U kunt firewalls configureren om bepaalde typen IP-verkeer toe te staan van en naar de computer of het apparaat waarop de firewall actief is. Als firewalls niet juist zijn geconfigureerd om RADIUS-verkeer toe te staan tussen RADIUS-clients, RADIUS-proxy's en RADIUS-servers, kan netwerktoegangsverificatie mislukken en hebben gebruikers geen toegang tot netwerkbronnen.

De volgende twee typen firewalls moeten worden geconfigureerd om RADIUS-verkeer toe te staan:

  • Windows Firewall op de lokale server met NPS (Network Policy Server)

  • Firewalls op andere computers of hardware

Windows Firewall op de lokale NPS-server

RADIUS-verkeer wordt door NPS standaard via de UDP-poorten (User Datagram Protocol) 1812, 1813, 1645 en 1646 verzonden. Windows Firewall op de NPS-server wordt tijdens de installatie van NPS automatisch geconfigureerd met uitzonderingen om verzending en ontvangst van dit type RADIUS-verkeer toe te staan.

Als u dus gebruikmaakt van de standaard-UDP-poorten, hoeft u de Windows Firewall-configuratie niet te wijzigen om RADIUS-verkeer van en naar NPS-servers toe te staan.

U kunt desgewenst de poorten wijzigen die door NPS worden gebruikt voor RADIUS-verkeer. Als u NPS en uw netwerktoegangsservers configureert voor het verzenden en ontvangen van RADIUS-verkeer op andere poorten dan de standaardpoorten, voert u de volgende handelingen uit:

  • Verwijder de uitzonderingen waarmee verzending van RADIUS-verkeer op de standaardpoorten is toegestaan.

  • Maak nieuwe uitzonderingen waarmee verzending van RADIUS-verkeer op de nieuwe poorten is toegestaan.

Zie NPS UDP-poortgegevens configureren voor meer informatie.

Andere firewalls

In de meeste configuraties is de firewall verbonden met internet en is de NPS-server een intranetbron die verbonden is met het perimeternetwerk.

Om de domeincontroller in het intranet te bereiken, heeft de NPS-server het volgende nodig:

  • Een interface in het perimeternetwerk en een interface in het intranet (IP-routering is niet ingeschakeld)

  • Een enkele interface in het perimeternetwerk. In deze configuratie communiceert NPS met domeincontrollers via een andere firewall die het perimeternetwerk verbindt met het intranet.

De internetfirewall configureren

U moet de firewall die met het internet is verbonden, configureren met in- en uitvoerfilters in de internetinterface (en, optioneel, de netwerkperimeterinterface), zodat RADIUS-berichten kunnen worden doorgestuurd tussen de NPS-server en RADIUS-clients of -proxy's op het internet. Via aanvullende filters kan het verkeer worden doorgegeven aan webservers, VPN-servers en andere typen servers in het perimeternetwerk.

Afzonderlijke in- en uitvoerpakketfilters kunnen worden geconfigureerd in de internetinterface en de perimeternetwerkinterface.

Filters in de internetinterface

Configureer de volgende invoerpakketfilters in de internetinterface van de firewall om de volgende typen verkeer toe te staan:

  • Doel-IP-adres van de perimeternetwerkinterface en UDP-doelpoort 1812 (0x714) van de NPS-server.

    Met dit filter wordt RADIUS-verificatieverkeer toegestaan van RADIUS-internetclients naar de NPS-server. Dit is de standaard-UDP-poort die door NPS wordt gebruikt, zoals gedefinieerd in RFC 2865. Als u een andere poort gebruikt, vervangt u dat poortnummer door 1812.

  • Doel-IP-adres van de perimeternetwerkinterface en UDP-doelpoort 1813 (0x715) van de NPS-server.

    Met dit filter wordt RADIUS-accountingverkeer toegestaan van RADIUS-internetclients naar de NPS-server. Dit is de standaard-UDP-poort die door NPS wordt gebruikt, zoals gedefinieerd in RFC 2866. Als u een andere poort gebruikt, vervangt u dat poortnummer door 1813.

  • (Optioneel) Doel-IP-adres van de perimeternetwerkinterface en UDP-doelpoort 1645 (0x66D) van de NPS-server.

    Met dit filter wordt RADIUS-verificatieverkeer toegestaan van RADIUS-internetclients naar de NPS-server. Deze UDP-poort wordt door oudere RADIUS-clients gebruikt.

  • (Optioneel) Doel-IP-adres van de perimeternetwerkinterface en UDP-doelpoort 1646 (0x66E) van de NPS-server.

    Met dit filter wordt RADIUS-accountingverkeer toegestaan van RADIUS-internetclients naar de NPS-server. Deze UDP-poort wordt door oudere RADIUS-clients gebruikt.

Configureer de volgende uitvoerfilters in de internetinterface van de firewall om de volgende typen verkeer toe te staan:

  • Bron-IP-adres van de perimeternetwerkinterface en UDP-bronpoort 1812 (0x714) van de NPS-server.

    Met dit filter wordt RADIUS-verificatieverkeer toegestaan van de NPS-server naar RADIUS-internetclients. Dit is de standaard-UDP-poort die door NPS wordt gebruikt, zoals gedefinieerd in RFC 2865. Als u een andere poort gebruikt, vervangt u dat poortnummer door 1812.

  • Bron-IP-adres van de perimeternetwerkinterface en UDP-bronpoort 1813 (0x715) van de NPS-server.

    Met dit filter wordt RADIUS-accountingverkeer toegestaan van de NPS-server naar RADIUS-internetclients. Dit is de standaard-UDP-poort die door NPS wordt gebruikt, zoals gedefinieerd in RFC 2866. Als u een andere poort gebruikt, vervangt u dat poortnummer door 1813.

  • (Optioneel) Bron-IP-adres van de perimeternetwerkinterface en UDP-bronpoort 1645 (0x66D) van de NPS-server.

    Met dit filter wordt RADIUS-verificatieverkeer toegestaan van de NPS-server naar RADIUS-internetclients. Deze UDP-poort wordt door oudere RADIUS-clients gebruikt.

  • (Optioneel) Bron-IP-adres van de perimeternetwerkinterface en UDP-bronpoort 1646 (0x66E) van de NPS-server.

    Met dit filter wordt RADIUS-accountingverkeer toegestaan van de NPS-server naar RADIUS-internetclients. Deze UDP-poort wordt door oudere RADIUS-clients gebruikt.

Filters in de perimeternetwerkinterface

Configureer de volgende invoerfilters in de perimeternetwerkinterface van de firewall om de volgende typen verkeer toe te staan:

  • Bron-IP-adres van de perimeternetwerkinterface en UDP-bronpoort 1812 (0x714) van de NPS-server.

    Met dit filter wordt RADIUS-verificatieverkeer toegestaan van de NPS-server naar RADIUS-internetclients. Dit is de standaard-UDP-poort die door NPS wordt gebruikt, zoals gedefinieerd in RFC 2865. Als u een andere poort gebruikt, vervangt u dat poortnummer door 1812.

  • Bron-IP-adres van de perimeternetwerkinterface en UDP-bronpoort 1813 (0x715) van de NPS-server.

    Met dit filter wordt RADIUS-accountingverkeer toegestaan van de NPS-server naar RADIUS-internetclients. Dit is de standaard-UDP-poort die door NPS wordt gebruikt, zoals gedefinieerd in RFC 2866. Als u een andere poort gebruikt, vervangt u dat poortnummer door 1813.

  • (Optioneel) Bron-IP-adres van de perimeternetwerkinterface en UDP-bronpoort 1645 (0x66D) van de NPS-server.

    Met dit filter wordt RADIUS-verificatieverkeer toegestaan van de NPS-server naar RADIUS-internetclients. Deze UDP-poort wordt door oudere RADIUS-clients gebruikt.

  • (Optioneel) Bron-IP-adres van de perimeternetwerkinterface en UDP-bronpoort 1646 (0x66E) van de NPS-server.

    Met dit filter wordt RADIUS-accountingverkeer toegestaan van de NPS-server naar RADIUS-internetclients. Deze UDP-poort wordt door oudere RADIUS-clients gebruikt.

Configureer de volgende uitvoerpakketfilters in de perimeternetwerkinterface van de firewall om de volgende typen verkeer toe te staan:

  • Doel-IP-adres van de perimeternetwerkinterface en UDP-doelpoort 1812 (0x714) van de NPS-server.

    Met dit filter wordt RADIUS-verificatieverkeer toegestaan van RADIUS-internetclients naar de NPS-server. Dit is de standaard-UDP-poort die door NPS wordt gebruikt, zoals gedefinieerd in RFC 2865. Als u een andere poort gebruikt, vervangt u dat poortnummer door 1812.

  • Doel-IP-adres van de perimeternetwerkinterface en UDP-doelpoort 1813 (0x715) van de NPS-server.

    Met dit filter wordt RADIUS-accountingverkeer toegestaan van RADIUS-internetclients naar de NPS-server. Dit is de standaard-UDP-poort die door NPS wordt gebruikt, zoals gedefinieerd in RFC 2866. Als u een andere poort gebruikt, vervangt u dat poortnummer door 1813.

  • (Optioneel) Doel-IP-adres van de perimeternetwerkinterface en UDP-doelpoort 1645 (0x66D) van de NPS-server.

    Met dit filter wordt RADIUS-verificatieverkeer toegestaan van RADIUS-internetclients naar de NPS-server. Deze UDP-poort wordt door oudere RADIUS-clients gebruikt.

  • (Optioneel) Doel-IP-adres van de perimeternetwerkinterface en UDP-doelpoort 1646 (0x66E) van de NPS-server.

    Met dit filter wordt RADIUS-accountingverkeer toegestaan van RADIUS-internetclients naar de NPS-server. Deze UDP-poort wordt door oudere RADIUS-clients gebruikt.

Als extra beveiligingsmaatregel kunt u de IP-adressen van elke RADIUS-client die de pakketten via de firewall verzendt, gebruiken om filters te definiëren voor verkeer tussen de client en het IP-adres van de NPS-server in het perimeternetwerk.

De intranetfirewall configureren

U moet de firewall die met het intranet is verbonden, configureren met in- en uitvoerfilters in de perimeternetwerkinterface (en, optioneel, de intranetinterface), zodat RADIUS-berichten kunnen worden doorgestuurd tussen de NPS-server in het perimeternetwerk en domeincontrollers in het intranet. Via aanvullende filters kan het verkeer worden doorgegeven aan webservers, VPN-servers en andere typen servers in het perimeternetwerk.

Afzonderlijke in- en uitvoerpakketfilters kunnen worden geconfigureerd in de perimeternetwerkinterface en de intranetinterface.

Filters in de perimeternetwerkinterface

Configureer de volgende invoerpakketfilters in de perimeternetwerkinterface van de intranetfirewall om de volgende typen verkeer toe te staan:

  • Bron-IP-adres van de perimeternetwerkinterface van de NPS-server.

    Met dit filter wordt verkeer van de NPS-server in het perimeternetwerk toegestaan.

Configureer de volgende uitvoerfilters in de perimeternetwerkinterface van de intranetfirewall om de volgende typen verkeer toe te staan:

  • Doel-IP-adres van de perimeternetwerkinterface van de NPS-server.

    Met dit filter wordt verkeer naar de NPS-server in het perimeternetwerk toegestaan.

Filters in de intranetinterface

Configureer de volgende invoerfilters in de intranetinterface van de firewall om de volgende typen verkeer toe te staan:

  • Doel-IP-adres van de perimeternetwerkinterface van de NPS-server.

    Met dit filter wordt verkeer naar de NPS-server in het perimeternetwerk toegestaan.

Configureer de volgende uitvoerpakketfilters in de intranetinterface van de firewall om de volgende typen verkeer toe te staan:

  • Bron-IP-adres van de perimeternetwerkinterface van de NPS-server.

    Met dit filter wordt verkeer van de NPS-server in het perimeternetwerk toegestaan.

Inhoudsopgave