可以将防火墙配置为允许或阻止各种类型的 IP 通信来回于运行防火墙的计算机或设备。如果未将防火墙正确配置为允许在 RADIUS 客户端、RADIUS 代理和 RADIUS 服务器中进行 RADIUS 通信,则网络访问身份验证可能会失败,从而阻止用户访问网络资源。

可能需要配置以下两种类型的防火墙,以允许 RADIUS 通信:

  • 运行网络策略服务器 (NPS) 的本地服务器上的 Windows 防火墙。

  • 运行于其他计算机或硬件设备的防火墙。

本地 NPS 服务器上的 Windows 防火墙

默认情况下,NPS 通过用户数据报协议 (UDP) 端口 1812、1813、1645 和 1646 发送和接收 RADIUS 通信。在安装 NPS 过程中,NPS 服务器上的 Windows 防火墙会自动配置有例外,以允许发送和接收此 RADIUS 通信。

因此,如果您使用的是默认 UDP 端口,则不需要更改 Windows 防火墙配置即可允许 RADIUS 通信来回于 NPS 服务器。

在某些情况下,您可能需要更改 NPS 用于 RADIUS 通信的端口。如果将 NPS 和网络访问服务器配置为在默认端口以外的端口上发送和接收 RADIUS 通信,则必须执行以下操作:

  • 删除允许通过默认端口进行 RADIUS 通信的例外。

  • 创建允许通过新端口进行 RADIUS 通信的新例外。

有关详细信息,请参阅配置 NPS UDP 端口信息

其他防火墙

在最常见的配置中,防火墙连接到 Internet,NPS 服务器是连接到外围网络的 Intranet 资源。

若要连接 Intranet 内的域控制器,则 NPS 服务器需要具备以下条件:

  • 在外围网络和 Intranet(未启用 IP 路由)上分别有一个接口。

  • 在外围网络上有一个单一接口。在此配置中,NPS 通过将外围网络连接到 Intranet 的另一防火墙与域控制器通信。

配置 Internet 防火墙

连接到 Internet 的防火墙必须在其 Internet 接口 [及其网络外围接口(可选)] 配置有输入和输出筛选器,以允许在 NPS 服务器和 RADIUS 客户端之间或 Internet 上的代理之间转发 RADIUS 消息。可以使用其他筛选器来允许将通信传递到外围网络上的 Web 服务器、VPN 服务器和其他类型的服务器。

可以在 Internet 接口和外围网络接口上配置单独的输入和输出数据包筛选器。

Internet 接口上的筛选器

在防火墙的 Internet 接口上配置以下输入数据包筛选器,以允许以下类型的通信:

  • 外围网络接口的目标 IP 地址和 NPS 服务器的 UDP 目标端口 1812 (0x714)。

    此筛选器允许进行从基于 Internet 的 RADIUS 客户端到 NPS 服务器的 RADIUS 身份验证通信。这是 NPS 使用的默认 UDP 端口,已在 RFC 2865 中定义。如果使用的是其他端口,请将该端口号替换为 1812。

  • 外围网络接口的目标 IP 地址和 NPS 服务器的 UDP 目标端口 1813 (0x715)。

    此筛选器允许进行从基于 Internet 的 RADIUS 客户端到 NPS 服务器的 RADIUS 记帐通信。这是 NPS 使用的默认 UDP 端口,已在 RFC 2866 中定义。如果使用的是其他端口,请将该端口号替换为 1813。

  • (可选)外围网络接口的目标 IP 地址和 NPS 服务器的 UDP 目标端口 1645 (0x66D)。

    此筛选器允许进行从基于 Internet 的 RADIUS 客户端到 NPS 服务器的 RADIUS 身份验证通信。这是旧 RADIUS 客户端使用的 UDP 端口。

  • (可选)外围网络接口的目标 IP 地址和 NPS 服务器的 UDP 目标端口 1646 (0x66E)。

    此筛选器允许进行从基于 Internet 的 RADIUS 客户端到 NPS 服务器的 RADIUS 记帐通信。这是旧 RADIUS 客户端使用的 UDP 端口。

在防火墙的 Internet 接口上配置以下输出筛选器,以允许以下类型的通信:

  • 外围网络接口的源 IP 地址和 NPS 服务器的 UDP 源端口 1812 (0x714)。

    此筛选器允许进行从 NPS 服务器到基于 Internet 的 RADIUS 客户端的 RADIUS 身份验证通信。这是 NPS 使用的默认 UDP 端口,已在 RFC 2865 中定义。如果使用的是其他端口,请将该端口号替换为 1812。

  • 外围网络接口的源 IP 地址和 NPS 服务器的 UDP 源端口 1813 (0x715)。

    此筛选器允许进行从 NPS 服务器到基于 Internet 的 RADIUS 客户端的 RADIUS 记帐通信。这是 NPS 使用的默认 UDP 端口,已在 RFC 2866 中定义。如果使用的是其他端口,请将该端口号替换为 1813。

  • (可选)外围网络接口的源 IP 地址和 NPS 服务器的 UDP 源端口 1645 (0x66D)。

    此筛选器允许进行从 NPS 服务器到基于 Internet 的 RADIUS 客户端的 RADIUS 身份验证通信。这是旧 RADIUS 客户端使用的 UDP 端口。

  • (可选)外围网络接口的源 IP 地址和 NPS 服务器的 UDP 源端口 1646 (0x66E)。

    此筛选器允许进行从 NPS 服务器到基于 Internet 的 RADIUS 客户端的 RADIUS 记帐通信。这是旧 RADIUS 客户端使用的 UDP 端口。

外围网络接口上的筛选器

在防火墙的外围网络接口上配置以下输入筛选器,以允许以下类型的通信:

  • 外围网络接口的源 IP 地址和 NPS 服务器的 UDP 源端口 1812 (0x714)。

    此筛选器允许进行从 NPS 服务器到基于 Internet 的 RADIUS 客户端的 RADIUS 身份验证通信。这是 NPS 使用的默认 UDP 端口,已在 RFC 2865 中定义。如果使用的是其他端口,请将该端口号替换为 1812。

  • 外围网络接口的源 IP 地址和 NPS 服务器的 UDP 源端口 1813 (0x715)。

    此筛选器允许进行从 NPS 服务器到基于 Internet 的 RADIUS 客户端的 RADIUS 记帐通信。这是 NPS 使用的默认 UDP 端口,已在 RFC 2866 中定义。如果使用的是其他端口,请将该端口号替换为 1813。

  • (可选)外围网络接口的源 IP 地址和 NPS 服务器的 UDP 源端口 1645 (0x66D)。

    此筛选器允许进行从 NPS 服务器到基于 Internet 的 RADIUS 客户端的 RADIUS 身份验证通信。这是旧 RADIUS 客户端使用的 UDP 端口。

  • (可选)外围网络接口的源 IP 地址和 NPS 服务器的 UDP 源端口 1646 (0x66E)。

    此筛选器允许进行从 NPS 服务器到基于 Internet 的 RADIUS 客户端的 RADIUS 记帐通信。这是旧 RADIUS 客户端使用的 UDP 端口。

在防火墙的外围网络接口上配置以下输出数据包筛选器,以允许以下类型的通信:

  • 外围网络接口的目标 IP 地址和 NPS 服务器的 UDP 目标端口 1812 (0x714)。

    此筛选器允许进行从基于 Internet 的 RADIUS 客户端到 NPS 服务器的 RADIUS 身份验证通信。这是 NPS 使用的默认 UDP 端口,已在 RFC 2865 中定义。如果使用的是其他端口,请将该端口号替换为 1812。

  • 外围网络接口的目标 IP 地址和 NPS 服务器的 UDP 目标端口 1813 (0x715)。

    此筛选器允许进行从基于 Internet 的 RADIUS 客户端到 NPS 服务器的 RADIUS 记帐通信。这是 NPS 使用的默认 UDP 端口,已在 RFC 2866 中定义。如果使用的是其他端口,请将该端口号替换为 1813。

  • (可选)外围网络接口的目标 IP 地址和 NPS 服务器的 UDP 目标端口 1645 (0x66D)。

    此筛选器允许进行从基于 Internet 的 RADIUS 客户端到 NPS 服务器的 RADIUS 身份验证通信。这是旧 RADIUS 客户端使用的 UDP 端口。

  • (可选)外围网络接口的目标 IP 地址和 NPS 服务器的 UDP 目标端口 1646 (0x66E)。

    此筛选器允许进行从基于 Internet 的 RADIUS 客户端到 NPS 服务器的 RADIUS 记帐通信。这是旧 RADIUS 客户端使用的 UDP 端口。

为了加强安全性,您可以使用通过防火墙发送数据包的每个 RADIUS 客户端的 IP 地址为外围网络上的客户端和 NPS 服务器 IP 地址之间的通信定义筛选器。

配置 Intranet 防火墙

连接到 Intranet 的防火墙必须在其外围网络接口 [及其 Intranet 接口(可选)] 上配置有输入和输出筛选器,以允许在外围网络上的 NPS 服务器和 Intranet 上的域控制器之间转发 RADIUS 消息。其他筛选器可以允许将通信传递到外围网络上的 Web 服务器、VPN 服务器和其他类型的服务器。

可以在外围网络接口和 Intranet 接口上配置单独的输入和输出数据包筛选器。

外围网络接口上的筛选器

在 Intranet 防火墙的外围网络接口上配置以下输入数据包筛选器,以允许以下类型的通信:

  • NPS 服务器的外围网络接口的源 IP 地址。

    此筛选器允许来自外围网络上 NPS 服务器的通信。

在 Intranet 防火墙的外围网络接口上配置以下输出筛选器,以允许以下类型的通信:

  • NPS 服务器的外围网络接口的目标 IP 地址。

    此筛选器允许到外围网络上 NPS 服务器的通信。

Intranet 接口上的筛选器

在防火墙的 Intranet 接口上配置以下输入筛选器,以允许以下类型的通信:

  • NPS 服务器的外围网络接口的目标 IP 地址。

    此筛选器允许到外围网络上 NPS 服务器的通信。

在防火墙的 Intranet 接口上配置以下输出数据包筛选器,以允许以下类型的通信:

  • NPS 服务器的外围网络接口的源 IP 地址。

    此筛选器允许来自外围网络上 NPS 服务器的通信。

目录