Zapory można konfigurować w celu dopuszczania lub blokowania pewnych typów wychodzącego lub przychodzącego ruchu IP na komputerze bądź urządzeniu, na którym działa dana zapora. W przypadku braku odpowiedniej konfiguracji zapory w celu zezwalania na ruch usługi RADIUS między klientami usługi RADIUS, serwerami proxy usługi RADIUS i serwerami usługi RADIUS uwierzytelnienie dostępu do sieci może zakończyć się niepowodzeniem, co uniemożliwi użytkownikom uzyskanie dostępu do zasobów sieciowych.

W celu zezwolenia na ruch usługi RADIUS może być konieczne skonfigurowanie dwóch typów zapór:

  • Zapora systemu Windows na lokalnym serwerze zasad sieciowych (NPS, Network Policy Server)

  • Zapory uruchomione na innych komputerach lub urządzeniach sprzętowych

Zapora systemu Windows na lokalnym serwerze NPS

Domyślnie serwer NPS wysyła i odbiera ruch usługi RADIUS przez porty 1812, 1813, 1645 i 1646 protokołu UDP (User Datagram Protocol), a podczas instalacji serwera NPS w Zaporze systemu Windows na serwerze NPS są automatycznie konfigurowane wyjątki umożliwiające wysyłanie i odbieranie ruchu usługi RADIUS.

Dlatego w przypadku używania domyślnych portów UDP nie trzeba zmieniać konfiguracji Zapory systemu Windows w celu zezwalania na przychodzący i wychodzący ruch usługi RADIUS na serwerach NPS.

W niektórych przypadkach może być konieczna zmiana portów używanych do obsługi ruchu usługi RADIUS na serwerze NPS. W przypadku konfigurowania serwera NPS i serwerów dostępu do sieci w celu wysyłania i odbierania ruchu usługi RADIUS na portach innych niż domyślne należy wykonać następujące czynności:

  • Usuń wyjątki zezwalające na ruch usługi RADIUS na portach domyślnych.

  • Utwórz nowe wyjątki zezwalające na ruch usługi RADIUS na nowych portach.

Aby uzyskać więcej informacji, zobacz Konfigurowanie informacji o portach UDP serwera NPS.

Inne zapory

W najczęściej spotykanej konfiguracji zapora jest połączona z Internetem, a serwer NPS jest zasobem intranetowym połączonym z siecią obwodową.

W celu nawiązania kontaktu z kontrolerem domeny w obrębie intranetu serwer NPS może mieć następujące elementy:

  • Interfejs w sieci obwodowej oraz interfejs w intranecie (routing IP nie jest włączony).

  • Jeden interfejs w sieci obwodowej. W tej konfiguracji serwer NPS komunikuje się z kontrolerami domeny przez inną zaporę, która łączy sieć obwodową z intranetem.

Konfigurowanie zapory internetowej

Zapora połączona z Internetem musi mieć skonfigurowane filtry ruchu przychodzącego i wychodzącego dla interfejsu internetowego (oraz opcjonalnie dla interfejsu w sieci obwodowej), tak aby zezwalały na przekazywanie komunikatów usługi RADIUS między serwerem NPS a klientami lub serwerami proxy usługi RADIUS w Internecie. Można używać dodatkowych filtrów zezwalających na przekazywanie ruchu do serwerów sieci Web, serwerów VPN oraz serwerów innych typów w sieci obwodowej.

Poszczególne filtry pakietów przychodzących i wychodzących można konfigurować dla interfejsu internetowego oraz interfejsu w sieci obwodowej.

Filtry dla interfejsu internetowego

Aby można było zezwolić na poniższe typy ruchu, dla interfejsu internetowego zapory należy skonfigurować następujące filtry pakietów przychodzących:

  • Docelowy adres IP interfejsu w sieci obwodowej oraz docelowy port UDP o numerze 1812 (0x714) na serwerze NPS.

    Ten filtr zezwala na ruch uwierzytelniania usługi RADIUS od internetowych klientów usługi RADIUS do serwera NPS. Jest to domyślny port UDP używany przez serwer NPS, zgodnie z definicją w dokumencie RFC 2865. W przypadku używania innego portu należy zamienić numer portu na 1812.

  • Docelowy adres IP interfejsu w sieci obwodowej oraz docelowy port UDP o numerze 1813 (0x715) na serwerze NPS.

    Ten filtr zezwala na ruch ewidencjonowania aktywności usługi RADIUS od internetowych klientów usługi RADIUS do serwera NPS. Jest to domyślny port UDP używany przez serwer NPS, zgodnie z definicją w dokumencie RFC 2866. W przypadku używania innego portu należy zamienić numer portu na 1813.

  • Docelowy adres IP interfejsu w sieci obwodowej oraz docelowy port UDP o numerze 1645 (0x66D) na serwerze NPS (opcjonalnie).

    Ten filtr zezwala na ruch uwierzytelniania usługi RADIUS od internetowych klientów usługi RADIUS do serwera NPS. Ten port UDP jest używany przez starszych klientów usługi RADIUS.

  • Docelowy adres IP interfejsu w sieci obwodowej oraz docelowy port UDP o numerze 1646 (0x66E) na serwerze NPS (opcjonalnie).

    Ten filtr zezwala na ruch ewidencjonowania aktywności usługi RADIUS od internetowych klientów usługi RADIUS do serwera NPS. Ten port UDP jest używany przez starszych klientów usługi RADIUS.

Aby można było zezwolić na poniższe typy ruchu, dla interfejsu internetowego zapory należy skonfigurować następujące filtry pakietów wychodzących:

  • Źródłowy adres IP interfejsu w sieci obwodowej oraz źródłowy port UDP o numerze 1812 (0x714) na serwerze NPS.

    Ten filtr zezwala na ruch uwierzytelniania usługi RADIUS z serwera NPS do internetowych klientów usługi RADIUS. Jest to domyślny port UDP używany przez serwer NPS, zgodnie z definicją w dokumencie RFC 2865. W przypadku używania innego portu należy zamienić numer portu na 1812.

  • Źródłowy adres IP interfejsu w sieci obwodowej oraz źródłowy port UDP o numerze 1813 (0x715) na serwerze NPS.

    Ten filtr zezwala na ruch ewidencjonowania aktywności usługi RADIUS z serwera NPS do internetowych klientów usługi RADIUS. Jest to domyślny port UDP używany przez serwer NPS, zgodnie z definicją w dokumencie RFC 2866. W przypadku używania innego portu należy zamienić numer portu na 1813.

  • Źródłowy adres IP interfejsu w sieci obwodowej oraz źródłowy port UDP o numerze 1645 (0x66D) na serwerze NPS (opcjonalnie).

    Ten filtr zezwala na ruch uwierzytelniania usługi RADIUS z serwera NPS do internetowych klientów usługi RADIUS. Ten port UDP jest używany przez starszych klientów usługi RADIUS.

  • Źródłowy adres IP interfejsu w sieci obwodowej oraz źródłowy port UDP o numerze 1646 (0x66E) na serwerze NPS (opcjonalnie).

    Ten filtr zezwala na ruch ewidencjonowania aktywności usługi RADIUS z serwera NPS do internetowych klientów usługi RADIUS. Ten port UDP jest używany przez starszych klientów usługi RADIUS.

Filtry dla interfejsu w sieci obwodowej

Aby można było zezwolić na poniższe typy ruchu, dla interfejsu zapory w sieci obwodowej należy skonfigurować następujące filtry pakietów przychodzących:

  • Źródłowy adres IP interfejsu w sieci obwodowej oraz źródłowy port UDP o numerze 1812 (0x714) na serwerze NPS.

    Ten filtr zezwala na ruch uwierzytelniania usługi RADIUS z serwera NPS do internetowych klientów usługi RADIUS. Jest to domyślny port UDP używany przez serwer NPS, zgodnie z definicją w dokumencie RFC 2865. W przypadku używania innego portu należy zamienić numer portu na 1812.

  • Źródłowy adres IP interfejsu w sieci obwodowej oraz źródłowy port UDP o numerze 1813 (0x715) na serwerze NPS.

    Ten filtr zezwala na ruch ewidencjonowania aktywności usługi RADIUS z serwera NPS do internetowych klientów usługi RADIUS. Jest to domyślny port UDP używany przez serwer NPS, zgodnie z definicją w dokumencie RFC 2866. W przypadku używania innego portu należy zamienić numer portu na 1813.

  • Źródłowy adres IP interfejsu w sieci obwodowej oraz źródłowy port UDP o numerze 1645 (0x66D) na serwerze NPS (opcjonalnie).

    Ten filtr zezwala na ruch uwierzytelniania usługi RADIUS z serwera NPS do internetowych klientów usługi RADIUS. Ten port UDP jest używany przez starszych klientów usługi RADIUS.

  • Źródłowy adres IP interfejsu w sieci obwodowej oraz źródłowy port UDP o numerze 1646 (0x66E) na serwerze NPS (opcjonalnie).

    Ten filtr zezwala na ruch ewidencjonowania aktywności usługi RADIUS z serwera NPS do internetowych klientów usługi RADIUS. Ten port UDP jest używany przez starszych klientów usługi RADIUS.

Aby można było zezwolić na poniższe typy ruchu, dla interfejsu zapory w sieci obwodowej należy skonfigurować następujące filtry pakietów wychodzących:

  • Docelowy adres IP interfejsu w sieci obwodowej oraz docelowy port UDP o numerze 1812 (0x714) na serwerze NPS.

    Ten filtr zezwala na ruch uwierzytelniania usługi RADIUS od internetowych klientów usługi RADIUS do serwera NPS. Jest to domyślny port UDP używany przez serwer NPS, zgodnie z definicją w dokumencie RFC 2865. W przypadku używania innego portu należy zamienić numer portu na 1812.

  • Docelowy adres IP interfejsu w sieci obwodowej oraz docelowy port UDP o numerze 1813 (0x715) na serwerze NPS.

    Ten filtr zezwala na ruch ewidencjonowania aktywności usługi RADIUS od internetowych klientów usługi RADIUS do serwera NPS. Jest to domyślny port UDP używany przez serwer NPS, zgodnie z definicją w dokumencie RFC 2866. W przypadku używania innego portu należy zamienić numer portu na 1813.

  • Docelowy adres IP interfejsu w sieci obwodowej oraz docelowy port UDP o numerze 1645 (0x66D) na serwerze NPS (opcjonalnie).

    Ten filtr zezwala na ruch uwierzytelniania usługi RADIUS od internetowych klientów usługi RADIUS do serwera NPS. Ten port UDP jest używany przez starszych klientów usługi RADIUS.

  • Docelowy adres IP interfejsu w sieci obwodowej oraz docelowy port UDP o numerze 1646 (0x66E) na serwerze NPS (opcjonalnie).

    Ten filtr zezwala na ruch ewidencjonowania aktywności usługi RADIUS od internetowych klientów usługi RADIUS do serwera NPS. Ten port UDP jest używany przez starszych klientów usługi RADIUS.

W celu zapewnienia dodatkowych zabezpieczeń można za pomocą adresów IP poszczególnych klientów usługi RADIUS wysyłających pakiety przez zaporę i adresu IP serwera NPS zdefiniować filtry dla ruchu między tymi klientami a serwerem NPS w sieci obwodowej.

Konfigurowanie zapory intranetowej

Zapora połączona z intranetem musi mieć skonfigurowane filtry ruchu przychodzącego i wychodzącego dla interfejsu w sieci obwodowej (oraz opcjonalnie dla interfejsu w intranecie), tak aby zezwalać na przekazywanie komunikatów usługi RADIUS między serwerem NPS w sieci obwodowej a kontrolerami domen w intranecie. Dodatkowe filtry mogą zezwalać na przekazywanie ruchu do serwerów sieci Web, serwerów sieci VPN oraz serwerów innych typów w sieci obwodowej.

Poszczególne filtry pakietów przychodzących i wychodzących można konfigurować dla interfejsu w sieci obwodowej oraz interfejsu w intranecie.

Filtry dla interfejsu w sieci obwodowej

Aby można było zezwolić na poniższe typy ruchu, dla interfejsu zapory intranetowej w sieci obwodowej należy skonfigurować następujące filtry pakietów przychodzących:

  • Źródłowy adres IP interfejsu serwera NPS w sieci obwodowej.

    Ten filtr zezwala na ruch z serwera NPS w sieci obwodowej.

Aby można było zezwolić na poniższe typy ruchu, dla interfejsu zapory intranetowej w sieci obwodowej należy skonfigurować następujące filtry pakietów wychodzących:

  • Docelowy adres IP interfejsu serwera NPS w sieci obwodowej.

    Ten filtr zezwala na ruch do serwera NPS w sieci obwodowej.

Filtry dla interfejsu w intranecie

Aby można było zezwolić na poniższe typy ruchu, dla interfejsu zapory w intranecie należy skonfigurować następujące filtry pakietów przychodzących:

  • Docelowy adres IP interfejsu serwera NPS w sieci obwodowej.

    Ten filtr zezwala na ruch do serwera NPS w sieci obwodowej.

Aby można było zezwolić na poniższe typy ruchu, dla interfejsu zapory w intranecie należy skonfigurować następujące filtry pakietów wychodzących:

  • Źródłowy adres IP interfejsu serwera NPS w sieci obwodowej.

    Ten filtr zezwala na ruch z serwera NPS w sieci obwodowej.

Spis treści