A tűzfalakat be lehet állítani, hogy engedélyezzenek vagy tiltsanak bizonyos típusú IP-forgalmat arról vagy ahhoz a számítógéphez vagy eszközhöz, amelyen a tűzfal fut. Ha a tűzfalak nincsenek megfelelően beállítva, hogy engedélyezzék a RADIUS-forgalmat a RADIUS-ügyfelek, -proxyk és -kiszolgálók között, akkor a hálózati hozzáférés engedélyezése sikertelen lehet, és így megakadályozhatja, hogy a felhasználók hálózati erőforrásokat érjenek el.

Általában kétféle típusú tűzfalat kell beállítani a RADIUS-forgalom engedélyezéséhez:

  • A hálózati házirend-kiszolgálót futtató helyi kiszolgálón lévő Windows tűzfalat.

  • Más számítógépeken vagy hardvereken futó tűzfalakat.

Helyi hálózati házirend-kiszolgálón futó Windows tűzfal

Alapértelmezés szerint a hálózati házirend-kiszolgáló a RADIUS-forgalmat az 1812, 1813, 1645 és 1646 UDP-portok használatával küldi és fogadja, és a hálózati házirend-kiszolgálón lévő Windows tűzfalon a telepítő automatikusan beállítja a kivételeket a hálózati házirend-kiszolgáló telepítése során, így a RADIUS-forgalom küldése és fogadása engedélyezve lesz.

Így ha az alapértelmezett UDP-portokat használja, nem kell megváltoztatnia a Windows tűzfal beállításait a hálózati házirend-kiszolgáló felé irányuló és onnan érkező RADIUS-forgalom engedélyezéséhez.

Előfordulhat, hogy meg kell változtatnia a portokat, amelyeken az NPS a RADIUS-forgalmat kezeli. Ha a hálózati házirend-kiszolgálót és a hálózati hozzáférést biztosító kiszolgálókat úgy állítja be, hogy az alapértelmezett portoktól különböző portokon küldjék és fogadják a RADIUS-forgalmat, a következőt kell tennie:

  • Távolítsa el a kivételeket, amelyek engedélyezik a RADIUS-forgalmat az alapértelmezett portokon.

  • Hozzon létre új kivételeket, amelyek engedélyezik a RADIUS-forgalmat az új portokon.

További információt a következő témakörben talál: A hálózati házirend-kiszolgáló UDP-porttal kapcsolatos adatainak konfigurálása.

Egyéb tűzfalak

A leggyakoribb konfigurációban a tűzfal kapcsolódik az internethez, és a hálózati házirend-kiszolgáló intranetes erőforrás, amely a szegélyhálózatra csatlakozik.

A tartományvezérlő eléréséhez az intraneten belül a hálózati házirend-kiszolgáló rendelkezhet:

  • A szegélyhálózati kapcsolattal, és egy másik kapcsolattal, amely az intranetre csatlakozik (az IP-útválasztás nincs engedélyezve).

  • Egy egyedüli kapcsolattal, amely a szegélyhálózatra csatlakozik. Ebben a konfigurációban a hálózati házirend-kiszolgáló a tartományvezérlőkkel egy másik tűzfalon keresztül kommunikál, amely összekapcsolja a szegélyhálózatot az intranettel.

Az internetes tűzfal beállítása

Az internethez kapcsolódó tűzfalnál be kell állítani bemeneti és kimeneti szűrőket a tűzfal internetes kapcsolatán (és esetleg a szegélyhálózati kapcsolatán is), hogy engedélyezze a RADIUS-üzenetek továbbítását a hálózati házirend-kiszolgáló és a RADIUS-ügyfelek vagy az interneten lévő proxyk között. További szűrőkkel engedélyezheti a forgalmat a webkiszolgálók, VPN-kiszolgálók és más típusú kiszolgálók felé a szegélyhálózaton.

Különböző bemeneti és kimeneti csomagszűrők állíthatóak be az internetes kapcsolatra és a szegélyhálózati kapcsolatra.

Szűrők az internetes kapcsolaton

Az egyes forgalomtípusok engedélyezéséhez a következő bemeneti csomagszűrőket kell beállítania a tűzfal internetes kapcsolatán:

  • A szegélyhálózati adapter cél IP-címe és a hálózati házirend-kiszolgáló 1812-es (0x714) UDP-célportja.

    Ez a szűrő engedélyezi a RADIUS-hitelesítési forgalmat az internetes RADIUS-ügyfelektől a hálózati házirend-kiszolgálóig. Ez a hálózati házirend-kiszolgáló által használt alapértelmezett UDP-port az RFC 2865 definíciója szerint. Ha más portot használ, cserélje le annak számával az 1812 értéket.

  • A szegélyhálózati kapcsolat cél IP-címe és a hálózati házirend-kiszolgáló 1813-as (0x715) UDP-célportja.

    Ez a szűrő engedélyezi a RADIUS-nyilvántartási forgalmat az internetes RADIUS-ügyfelektől a hálózati házirend-kiszolgálóig. Ez a hálózati házirend-kiszolgáló által használt alapértelmezett UDP-port az RFC 2866 definíciója szerint. Ha más portot használ, cserélje le annak számával az 1813 értéket.

  • (Választható) A szegélyhálózati kapcsolat cél IP-címe és a hálózati házirend-kiszolgáló 1645-ös (0x66D) UDP-célportja.

    Ez a szűrő engedélyezi a RADIUS-hitelesítési forgalmat az internetes RADIUS-ügyfelektől a hálózati házirend-kiszolgálóig. Ez a régebbi RADIUS-ügyfelek által használt UDP-port.

  • (Választható) A szegélyhálózati kapcsolat cél IP-címe és a hálózati házirend-kiszolgáló 1646-os (0x66E) UDP-célportja.

    Ez a szűrő engedélyezi a RADIUS-nyilvántartási forgalmat az internetes RADIUS-ügyfelektől a hálózati házirend-kiszolgálóig. Ez a régebbi RADIUS-ügyfelek által használt UDP-port.

Az egyes forgalomtípusok engedélyezéséhez a következő kimeneti szűrőket kell beállítania a tűzfal internetes kapcsolatán:

  • A szegélyhálózati kapcsolat forrás IP-címe és a hálózati házirend-kiszolgáló 1812-es (0x714) UDP-forrásportja.

    Ez a szűrő engedélyezi a RADIUS-hitelesítési forgalmat a hálózati házirend-kiszolgálótól az internetes RADIUS-ügyfelekig. Ez a hálózati házirend-kiszolgáló által használt alapértelmezett UDP-port az RFC 2865 definíciója szerint. Ha más portot használ, cserélje le annak számával az 1812 értéket.

  • A szegélyhálózati kapcsolat forrás IP-címe és a hálózati házirend-kiszolgáló 1813-as (0x715) UDP-forrásportja.

    Ez a szűrő engedélyezi a RADIUS-nyilvántartási forgalmat az internetes RADIUS-ügyfelektől a hálózati házirend-kiszolgálóig. Ez a hálózati házirend-kiszolgáló által használt alapértelmezett UDP-port az RFC 2866 definíciója szerint. Ha más portot használ, cserélje le annak számával az 1813 értéket.

  • (Választható) A szegélyhálózati kapcsolat forrás IP-címe és a hálózati házirend-kiszolgáló 1645-ös (0x66D) UDP-forrásportja.

    Ez a szűrő engedélyezi a RADIUS-hitelesítési forgalmat a hálózati házirend-kiszolgálótól az internetes RADIUS-ügyfelekig. Ez a régebbi RADIUS-ügyfelek által használt UDP-port.

  • (Választható) A szegélyhálózati kapcsolat forrás IP-címe és a hálózati házirend-kiszolgáló 1646-os (0x66E) UDP-forrásportja.

    Ez a szűrő engedélyezi a RADIUS-nyilvántartási forgalmat az internetes RADIUS-ügyfelektől a hálózati házirend-kiszolgálóig. Ez a régebbi RADIUS-ügyfelek által használt UDP-port.

Szűrők a szegélyhálózati kapcsolaton

Az egyes forgalomtípusok engedélyezéséhez a következő bemeneti szűrőket kell beállítania a tűzfal szegélyhálózati kapcsolatán:

  • A szegélyhálózati kapcsolat forrás IP-címe és a hálózati házirend-kiszolgáló 1812-es (0x714) UDP-forrásportja.

    Ez a szűrő engedélyezi a RADIUS-hitelesítési forgalmat a hálózati házirend-kiszolgálótól az internetes RADIUS-ügyfelekig. Ez a hálózati házirend-kiszolgáló által használt alapértelmezett UDP-port az RFC 2865 definíciója szerint. Ha más portot használ, cserélje le annak számával az 1812 értéket.

  • A szegélyhálózati kapcsolat forrás IP-címe és a hálózati házirend-kiszolgáló 1813-as (0x715) UDP-forrásportja.

    Ez a szűrő engedélyezi a RADIUS-nyilvántartási forgalmat az internetes RADIUS-ügyfelektől a hálózati házirend-kiszolgálóig. Ez a hálózati házirend-kiszolgáló által használt alapértelmezett UDP-port az RFC 2866 definíciója szerint. Ha más portot használ, cserélje le annak számával az 1813 értéket.

  • (Nem kötelező.) A szegélyhálózati kapcsolat forrás IP-címe és a hálózati házirend-kiszolgáló 1645-ös (0x66D) UDP-forrásportja.

    Ez a szűrő engedélyezi a RADIUS-hitelesítési forgalmat a hálózati házirend-kiszolgálótól az internetes RADIUS-ügyfelekig. Ez a régebbi RADIUS-ügyfelek által használt UDP-port.

  • (Nem kötelező.) A szegélyhálózati kapcsolat forrás IP-címe és a hálózati házirend-kiszolgáló 1646-os (0x66E) UDP-forrásportja.

    Ez a szűrő engedélyezi a RADIUS-nyilvántartási forgalmat az internetes RADIUS-ügyfelektől a hálózati házirend-kiszolgálóig. Ez a régebbi RADIUS-ügyfelek által használt UDP-port.

Az egyes forgalomtípusok engedélyezéséhez a következő kimeneti csomagszűrőket kell beállítania a tűzfal szegélyhálózati kapcsolatán:

  • A szegélyhálózati adapter cél IP-címe és a hálózati házirend-kiszolgáló 1812-es (0x714) UDP-célportja.

    Ez a szűrő engedélyezi a RADIUS-hitelesítési forgalmat az internetes RADIUS-ügyfelektől a hálózati házirend-kiszolgálóig. Ez a hálózati házirend-kiszolgáló által használt alapértelmezett UDP-port az RFC 2865 definíciója szerint. Ha más portot használ, cserélje le annak számával az 1812 értéket.

  • A szegélyhálózati kapcsolat cél IP-címe és a hálózati házirend-kiszolgáló 1813-as (0x715) UDP-célportja.

    Ez a szűrő engedélyezi a RADIUS-nyilvántartási forgalmat az internetes RADIUS-ügyfelektől a hálózati házirend-kiszolgálóig. Ez a hálózati házirend-kiszolgáló által használt alapértelmezett UDP-port az RFC 2866 definíciója szerint. Ha más portot használ, cserélje le annak számával az 1813 értéket.

  • (Nem kötelező.) A szegélyhálózati kapcsolat cél IP-címe és a hálózati házirend-kiszolgáló 1645-ös (0x66D) UDP-célportja.

    Ez a szűrő engedélyezi a RADIUS-hitelesítési forgalmat az internetes RADIUS-ügyfelektől a hálózati házirend-kiszolgálóig. Ez a régebbi RADIUS-ügyfelek által használt UDP-port.

  • (Nem kötelező.) A szegélyhálózati kapcsolat cél IP-címe és a hálózati házirend-kiszolgáló 1646-os (0x66E) UDP-célportja.

    Ez a szűrő engedélyezi a RADIUS-nyilvántartási forgalmat az internetes RADIUS-ügyfelektől a hálózati házirend-kiszolgálóig. Ez a régebbi RADIUS-ügyfelek által használt UDP-port.

A nagyobb biztonság érdekében megadhatja minden egyes RADIUS-ügyfél IP-címét, amelyek csomagokat küldenek a tűzfalon keresztül, így beállíthat szűrőket az ügyfél és a szegélyhálózaton lévő hálózati házirend-kiszolgáló IP-címe közötti forgalomra.

Az intranetes tűzfal beállítása

Az intranethez kapcsolódó tűzfalnál be kell állítani bemeneti és kimeneti szűrőket a szegélyhálózati kapcsolaton (és esetleg az intranetes kapcsolaton is) a RADIUS-üzeneteknek a szegélyhálózaton lévő hálózati házirend-kiszolgáló és az intranetre kapcsolódó tartományvezérlők közötti továbbításának engedélyezéséhez. További szűrőkkel engedélyezheti a forgalmat a webkiszolgálók, VPN-kiszolgálók és más típusú kiszolgálók felé a szegélyhálózaton.

Különböző bemeneti és kimeneti csomagszűrők állíthatóak be a szegélyhálózati kapcsolatra és az intranetes kapcsolatra.

Szűrők a szegélyhálózati kapcsolaton

Az egyes forgalomtípusok engedélyezéséhez a következő bemeneti csomagszűrőket kell beállítania az intranetes tűzfal szegélyhálózati kapcsolatán:

  • A hálózati házirend-kiszolgáló szegélyhálózati kapcsolatának forrás IP-címe.

    Ez a szűrő engedélyezi a hálózati házirend-kiszolgálótól származó forgalmat a szegélyhálózaton.

Az egyes forgalomtípusok engedélyezéséhez a következő kimeneti szűrőket kell beállítania az intranetes tűzfal szegélyhálózati kapcsolatán:

  • A hálózati házirend-kiszolgáló szegélyhálózati kapcsolatának cél IP-címe.

    Ez a szűrő engedélyezi a hálózati házirend-kiszolgáló irányába haladó forgalmat a szegélyhálózaton.

Szűrők az intranetes kapcsolaton

Az egyes forgalomtípusok engedélyezéséhez a következő bemeneti szűrőket kell beállítania a tűzfal intranetes kapcsolatán:

  • A hálózati házirend-kiszolgáló szegélyhálózati kapcsolatának cél IP-címe.

    Ez a szűrő engedélyezi a hálózati házirend-kiszolgáló irányában haladó forgalmat a szegélyhálózaton.

Az egyes forgalomtípusok engedélyezéséhez a következő kimeneti csomagszűrőket kell beállítania a tűzfal intranetes kapcsolatán:

  • A hálózati házirend-kiszolgáló szegélyhálózati kapcsolatának forrás IP-címe.

    Ez a szűrő engedélyezi a hálózati házirend-kiszolgálótól származó forgalmat a szegélyhálózaton.

Tartalom