 없습니다.

경우에 따라서는 RADIUS 트래픽에 대해 NPS에서 사용하는 포트를 변경할 수 있습니다. 기본 포트가 아닌 포트에서 RADIUS 트래픽을 보내고 받도록 NPS와 네트워크 액세스 서버를 구성하려면 다음을 수행해야 합니다.

  • 기본 포트에 대해 RADIUS 트래픽을 허용하는 예외를 제거합니다.

  • 새 포트에 대해 RADIUS 트래픽을 허용하는 예외를 새로 만듭니다.

자세한 내용은 NPS UDP 포트 정보 구성을 참조하십시오.

기타 방화벽

대부분의 일반적인 구성에서 방화벽은 인터넷에 연결되고 NPS 서버는 경계 네트워크에 연결되는 인트라넷 리소스입니다.

인트라넷에 있는 도메인 컨트롤러에 연결하기 위해 NPS 서버에는 다음 구성이 있을 수 있습니다.

  • 경계 네트워크의 인터페이스 및 인트라넷의 인터페이스(IP 라우팅은 사용할 수 없음)

  • 경계 네트워크의 단일 인터페이스. 이 구성에서 NPS는 경계 네트워크를 인트라넷에 연결하는 다른 방화벽을 통해 도메인 컨트롤러와 통신합니다.

인터넷 방화벽 구성

인터넷에 연결되는 방화벽은 NPS 서버와 인터넷상의 RADIUS 클라이언트 또는 프록시 간에 RADIUS 메시지를 전달할 수 있도록 인터넷 인터페이스 및 선택적으로 네트워크 경계 인터페이스에서 입력 및 출력 필터를 사용하여 구성해야 합니다. 추가 필터를 사용하여 경계 네트워크의 웹 서버, VPN 서버 및 다른 종류의 서버로 트래픽을 전달하도록 할 수 있습니다.

인터넷 인터페이스와 경계 네트워크 인터페이스에서 입력 및 출력 패킷 필터를 각각 구성할 수 있습니다.

인터넷 인터페이스의 필터

방화벽의 인터넷 인터페이스에서 다음 입력 패킷 필터가 다음과 같은 트래픽 종류를 허용하도록 구성합니다.

  • NPS 서버 경계 네트워크 인터페이스의 대상 IP 주소 및 UDP 대상 포트 1812(0x714)

    이 필터는 인터넷 기반 RADIUS 클라이언트에서 NPS 서버로의 RADIUS 인증 트래픽을 허용합니다. 이 포트는 NPS에서 사용하는 기본 UDP 포트이며 RFC 2865에 정의되어 있습니다. 다른 포트를 사용하는 경우 포트 번호를 1812로 대체하십시오.

  • NPS 서버 경계 네트워크 인터페이스의 대상 IP 주소 및 UDP 대상 포트 1813(0x715)

    이 필터는 인터넷 기반 RADIUS 클라이언트에서 NPS 서버로의 RADIUS 계정 트래픽을 허용합니다. 이 포트는 NPS에서 사용하는 기본 UDP 포트이며 RFC 2866에 정의되어 있습니다. 다른 포트를 사용하는 경우 포트 번호를 1813으로 대체하십시오.

  • (옵션) NPS 서버 경계 네트워크 인터페이스의 대상 IP 주소 및 UDP 대상 포트 1645(0x66D)

    이 필터는 인터넷 기반 RADIUS 클라이언트에서 NPS 서버로의 RADIUS 인증 트래픽을 허용합니다. 이 포트는 이전 RADIUS 클라이언트에서 사용하는 UDP 포트입니다.

  • (옵션) NPS 서버 경계 네트워크 인터페이스의 대상 IP 주소 및 UDP 대상 포트 1646(0x66E)

    이 필터는 인터넷 기반 RADIUS 클라이언트에서 NPS 서버로의 RADIUS 계정 트래픽을 허용합니다. 이 포트는 이전 RADIUS 클라이언트에서 사용하는 UDP 포트입니다.

방화벽의 인터넷 인터페이스에서 다음 출력 필터가 다음과 같은 트래픽 종류를 허용하도록 구성합니다.

  • NPS 서버 경계 네트워크 인터페이스의 원본 IP 주소 및 UDP 원본 포트 1812(0x714)

    이 필터는 NPS 서버에서 인터넷 기반 RADIUS 클라이언트로의 RADIUS 인증 트래픽을 허용합니다. 이 포트는 NPS에서 사용하는 기본 UDP 포트이며 RFC 2865에 정의되어 있습니다. 다른 포트를 사용하는 경우 포트 번호를 1812로 대체하십시오.

  • NPS 서버 경계 네트워크 인터페이스의 원본 IP 주소 및 UDP 원본 포트 1813(0x715)

    이 필터는 NPS 서버에서 인터넷 기반 RADIUS 클라이언트로의 RADIUS 계정 트래픽을 허용합니다. 이 포트는 NPS에서 사용하는 기본 UDP 포트이며 RFC 2866에 정의되어 있습니다. 다른 포트를 사용하는 경우 포트 번호를 1813으로 대체하십시오.

  • (옵션) NPS 서버 경계 네트워크 인터페이스의 원본 IP 주소 및 UDP 원본 포트 1645(0x66D)

    이 필터는 NPS 서버에서 인터넷 기반 RADIUS 클라이언트로의 RADIUS 인증 트래픽을 허용합니다. 이 포트는 이전 RADIUS 클라이언트에서 사용하는 UDP 포트입니다.

  • (옵션) NPS 서버 경계 네트워크 인터페이스의 원본 IP 주소 및 UDP 원본 포트 1646(0x66E)

    이 필터는 NPS 서버에서 인터넷 기반 RADIUS 클라이언트로의 RADIUS 계정 트래픽을 허용합니다. 이 포트는 이전 RADIUS 클라이언트에서 사용하는 UDP 포트입니다.

경계 네트워크 인터페이스의 필터

방화벽의 경계 네트워크 인터페이스에서 다음 입력 필터가 다음과 같은 트래픽 종류를 허용하도록 구성합니다.

  • NPS 서버 경계 네트워크 인터페이스의 원본 IP 주소 및 UDP 원본 포트 1812(0x714)

    이 필터는 NPS 서버에서 인터넷 기반 RADIUS 클라이언트로의 RADIUS 인증 트래픽을 허용합니다. 이 포트는 NPS에서 사용하는 기본 UDP 포트이며 RFC 2865에 정의되어 있습니다. 다른 포트를 사용하는 경우 포트 번호를 1812로 대체하십시오.

  • NPS 서버 경계 네트워크 인터페이스의 원본 IP 주소 및 UDP 원본 포트 1813(0x715)

    이 필터는 NPS 서버에서 인터넷 기반 RADIUS 클라이언트로의 RADIUS 계정 트래픽을 허용합니다. 이 포트는 NPS에서 사용하는 기본 UDP 포트이며 RFC 2866에 정의되어 있습니다. 다른 포트를 사용하는 경우 포트 번호를 1813으로 대체하십시오.

  • (옵션) NPS 서버 경계 네트워크 인터페이스의 원본 IP 주소 및 UDP 원본 포트 1645(0x66D)

    이 필터는 NPS 서버에서 인터넷 기반 RADIUS 클라이언트로의 RADIUS 인증 트래픽을 허용합니다. 이 포트는 이전 RADIUS 클라이언트에서 사용하는 UDP 포트입니다.

  • (옵션) NPS 서버 경계 네트워크 인터페이스의 원본 IP 주소 및 UDP 원본 포트 1646(0x66E)

    이 필터는 NPS 서버에서 인터넷 기반 RADIUS 클라이언트로의 RADIUS 계정 트래픽을 허용합니다. 이 포트는 이전 RADIUS 클라이언트에서 사용하는 UDP 포트입니다.

방화벽의 경계 네트워크 인터페이스에서 다음 출력 패킷 필터가 다음과 같은 트래픽 종류를 허용하도록 구성합니다.

  • NPS 서버 경계 네트워크 인터페이스의 대상 IP 주소 및 UDP 대상 포트 1812(0x714)

    이 필터는 인터넷 기반 RADIUS 클라이언트에서 NPS 서버로의 RADIUS 인증 트래픽을 허용합니다. 이 포트는 NPS에서 사용하는 기본 UDP 포트이며 RFC 2865에 정의되어 있습니다. 다른 포트를 사용하는 경우 포트 번호를 1812로 대체하십시오.

  • NPS 서버 경계 네트워크 인터페이스의 대상 IP 주소 및 UDP 대상 포트 1813(0x715)

    이 필터는 인터넷 기반 RADIUS 클라이언트에서 NPS 서버로의 RADIUS 계정 트래픽을 허용합니다. 이 포트는 NPS에서 사용하는 기본 UDP 포트이며 RFC 2866에 정의되어 있습니다. 다른 포트를 사용하는 경우 포트 번호를 1813으로 대체하십시오.

  • (옵션) NPS 서버 경계 네트워크 인터페이스의 대상 IP 주소 및 UDP 대상 포트 1645(0x66D)

    이 필터는 인터넷 기반 RADIUS 클라이언트에서 NPS 서버로의 RADIUS 인증 트래픽을 허용합니다. 이 포트는 이전 RADIUS 클라이언트에서 사용하는 UDP 포트입니다.

  • (옵션) NPS 서버 경계 네트워크 인터페이스의 대상 IP 주소 및 UDP 대상 포트 1646(0x66E)

    이 필터는 인터넷 기반 RADIUS 클라이언트에서 NPS 서버로의 RADIUS 계정 트래픽을 허용합니다. 이 포트는 이전 RADIUS 클라이언트에서 사용하는 UDP 포트입니다.

보안 강화를 위해 방화벽을 통해 패킷을 보내는 각 RADIUS 클라이언트의 IP 주소를 사용하여 클라이언트와 경계 네트워크의 NPS 서버 IP 주소 사이의 트래픽에 대한 필터를 정의할 수 있습니다.

인트라넷 방화벽 구성

인트라넷에 연결되는 방화벽은 경계 네트워크의 NPS 서버와 인트라넷의 도메인 컨트롤러 간에 RADIUS 메시지를 전달할 수 있도록 경계 네트워크 인터페이스 및 선택적으로 인트라넷 인터페이스에서 입력 및 출력 필터를 사용하여 구성해야 합니다. 추가 필터를 사용하여 경계 네트워크의 웹, VPN 및 다른 종류의 서버로 트래픽을 전달하도록 할 수 있습니다.

경계 네트워크 인터페이스와 인트라넷 인터페이스에서 입력 및 출력 패킷 필터를 각각 구성할 수 있습니다.

경계 네트워크 인터페이스의 필터

인트라넷 방화벽의 경계 네트워크 인터페이스에서 다음 입력 패킷 필터가 다음과 같은 트래픽 종류를 허용하도록 구성합니다.

  • NPS 서버 경계 네트워크 인터페이스의 원본 IP 주소

    이 필터는 경계 네트워크에 있는 NPS 서버에서의 트래픽을 허용합니다.

인트라넷 방화벽의 경계 네트워크 인터페이스에서 다음 출력 필터가 다음과 같은 트래픽 종류를 허용하도록 구성합니다.

  • NPS 서버 경계 네트워크 인터페이스의 대상 IP 주소

    이 필터는 경계 네트워크에 있는 NPS 서버로의 트래픽을 허용합니다.

인트라넷 인터페이스의 필터

방화벽의 인트라넷 인터페이스에서 다음 입력 필터가 다음과 같은 트래픽 종류를 허용하도록 구성합니다.

  • NPS 서버 경계 네트워크 인터페이스의 대상 IP 주소

    이 필터는 경계 네트워크에 있는 NPS 서버로의 트래픽을 허용합니다.

방화벽의 인트라넷 인터페이스에서 다음 출력 패킷 필터가 다음과 같은 트래픽 종류를 허용하도록 구성합니다.

  • NPS 서버 경계 네트워크 인터페이스의 원본 IP 주소

    이 필터는 경계 네트워크에 있는 NPS 서버에서의 트래픽을 허용합니다.

목차