Brány firewall lze konfigurovat tak, aby povolily nebo zablokovaly určité typy přenosů IP směrem dovnitř nebo ven z počítače, na kterém je spuštěna brána firewall. Nejsou-li brány firewall nakonfigurovány tak, aby umožňovaly provoz mezi klienty RADIUS, proxy servery RADIUS a servery RADIUS, může ověření přístupu k síti selhat a odepřít uživatelům přístup k síťovým prostředkům.

Chcete-li povolit přenosy RADIUS, bude pravděpodobně nutné konfigurovat dva typy bran firewall:

  • Bránu Windows Firewall na místním serveru se spuštěným serverem NPS (Network Policy Server).

  • Brány firewall spuštěné na ostatních počítačích nebo hardwarových zařízeních.

Brána Windows Firewall na místním serveru NPS

Ve výchozím nastavení server NPS odesílá a přijímá přenosy RADIUS pomocí protokolu UDP (User Datagram Protocol) přes porty 1812, 1813, 1645 a 1646. V bráně Windows Firewall na serveru NPS jsou při instalaci serveru NPS nakonfigurovány výjimky povolující příchozí a odchozí přenosy RADIUS.

Jestliže používáte výchozí porty protokolu UDP, není nutné měnit konfiguraci brány Windows Firewall kvůli povolení příchozích a odchozích přenosů RADIUS na serverech NPS.

V některých případech je vhodnější změnit porty používané serverem NPS pro přenosy RADIUS. Jestliže nakonfigurujete server NPS a servery pro přístup k síti tak, aby příchozí a odchozí provoz RADIUS probíhal na jiných portech než výchozích, je třeba provést následující akce:

  • Odebrat výjimky umožňující provoz RADIUS přes výchozí porty.

  • Vytvořit nové výjimky umožňující provoz RADIUS na nových portech.

Další informace naleznete v tématu Konfigurace informací o portech UDP serveru NPS.

Ostatní brány firewall

Při nejběžnější konfiguraci je bezpečnostní brána firewall připojena k síti Internet a server NPS představuje prostředek sítě intranet, který je připojen k obvodové síti.

Server NPS může získat přístup k řadiči domény v rámci sítě intranet pomocí:

  • Rozhraní v obvodové síti a rozhraní v síti intranet (směrování IP není povoleno).

  • Jednoho rozhraní v obvodové síti. Při této konfiguraci komunikuje server NPS s řadiči domény prostřednictvím jiné brány firewall, která spojuje obvodovou síť a intranet.

Konfigurace brány firewall sítě Internet

Brána firewall připojená k síti Internet musí být konfigurována se vstupními a výstupními filtry svého rozhraní sítě Internet (případně rozhraní obvodové sítě), aby bylo možné předávat zprávy RADIUS mezi serverem NPS a klienty nebo proxy servery RADIUS v síti Internet. Další filtry mohou umožnit přenos na webové servery, servery VPN a další typy serverů v obvodové síti.

V rozhraní sítě Internet a obvodové sítě lze nakonfigurovat samostatné vstupní a výstupní filtry paketů.

Filtry rozhraní Internetu

Nakonfigurujte následující vstupní filtry paketů v rozhraní sítě Internet brány firewall, které umožní následující typy přenosu:

  • Cílová IP adresa rozhraní obvodové sítě a cílový port UDP 1812 (0x714) serveru NPS.

    Tento filtr umožňuje přenosy ověřené protokolem RADIUS z klientů RADIUS v síti Internet na server NPS. Jedná se o výchozí port UDP používaný serverem NPS podle definice v dokumentu RFC 2865. Používáte-li jiný port, dosaďte jeho číslo za hodnotu 1812.

  • Cílová IP adresa rozhraní obvodové sítě a cílový port UDP 1813 (0x715) serveru NPS.

    Tento filtr umožňuje přenos s monitorováním protokolem RADIUS z klientů RADIUS v síti Internet na server NPS. Jedná se o výchozí port UDP používaný serverem NPS podle definice v dokumentu RFC 2866. Používáte-li jiný port, dosaďte jeho číslo za hodnotu 1813.

  • (Nepovinné) Cílová IP adresa rozhraní obvodové sítě a cílový port UDP 1645 (0x66D) serveru NPS.

    Tento filtr umožňuje přenosy ověřené protokolem RADIUS z klientů RADIUS v síti Internet na server NPS. Tento port UDP používají původní klienti RADIUS.

  • (Nepovinné) Cílová IP adresa rozhraní obvodové sítě a cílový port UDP 1646 (0x66E) serveru NPS.

    Tento filtr umožňuje přenos s monitorováním protokolem RADIUS z klientů RADIUS v síti Internet na server NPS. Tento port UDP používají původní klienti RADIUS.

V rozhraní sítě Internet brány firewall nakonfigurujte následující výstupní filtry, které umožní následující typy přenosu:

  • Zdrojová IP adresa rozhraní obvodové sítě a zdrojový port UDP 1812 (0x714) serveru NPS.

    Tento filtr umožňuje přenosy ověřené protokolem RADIUS ze serveru NPS na klienty RADIUS v síti Internet. Jedná se o výchozí port UDP používaný serverem NPS podle definice v dokumentu RFC 2865. Používáte-li jiný port, dosaďte jeho číslo za hodnotu 1812.

  • Zdrojová IP adresa rozhraní obvodové sítě a zdrojový port UDP 1813 (0x715) serveru NPS.

    Tento filtr umožňuje přenos s monitorováním protokolem RADIUS ze serveru NPS ke klientům RADIUS v síti Internet. Jedná se o výchozí port UDP používaný serverem NPS podle definice v dokumentu RFC 2866. Používáte-li jiný port, dosaďte jeho číslo za hodnotu 1813.

  • (Nepovinné) Zdrojová IP adresa rozhraní obvodové sítě a zdrojový port UDP 1645 (0x66D) serveru NPS.

    Tento filtr umožňuje přenosy ověřené protokolem RADIUS ze serveru NPS na klienty RADIUS v síti Internet. Tento port UDP používají původní klienti RADIUS.

  • (Nepovinné) Zdrojová IP adresa rozhraní obvodové sítě a zdrojový port UDP 1646 (0x66E) serveru NPS.

    Tento filtr umožňuje přenos s monitorováním protokolem RADIUS ze serveru NPS ke klientům RADIUS v síti Internet. Tento port UDP používají původní klienti RADIUS.

Filtry rozhraní obvodové sítě

Konfigurací následujících vstupních filtrů v rozhraní obvodové sítě brány firewall umožníte následující typy přenosu:

  • Zdrojová IP adresa rozhraní obvodové sítě a zdrojový port UDP 1812 (0x714) serveru NPS.

    Tento filtr umožňuje přenosy ověřené protokolem RADIUS ze serveru NPS na klienty RADIUS v síti Internet. Jedná se o výchozí port UDP používaný serverem NPS podle definice v dokumentu RFC 2865. Používáte-li jiný port, dosaďte jeho číslo za hodnotu 1812.

  • Zdrojová IP adresa rozhraní obvodové sítě a zdrojový port UDP 1813 (0x715) serveru NPS.

    Tento filtr umožňuje přenos s monitorováním protokolem RADIUS ze serveru NPS ke klientům RADIUS v síti Internet. Jedná se o výchozí port UDP používaný serverem NPS podle definice v dokumentu RFC 2866. Používáte-li jiný port, dosaďte jeho číslo za hodnotu 1813.

  • (Nepovinné) Zdrojová IP adresa rozhraní obvodové sítě a zdrojový port UDP 1645 (0x66D) serveru NPS.

    Tento filtr umožňuje přenosy ověřené protokolem RADIUS ze serveru NPS na klienty RADIUS v síti Internet. Tento port UDP používají původní klienti RADIUS.

  • (Nepovinné) Zdrojová IP adresa rozhraní obvodové sítě a zdrojový port UDP 1646 (0x66E) serveru NPS.

    Tento filtr umožňuje přenos s monitorováním protokolem RADIUS ze serveru NPS ke klientům RADIUS v síti Internet. Tento port UDP používají původní klienti RADIUS.

Konfigurací následujících výstupních filtrů paketů v rozhraní obvodové sítě brány firewall umožníte následující typy přenosu:

  • Cílová IP adresa rozhraní obvodové sítě a cílový port UDP 1812 (0x714) serveru NPS.

    Tento filtr umožňuje přenosy ověřené protokolem RADIUS z klientů RADIUS v síti Internet na server NPS. Jedná se o výchozí port UDP používaný serverem NPS podle definice v dokumentu RFC 2865. Používáte-li jiný port, dosaďte jeho číslo za hodnotu 1812.

  • Cílová IP adresa rozhraní obvodové sítě a cílový port UDP 1813 (0x715) serveru NPS.

    Tento filtr umožňuje přenos s monitorováním protokolem RADIUS z klientů RADIUS v síti Internet na server NPS. Jedná se o výchozí port UDP používaný serverem NPS podle definice v dokumentu RFC 2866. Používáte-li jiný port, dosaďte jeho číslo za hodnotu 1813.

  • (Nepovinné) Cílová IP adresa rozhraní obvodové sítě a cílový port UDP 1645 (0x66D) serveru NPS.

    Tento filtr umožňuje přenosy ověřené protokolem RADIUS z klientů RADIUS v síti Internet na server NPS. Tento port UDP používají původní klienti RADIUS.

  • (Nepovinné) Cílová IP adresa rozhraní obvodové sítě a cílový port UDP 1646 (0x66E) serveru NPS.

    Tento filtr umožňuje přenos s monitorováním protokolem RADIUS z klientů RADIUS v síti Internet na server NPS. Tento port UDP používají původní klienti RADIUS.

Kvůli většímu zabezpečení můžete pomocí IP adres každého klienta RADIUS, který odesílá pakety přes bránu firewall, definovat filtry pro přenos mezi klientem a IP adresou serveru NPS v obvodové síti.

Konfigurace brány firewall sítě intranet

Brána firewall připojená k síti intranet musí být konfigurována se vstupními a výstupními filtry ve svém rozhraní obvodové sítě (případně v rozhraní sítě intranet), aby bylo možné předávat zprávy RADIUS mezi serverem NPS v obvodové síti a řadiči domén v síti intranet. Další filtry mohou umožnit přenos na webový server, server VPN a další typy serverů v obvodové síti.

V rozhraní sítě intranet a obvodové sítě lze nakonfigurovat samostatné vstupní a výstupní filtry paketů.

Filtry rozhraní obvodové sítě

Konfigurací následujících vstupních filtrů paketů v rozhraní obvodové sítě brány firewall sítě intranet umožníte následující typy přenosu:

  • Zdrojová IP adresa rozhraní obvodové sítě serveru NPS.

    Tento filtr umožňuje přenos ze serveru NPS v obvodové síti.

Konfigurací následujících výstupních filtrů v rozhraní obvodové sítě brány firewall sítě intranet umožníte následující typy přenosu:

  • Cílová IP adresa rozhraní obvodové sítě serveru NPS.

    Tento filtr umožňuje přenos na server NPS v obvodové síti.

Filtry rozhraní sítě intranet

V rozhraní sítě intranet brány firewall nakonfigurujte následující vstupní filtry, které umožní následující typy přenosu:

  • Cílová IP adresa rozhraní obvodové sítě serveru NPS.

    Tento filtr umožňuje přenos na server NPS v obvodové síti.

V rozhraní sítě intranet brány firewall nakonfigurujte následující výstupní filtry paketů, které umožní následující typy přenosu:

  • Zdrojová IP adresa rozhraní obvodové sítě serveru NPS.

    Tento filtr umožňuje přenos ze serveru NPS v obvodové síti.

Obsah