Pode configurar firewalls para permitir ou bloquear tipos de tráfego IP para e do computador ou dispositivo no qual a firewall está a ser executada. Se as firewalls não estiverem correctamente configuradas para permitir o tráfego RADIUS entre clientes RADIUS, proxies RADIUS e servidores RADIUS, a autenticação do acesso à rede pode falhar, impedindo que os utilizadores acedam aos recursos da rede.

Poderá ser necessário configurar dois tipos de firewalls para permitir o tráfego RADIUS:

  • Firewall do Windows no servidor local a executar o NPS (Network Policy Server).

  • Firewalls em execução noutros computadores ou dispositivos de hardware.

Firewall do Windows no servidor NPS local

Por predefinição, o NPS envia e recebe tráfego RADIUS utilizando as portas UDP (User Datagram Protocol) 1812, 1813, 1645 e 1646. A Firewall do Windows no servidor NPS é configurada automaticamente com excepções, durante a instalação do NPS, para permitir que este tráfego RADIUS seja enviado e recebido.

Assim, se estiver a utilizar as portas UDP predefinidas, não necessita de alterar a configuração da Firewall do Windows para permitir tráfego RADIUS para e de servidores NPS.

Em alguns casos, poderá pretender alterar as portas utilizadas pelo NPS para o tráfego RADIUS. Se configurar o NPS e os servidores NAS para enviarem e receberem tráfego RADIUS em portas que não as predefinidas, tem de efectuar o seguinte:

  • Remover as excepções que permitem tráfego RADIUS nas portas predefinidas.

  • Criar novas excepções que permitam tráfego RADIUS nas novas portas.

Para mais informações, consulte Configurar as Informações de Porta UDP de NPS.

Outras firewalls

Na configuração mais comum, a firewall está ligada à Internet e o servidor NPS é um recurso da intranet que está ligado à rede de perímetro.

Para aceder ao controlador de domínio na intranet, o servidor NPS pode ter:

  • Uma interface na rede de perímetro e uma interface na intranet (o encaminhamento IP não está activado).

  • Uma única interface na rede de perímetro. Nesta configuração, o NPS comunica com os controladores de domínio através de outra firewall que liga a rede de perímetro à intranet.

Configurar a firewall da Internet

A firewall ligada à Internet tem de ser configurada com filtros de entrada e saída na respectiva interface da Internet (e, opcionalmente, na respectiva interface da rede de perímetro), para permitir o reencaminhamento de mensagens RADIUS entre o servidor NPS e clientes ou proxies RADIUS na Internet. Podem ser utilizados filtros adicionais para permitir a passagem de tráfego para servidores Web, servidores VPN e outros tipos de servidores na rede de perímetro.

Podem ser configurados filtros de pacotes de entrada e saída separados na interface da Internet e na interface da rede de perímetro.

Filtros na interface da Internet

Configure os seguintes filtros de pacote de entrada na interface da Internet da firewall para permitir os seguintes tipos de tráfego:

  • Endereço IP de destino da interface da rede de perímetro e porta de destino UDP 1812 (0x714) do servidor NPS.

    Este filtro permite tráfego de autenticação RADIUS de clientes RADIUS baseados na Internet para o servidor NPS. Trata-se da porta UDP predefinida utilizada pelo NPS, conforme definido no RFC 2865. Se estiver a utilizar uma porta diferente, utilize esse número de porta em vez de 1812.

  • Endereço IP de destino da interface da rede de perímetro e porta de destino UDP 1813 (0x715) do servidor NPS.

    Este filtro permite tráfego de gestão de contas RADIUS de clientes RADIUS baseados na Internet para o servidor NPS. Trata-se da porta UDP predefinida utilizada pelo NPS, conforme definido no RFC 2866. Se estiver a utilizar uma porta diferente, utilize esse número de porta em vez de 1813.

  • (Opcional) Endereço IP de destino da interface da rede de perímetro e porta de destino UDP 1645 (0x66D) do servidor NPS.

    Este filtro permite tráfego de autenticação RADIUS de clientes RADIUS baseados na Internet para o servidor NPS. Trata-se da porta UDP utilizada por clientes RADIUS mais antigos.

  • (Opcional) Endereço IP de destino da interface da rede de perímetro e porta de destino UDP 1646 (0x66E) do servidor NPS.

    Este filtro permite tráfego de gestão de contas RADIUS de clientes RADIUS baseados na Internet para o servidor NPS. Trata-se da porta UDP utilizada por clientes RADIUS mais antigos.

Configure os seguintes filtros de saída na interface da Internet da firewall para permitir os seguintes tipos de tráfego:

  • Endereço IP de origem da interface da rede de perímetro e porta de origem UDP 1812 (0x714) do servidor NPS.

    Este filtro permite tráfego de autenticação RADIUS do servidor NPS para clientes RADIUS baseados na Internet. Trata-se da porta UDP predefinida utilizada pelo NPS, conforme definido no RFC 2865. Se estiver a utilizar uma porta diferente, utilize esse número de porta em vez de 1812.

  • Endereço IP de origem da interface da rede de perímetro e porta de origem UDP 1813 (0x715) do servidor NPS.

    Este filtro permite tráfego de gestão de contas RADIUS do servidor NPS para clientes RADIUS baseados na Internet. Trata-se da porta UDP predefinida utilizada pelo NPS, conforme definido no RFC 2866. Se estiver a utilizar uma porta diferente, utilize esse número de porta em vez de 1813.

  • (Opcional) Endereço IP de origem da interface da rede de perímetro e porta de origem UDP 1645 (0x66D) do servidor NPS.

    Este filtro permite tráfego de autenticação RADIUS do servidor NPS para clientes RADIUS baseados na Internet. Trata-se da porta UDP utilizada por clientes RADIUS mais antigos.

  • (Opcional) Endereço IP de origem da interface da rede de perímetro e porta de origem UDP 1646 (0x66E) do servidor NPS.

    Este filtro permite tráfego de gestão de contas RADIUS do servidor NPS para clientes RADIUS baseados na Internet. Trata-se da porta UDP utilizada por clientes RADIUS mais antigos.

Filtros na interface da rede de perímetro

Configure os seguintes filtros de entrada na interface da rede de perímetro da firewall para permitir os seguintes tipos de tráfego:

  • Endereço IP de origem da interface da rede de perímetro e porta de origem UDP 1812 (0x714) do servidor NPS.

    Este filtro permite tráfego de autenticação RADIUS do servidor NPS para clientes RADIUS baseados na Internet. Trata-se da porta UDP predefinida utilizada pelo NPS, conforme definido no RFC 2865. Se estiver a utilizar uma porta diferente, utilize esse número de porta em vez de 1812.

  • Endereço IP de origem da interface da rede de perímetro e porta de origem UDP 1813 (0x715) do servidor NPS.

    Este filtro permite tráfego de gestão de contas RADIUS do servidor NPS para clientes RADIUS baseados na Internet. Trata-se da porta UDP predefinida utilizada pelo NPS, conforme definido no RFC 2866. Se estiver a utilizar uma porta diferente, utilize esse número de porta em vez de 1813.

  • (Opcional) Endereço IP de origem da interface da rede de perímetro e porta de origem UDP 1645 (0x66D) do servidor NPS.

    Este filtro permite tráfego de autenticação RADIUS do servidor NPS para clientes RADIUS baseados na Internet. Trata-se da porta UDP utilizada por clientes RADIUS mais antigos.

  • (Opcional) Endereço IP de origem da interface da rede de perímetro e porta de origem UDP 1646 (0x66E) do servidor NPS.

    Este filtro permite tráfego de gestão de contas RADIUS do servidor NPS para clientes RADIUS baseados na Internet. Trata-se da porta UDP utilizada por clientes RADIUS mais antigos.

Configure os seguintes filtros de pacote de saída na interface da rede de perímetro da firewall para permitir os seguintes tipos de tráfego:

  • Endereço IP de destino da interface da rede de perímetro e porta de destino UDP 1812 (0x714) do servidor NPS.

    Este filtro permite tráfego de autenticação RADIUS de clientes RADIUS baseados na Internet para o servidor NPS. Trata-se da porta UDP predefinida utilizada pelo NPS, conforme definido no RFC 2865. Se estiver a utilizar uma porta diferente, utilize esse número de porta em vez de 1812.

  • Endereço IP de destino da interface da rede de perímetro e porta de destino UDP 1813 (0x715) do servidor NPS.

    Este filtro permite tráfego de gestão de contas RADIUS de clientes RADIUS baseados na Internet para o servidor NPS. Trata-se da porta UDP predefinida utilizada pelo NPS, conforme definido no RFC 2866. Se estiver a utilizar uma porta diferente, utilize esse número de porta em vez de 1813.

  • (Opcional) Endereço IP de destino da interface da rede de perímetro e porta de destino UDP 1645 (0x66D) do servidor NPS.

    Este filtro permite tráfego de autenticação RADIUS de clientes RADIUS baseados na Internet para o servidor NPS. Trata-se da porta UDP utilizada por clientes RADIUS mais antigos.

  • (Opcional) Endereço IP de destino da interface da rede de perímetro e porta de destino UDP 1646 (0x66E) do servidor NPS.

    Este filtro permite tráfego de gestão de contas RADIUS de clientes RADIUS baseados na Internet para o servidor NPS. Trata-se da porta UDP utilizada por clientes RADIUS mais antigos.

Para segurança adicional, pode utilizar os endereços IP de cada cliente RADIUS que envia os pacotes através da firewall para definir filtros para o tráfego entre o cliente e o endereço IP do servidor NPS na rede de perímetro.

Configurar a firewall da intranet

A firewall ligada à intranet tem de ser configurada com filtros de entrada e saída na interface da rede de perímetro (e, opcionalmente, na interface da intranet), para permitir o reencaminhamento de mensagens RADIUS entre o servidor NPS na rede de perímetro e os controladores de domínio na intranet. Filtros adicionais podem permitir a passagem de tráfego para servidores Web, FTP e outros tipos de servidores na rede de perímetro.

Podem ser configurados filtros de pacotes de entrada e saída separados na interface da rede de perímetro e na interface da intranet.

Filtros na interface da rede de perímetro

Configure os seguintes filtros de pacote de entrada na interface da rede de perímetro da firewall da intranet para permitir os seguintes tipos de tráfego:

  • Endereço IP de origem da interface da rede de perímetro do servidor NPS.

    Este filtro permite tráfego proveniente do servidor NPS na rede de perímetro.

Configure os seguintes filtros de saída na interface da rede de perímetro da firewall da intranet para permitir os seguintes tipos de tráfego:

  • Endereço IP de destino da interface da rede de perímetro do servidor NPS.

    Este filtro permite tráfego para o servidor NPS na rede de perímetro.

Filtros na interface da intranet

Configure os seguintes filtros de entrada na interface da intranet da firewall para permitir os seguintes tipos de tráfego:

  • Endereço IP de destino da interface da rede de perímetro do servidor NPS.

    Este filtro permite tráfego para o servidor NPS na rede de perímetro.

Configure os seguintes filtros de pacote de saída na interface da intranet da firewall para permitir os seguintes tipos de tráfego:

  • Endereço IP de origem da interface da rede de perímetro do servidor NPS.

    Este filtro permite tráfego proveniente do servidor NPS na rede de perímetro.

Sumário