A tűzfalakat be lehet állítani, hogy engedélyezzenek vagy tiltsanak bizonyos típusú IP-forgalmat arról vagy ahhoz a számítógéphez vagy eszközhöz, amelyen a tűzfal fut. Ha a tűzfalak nincsenek megfelelően beállítva, hogy engedélyezzék a RADIUS-forgalmat a RADIUS-ügyfelek, -proxyk és -kiszolgálók között, akkor a hálózati hozzáférés engedélyezése sikertelen lehet, és így megakadályozhatja, hogy a felhasználók hálózati erőforrásokat érjenek el.
Általában kétféle típusú tűzfalat kell beállítani a RADIUS-forgalom engedélyezéséhez:
-
A hálózati házirend-kiszolgálót futtató helyi kiszolgálón lévő Windows tűzfalat.
-
Más számítógépeken vagy hardvereken futó tűzfalakat.
Helyi hálózati házirend-kiszolgálón futó Windows tűzfal
Alapértelmezés szerint a hálózati házirend-kiszolgáló a RADIUS-forgalmat az 1812, 1813, 1645 és 1646 UDP-portok használatával küldi és fogadja, és a hálózati házirend-kiszolgálón lévő Windows tűzfalon a telepítő automatikusan beállítja a kivételeket a hálózati házirend-kiszolgáló telepítése során, így a RADIUS-forgalom küldése és fogadása engedélyezve lesz.
Így ha az alapértelmezett UDP-portokat használja, nem kell megváltoztatnia a Windows tűzfal beállításait a hálózati házirend-kiszolgáló felé irányuló és onnan érkező RADIUS-forgalom engedélyezéséhez.
Előfordulhat, hogy meg kell változtatnia a portokat, amelyeken az NPS a RADIUS-forgalmat kezeli. Ha a hálózati házirend-kiszolgálót és a hálózati hozzáférést biztosító kiszolgálókat úgy állítja be, hogy az alapértelmezett portoktól különböző portokon küldjék és fogadják a RADIUS-forgalmat, a következőt kell tennie:
-
Távolítsa el a kivételeket, amelyek engedélyezik a RADIUS-forgalmat az alapértelmezett portokon.
-
Hozzon létre új kivételeket, amelyek engedélyezik a RADIUS-forgalmat az új portokon.
További információt a következő témakörben talál: A hálózati házirend-kiszolgáló UDP-porttal kapcsolatos adatainak konfigurálása.
Egyéb tűzfalak
A leggyakoribb konfigurációban a tűzfal kapcsolódik az internethez, és a hálózati házirend-kiszolgáló intranetes erőforrás, amely a szegélyhálózatra csatlakozik.
A tartományvezérlő eléréséhez az intraneten belül a hálózati házirend-kiszolgáló rendelkezhet:
-
A szegélyhálózati kapcsolattal, és egy másik kapcsolattal, amely az intranetre csatlakozik (az IP-útválasztás nincs engedélyezve).
-
Egy egyedüli kapcsolattal, amely a szegélyhálózatra csatlakozik. Ebben a konfigurációban a hálózati házirend-kiszolgáló a tartományvezérlőkkel egy másik tűzfalon keresztül kommunikál, amely összekapcsolja a szegélyhálózatot az intranettel.
Az internetes tűzfal beállítása
Az internethez kapcsolódó tűzfalnál be kell állítani bemeneti és kimeneti szűrőket a tűzfal internetes kapcsolatán (és esetleg a szegélyhálózati kapcsolatán is), hogy engedélyezze a RADIUS-üzenetek továbbítását a hálózati házirend-kiszolgáló és a RADIUS-ügyfelek vagy az interneten lévő proxyk között. További szűrőkkel engedélyezheti a forgalmat a webkiszolgálók, VPN-kiszolgálók és más típusú kiszolgálók felé a szegélyhálózaton.
Különböző bemeneti és kimeneti csomagszűrők állíthatóak be az internetes kapcsolatra és a szegélyhálózati kapcsolatra.
Szűrők az internetes kapcsolaton
Az egyes forgalomtípusok engedélyezéséhez a következő bemeneti csomagszűrőket kell beállítania a tűzfal internetes kapcsolatán:
-
A szegélyhálózati adapter cél IP-címe és a hálózati házirend-kiszolgáló 1812-es (0x714) UDP-célportja.
Ez a szűrő engedélyezi a RADIUS-hitelesítési forgalmat az internetes RADIUS-ügyfelektől a hálózati házirend-kiszolgálóig. Ez a hálózati házirend-kiszolgáló által használt alapértelmezett UDP-port az RFC 2865 definíciója szerint. Ha más portot használ, cserélje le annak számával az 1812 értéket.
-
A szegélyhálózati kapcsolat cél IP-címe és a hálózati házirend-kiszolgáló 1813-as (0x715) UDP-célportja.
Ez a szűrő engedélyezi a RADIUS-nyilvántartási forgalmat az internetes RADIUS-ügyfelektől a hálózati házirend-kiszolgálóig. Ez a hálózati házirend-kiszolgáló által használt alapértelmezett UDP-port az RFC 2866 definíciója szerint. Ha más portot használ, cserélje le annak számával az 1813 értéket.
-
(Választható) A szegélyhálózati kapcsolat cél IP-címe és a hálózati házirend-kiszolgáló 1645-ös (0x66D) UDP-célportja.
Ez a szűrő engedélyezi a RADIUS-hitelesítési forgalmat az internetes RADIUS-ügyfelektől a hálózati házirend-kiszolgálóig. Ez a régebbi RADIUS-ügyfelek által használt UDP-port.
-
(Választható) A szegélyhálózati kapcsolat cél IP-címe és a hálózati házirend-kiszolgáló 1646-os (0x66E) UDP-célportja.
Ez a szűrő engedélyezi a RADIUS-nyilvántartási forgalmat az internetes RADIUS-ügyfelektől a hálózati házirend-kiszolgálóig. Ez a régebbi RADIUS-ügyfelek által használt UDP-port.
Az egyes forgalomtípusok engedélyezéséhez a következő kimeneti szűrőket kell beállítania a tűzfal internetes kapcsolatán:
-
A szegélyhálózati kapcsolat forrás IP-címe és a hálózati házirend-kiszolgáló 1812-es (0x714) UDP-forrásportja.
Ez a szűrő engedélyezi a RADIUS-hitelesítési forgalmat a hálózati házirend-kiszolgálótól az internetes RADIUS-ügyfelekig. Ez a hálózati házirend-kiszolgáló által használt alapértelmezett UDP-port az RFC 2865 definíciója szerint. Ha más portot használ, cserélje le annak számával az 1812 értéket.
-
A szegélyhálózati kapcsolat forrás IP-címe és a hálózati házirend-kiszolgáló 1813-as (0x715) UDP-forrásportja.
Ez a szűrő engedélyezi a RADIUS-nyilvántartási forgalmat az internetes RADIUS-ügyfelektől a hálózati házirend-kiszolgálóig. Ez a hálózati házirend-kiszolgáló által használt alapértelmezett UDP-port az RFC 2866 definíciója szerint. Ha más portot használ, cserélje le annak számával az 1813 értéket.
-
(Választható) A szegélyhálózati kapcsolat forrás IP-címe és a hálózati házirend-kiszolgáló 1645-ös (0x66D) UDP-forrásportja.
Ez a szűrő engedélyezi a RADIUS-hitelesítési forgalmat a hálózati házirend-kiszolgálótól az internetes RADIUS-ügyfelekig. Ez a régebbi RADIUS-ügyfelek által használt UDP-port.
-
(Választható) A szegélyhálózati kapcsolat forrás IP-címe és a hálózati házirend-kiszolgáló 1646-os (0x66E) UDP-forrásportja.
Ez a szűrő engedélyezi a RADIUS-nyilvántartási forgalmat az internetes RADIUS-ügyfelektől a hálózati házirend-kiszolgálóig. Ez a régebbi RADIUS-ügyfelek által használt UDP-port.
Szűrők a szegélyhálózati kapcsolaton
Az egyes forgalomtípusok engedélyezéséhez a következő bemeneti szűrőket kell beállítania a tűzfal szegélyhálózati kapcsolatán:
-
A szegélyhálózati kapcsolat forrás IP-címe és a hálózati házirend-kiszolgáló 1812-es (0x714) UDP-forrásportja.
Ez a szűrő engedélyezi a RADIUS-hitelesítési forgalmat a hálózati házirend-kiszolgálótól az internetes RADIUS-ügyfelekig. Ez a hálózati házirend-kiszolgáló által használt alapértelmezett UDP-port az RFC 2865 definíciója szerint. Ha más portot használ, cserélje le annak számával az 1812 értéket.
-
A szegélyhálózati kapcsolat forrás IP-címe és a hálózati házirend-kiszolgáló 1813-as (0x715) UDP-forrásportja.
Ez a szűrő engedélyezi a RADIUS-nyilvántartási forgalmat az internetes RADIUS-ügyfelektől a hálózati házirend-kiszolgálóig. Ez a hálózati házirend-kiszolgáló által használt alapértelmezett UDP-port az RFC 2866 definíciója szerint. Ha más portot használ, cserélje le annak számával az 1813 értéket.
-
(Nem kötelező.) A szegélyhálózati kapcsolat forrás IP-címe és a hálózati házirend-kiszolgáló 1645-ös (0x66D) UDP-forrásportja.
Ez a szűrő engedélyezi a RADIUS-hitelesítési forgalmat a hálózati házirend-kiszolgálótól az internetes RADIUS-ügyfelekig. Ez a régebbi RADIUS-ügyfelek által használt UDP-port.
-
(Nem kötelező.) A szegélyhálózati kapcsolat forrás IP-címe és a hálózati házirend-kiszolgáló 1646-os (0x66E) UDP-forrásportja.
Ez a szűrő engedélyezi a RADIUS-nyilvántartási forgalmat az internetes RADIUS-ügyfelektől a hálózati házirend-kiszolgálóig. Ez a régebbi RADIUS-ügyfelek által használt UDP-port.
Az egyes forgalomtípusok engedélyezéséhez a következő kimeneti csomagszűrőket kell beállítania a tűzfal szegélyhálózati kapcsolatán:
-
A szegélyhálózati adapter cél IP-címe és a hálózati házirend-kiszolgáló 1812-es (0x714) UDP-célportja.
Ez a szűrő engedélyezi a RADIUS-hitelesítési forgalmat az internetes RADIUS-ügyfelektől a hálózati házirend-kiszolgálóig. Ez a hálózati házirend-kiszolgáló által használt alapértelmezett UDP-port az RFC 2865 definíciója szerint. Ha más portot használ, cserélje le annak számával az 1812 értéket.
-
A szegélyhálózati kapcsolat cél IP-címe és a hálózati házirend-kiszolgáló 1813-as (0x715) UDP-célportja.
Ez a szűrő engedélyezi a RADIUS-nyilvántartási forgalmat az internetes RADIUS-ügyfelektől a hálózati házirend-kiszolgálóig. Ez a hálózati házirend-kiszolgáló által használt alapértelmezett UDP-port az RFC 2866 definíciója szerint. Ha más portot használ, cserélje le annak számával az 1813 értéket.
-
(Nem kötelező.) A szegélyhálózati kapcsolat cél IP-címe és a hálózati házirend-kiszolgáló 1645-ös (0x66D) UDP-célportja.
Ez a szűrő engedélyezi a RADIUS-hitelesítési forgalmat az internetes RADIUS-ügyfelektől a hálózati házirend-kiszolgálóig. Ez a régebbi RADIUS-ügyfelek által használt UDP-port.
-
(Nem kötelező.) A szegélyhálózati kapcsolat cél IP-címe és a hálózati házirend-kiszolgáló 1646-os (0x66E) UDP-célportja.
Ez a szűrő engedélyezi a RADIUS-nyilvántartási forgalmat az internetes RADIUS-ügyfelektől a hálózati házirend-kiszolgálóig. Ez a régebbi RADIUS-ügyfelek által használt UDP-port.
A nagyobb biztonság érdekében megadhatja minden egyes RADIUS-ügyfél IP-címét, amelyek csomagokat küldenek a tűzfalon keresztül, így beállíthat szűrőket az ügyfél és a szegélyhálózaton lévő hálózati házirend-kiszolgáló IP-címe közötti forgalomra.
Az intranetes tűzfal beállítása
Az intranethez kapcsolódó tűzfalnál be kell állítani bemeneti és kimeneti szűrőket a szegélyhálózati kapcsolaton (és esetleg az intranetes kapcsolaton is) a RADIUS-üzeneteknek a szegélyhálózaton lévő hálózati házirend-kiszolgáló és az intranetre kapcsolódó tartományvezérlők közötti továbbításának engedélyezéséhez. További szűrőkkel engedélyezheti a forgalmat a webkiszolgálók, VPN-kiszolgálók és más típusú kiszolgálók felé a szegélyhálózaton.
Különböző bemeneti és kimeneti csomagszűrők állíthatóak be a szegélyhálózati kapcsolatra és az intranetes kapcsolatra.
Szűrők a szegélyhálózati kapcsolaton
Az egyes forgalomtípusok engedélyezéséhez a következő bemeneti csomagszűrőket kell beállítania az intranetes tűzfal szegélyhálózati kapcsolatán:
-
A hálózati házirend-kiszolgáló szegélyhálózati kapcsolatának forrás IP-címe.
Ez a szűrő engedélyezi a hálózati házirend-kiszolgálótól származó forgalmat a szegélyhálózaton.
Az egyes forgalomtípusok engedélyezéséhez a következő kimeneti szűrőket kell beállítania az intranetes tűzfal szegélyhálózati kapcsolatán:
-
A hálózati házirend-kiszolgáló szegélyhálózati kapcsolatának cél IP-címe.
Ez a szűrő engedélyezi a hálózati házirend-kiszolgáló irányába haladó forgalmat a szegélyhálózaton.
Szűrők az intranetes kapcsolaton
Az egyes forgalomtípusok engedélyezéséhez a következő bemeneti szűrőket kell beállítania a tűzfal intranetes kapcsolatán:
-
A hálózati házirend-kiszolgáló szegélyhálózati kapcsolatának cél IP-címe.
Ez a szűrő engedélyezi a hálózati házirend-kiszolgáló irányában haladó forgalmat a szegélyhálózaton.
Az egyes forgalomtípusok engedélyezéséhez a következő kimeneti csomagszűrőket kell beállítania a tűzfal intranetes kapcsolatán:
-
A hálózati házirend-kiszolgáló szegélyhálózati kapcsolatának forrás IP-címe.
Ez a szűrő engedélyezi a hálózati házirend-kiszolgálótól származó forgalmat a szegélyhálózaton.