Os firewalls podem ser configurados para permitir ou bloquear tipos de tráfego IP para o computador/dispositivo no qual o firewall está sendo executado ou a partir desse computador/dispositivo. Se os firewalls não forem configurados adequadamente para permitir o tráfego RADIUS entre clientes RADIUS, proxies RADIUS e servidores RADIUS, a autenticação do acesso à rede poderá falhar, impedindo que os usuários acessem os recursos da rede.

Dois tipos de firewalls precisam ser configurados para permitir o tráfego RADIUS:

  • O Firewall do Windows no servidor local que executa o Servidor de Diretivas de Rede (NPS).

  • Os firewalls que são executados em outros computadores ou dispositivos de hardware.

Firewall do Windows no servidor NPS local

Por padrão, o NPS envia e recebe tráfego RADIUS através das portas UDP (Protocolo de Datagrama de Usuário) 1812, 1813, 1645 e 1646, e o Firewall do Windows no servidor NPS é configurado automaticamente com exceções, durante a instalação do NPS, para permitir que esse tráfego RADIUS seja enviado e recebido.

Portanto, se você estiver usando as portas UDP padrão, não será necessário alterar a configuração do Firewall do Windows para permitir o tráfego RADIUS para servidores NPS ou a partir deles.

Em alguns casos, você pode querer alterar as portas que o NPS usa para o tráfego RADIUS. Se você configurar o NPS e os servidores de acesso à rede para enviar e receber o tráfego RADIUS em portas diferentes das portas padrão, deverá fazer o seguinte:

  • Remover as exceções que permitem o tráfego RADIUS pelas portas padrão.

  • Criar novas exceções que permitam o tráfego RADIUS pelas portas novas.

Para obter mais informações, consulte Configurar informações da porta UDP de NPS.

Outros firewalls

Na configuração mais comum, o firewall é conectado à Internet, e o servidor NPS é outro recurso de intranet conectado à rede de perímetro.

Para alcançar o controlador de domínio na intranet, o servidor NPS deve ter:

  • Uma interface na rede de perímetro e uma interface na intranet (o roteamento IP não é habilitado).

  • Uma única interface na rede de perímetro. Nesta configuração, o NPS se comunica com controladores de domínio através de outro firewall que conecta a rede de perímetro à intranet.

Configurando o firewall da Internet

O firewall conectado à Internet deve ser configurado com filtros de entrada e saída na interface da Internet (e, opcionalmente, na interface do perímetro de rede), para permitir o encaminhamento de mensagens RADIUS entre o servidor NPS e os clientes RADIUS ou proxies na Internet. Filtros adicionais podem ser usados para permitir a transmissão do tráfego para servidores Web, servidores VPN e outros tipos de servidores na rede de perímetro.

Filtros de pacote de entrada e saída separados podem ser configurados na interface da Internet e na interface da rede de perímetro.

Filtros na interface da Internet

Configure os seguintes filtros de pacote de entrada na interface da Internet do firewall para permitir os seguintes tipos de tráfego:

  • O endereço IP de destino da interface da rede de perímetro e a porta de destino UDP de 1812 (0x714) do servidor NPS.

    Este filtro permite o tráfego de autenticação RADIUS dos clientes RADIUS baseados em Internet para o servidor NPS. Esta é a porta UDP padrão usada pelo NPS, conforme definido na RFC 2865. Se você estiver usando uma porta diferente, substitua esse número de porta por 1812.

  • O endereço IP de destino da interface da rede de perímetro e a porta de destino UDP de 1813 (0x715) do servidor NPS.

    Este filtro permite o tráfego de contabilização RADIUS dos clientes RADIUS baseados em Internet para o servidor NPS. Esta é a porta UDP padrão usada pelo NPS, conforme definido na RFC 2866. Se você estiver usando uma porta diferente, substitua esse número de porta por 1813.

  • (Opcional) O endereço IP de destino da interface da rede de perímetro e a porta de destino UDP de 1645 (0x66D) do servidor NPS.

    Este filtro permite o tráfego de autenticação RADIUS dos clientes RADIUS baseados em Internet para o servidor NPS. Esta é a porta UDP usada pelos clientes RADIUS mais antigos.

  • (Opcional) O endereço IP de destino da interface da rede de perímetro e a porta de destino UDP de 1646 (0x66E) do servidor NPS.

    Este filtro permite o tráfego de contabilização RADIUS dos clientes RADIUS baseados em Internet para o servidor NPS. Esta é a porta UDP usada pelos clientes RADIUS mais antigos.

Configure os seguintes filtros de saída na interface da Internet do firewall para permitir os seguintes tipos de tráfego:

  • O endereço IP de origem da interface da rede de perímetro e a porta de origem UDP de 1812 (0x714) do servidor NPS.

    Este filtro permite o tráfego de autenticação RADIUS do servidor NPS para os clientes RADIUS baseados em Internet. Esta é a porta UDP padrão usada pelo NPS, conforme definido na RFC 2865. Se você estiver usando uma porta diferente, substitua esse número de porta por 1812.

  • O endereço IP de origem da interface da rede de perímetro e a porta de origem UDP de 1813 (0x715) do servidor NPS.

    Este filtro permite o tráfego de contabilização RADIUS do servidor NPS para os clientes RADIUS baseados em Internet. Esta é a porta UDP padrão usada pelo NPS, conforme definido na RFC 2866. Se você estiver usando uma porta diferente, substitua esse número de porta por 1813.

  • (Opcional) O endereço IP de origem da interface da rede de perímetro e a porta de origem UDP de 1645 (0x66D) do servidor NPS.

    Este filtro permite o tráfego de autenticação RADIUS do servidor NPS para os clientes RADIUS baseados em Internet. Esta é a porta UDP usada pelos clientes RADIUS mais antigos.

  • (Opcional) O endereço IP de origem da interface da rede de perímetro e a porta de origem UDP de 1646 (0x66E) do servidor NPS.

    Este filtro permite o tráfego de contabilização RADIUS do servidor NPS para os clientes RADIUS baseados em Internet. Esta é a porta UDP usada pelos clientes RADIUS mais antigos.

Filtros na interface da rede de perímetro

Configure os seguintes filtros de entrada na interface da rede de perímetro do firewall para permitir os seguintes tipos de tráfego:

  • O endereço IP de origem da interface da rede de perímetro e a porta de origem UDP de 1812 (0x714) do servidor NPS.

    Este filtro permite o tráfego de autenticação RADIUS do servidor NPS para os clientes RADIUS baseados em Internet. Esta é a porta UDP padrão usada pelo NPS, conforme definido na RFC 2865. Se você estiver usando uma porta diferente, substitua esse número de porta por 1812.

  • O endereço IP de origem da interface da rede de perímetro e a porta de origem UDP de 1813 (0x715) do servidor NPS.

    Este filtro permite o tráfego de contabilizaçãoRADIUS do servidor NPS para os clientes RADIUS baseados em Internet. Esta é a porta UDP padrão usada pelo NPS, conforme definido na RFC 2866. Se você estiver usando uma porta diferente, substitua esse número de porta por 1813.

  • (Opcional) O endereço IP de origem da interface da rede de perímetro e a porta de origem UDP de 1645 (0x66D) do servidor NPS.

    Este filtro permite o tráfego de autenticação RADIUS do servidor NPS para os clientes RADIUS baseados em Internet. Esta é a porta UDP usada pelos clientes RADIUS mais antigos.

  • (Opcional) O endereço IP de origem da interface da rede de perímetro e a porta de origem UDP de 1646 (0x66E) do servidor NPS.

    Este filtro permite o tráfego de contabilizaçãoRADIUS do servidor NPS para os clientes RADIUS baseados em Internet. Esta é a porta UDP usada pelos clientes RADIUS mais antigos.

Configure os seguintes filtros de pacote de saída na interface da rede de perímetro do firewall para permitir os seguintes tipos de tráfego:

  • O endereço IP de destino da interface da rede de perímetro e a porta de destino UDP de 1812 (0x714) do servidor NPS.

    Este filtro permite o tráfego de autenticação RADIUS dos clientes RADIUS baseados em Internet para o servidor NPS. Esta é a porta UDP padrão usada pelo NPS, conforme definido na RFC 2865. Se você estiver usando uma porta diferente, substitua esse número de porta por 1812.

  • O endereço IP de destino da interface da rede de perímetro e a porta de destino UDP de 1813 (0x715) do servidor NPS.

    Este filtro permite o tráfego de contabilização RADIUS dos clientes RADIUS baseados em Internet para o servidor NPS. Esta é a porta UDP padrão usada pelo NPS, conforme definido na RFC 2866. Se você estiver usando uma porta diferente, substitua esse número de porta por 1813.

  • (Opcional) O endereço IP de destino da interface da rede de perímetro e a porta de destino UDP de 1645 (0x66D) do servidor NPS.

    Este filtro permite o tráfego de autenticação RADIUS dos clientes RADIUS baseados em Internet para o servidor NPS. Esta é a porta UDP usada pelos clientes RADIUS mais antigos.

  • (Opcional) O endereço IP de destino da interface da rede de perímetro e a porta de destino UDP de 1646 (0x66E) do servidor NPS.

    Este filtro permite o tráfego de contabilização RADIUS dos clientes RADIUS baseados em Internet para o servidor NPS. Esta é a porta UDP usada pelos clientes RADIUS mais antigos.

Para segurança adicional, você pode usar os endereços IP de cada cliente RADIUS que envie os pacotes através do firewall para definir filtros para o tráfego entre o cliente e o endereço IP do servidor NPS na rede de perímetro.

Configurando o firewall da intranet

O firewall conectado à intranet deve ser configurado com filtros de entrada e saída na interface da rede de perímetro (e, opcionalmente, na interface da intranet), para permitir o encaminhamento de mensagens RADIUS entre o servidor NPS na rede de perímetro e os controladores de domínio na intranet. Filtros adicionais podem permitir a transmissão do tráfego para a Web, o VPN e outros tipos de servidores na rede de perímetro.

Filtros de pacote de entrada e saída separados podem ser configurados na interface da rede de perímetro e na interface da intranet.

Filtros na interface da rede de perímetro

Configure os seguintes filtros de pacote de entrada na interface da rede de perímetro do firewall da intranet para permitir os seguintes tipos de tráfego:

  • Endereço IP de origem da interface da rede de perímetro do servidor NPS.

    Este filtro permite o tráfego do servidor NPS na rede de perímetro.

Configure os seguintes filtros de saída na interface da rede de perímetro do firewall da intranet para permitir os seguintes tipos de tráfego:

  • Endereço IP de destino da interface da rede de perímetro do servidor NPS.

    Este filtro permite o tráfego para o servidor NPS na rede de perímetro.

Filtros na interface da intranet

Configure os seguintes filtros de entrada na interface da intranet do firewall para permitir os seguintes tipos de tráfego:

  • Endereço IP de destino da interface da rede de perímetro do servidor NPS.

    Este filtro permite o tráfego para o servidor NPS na rede de perímetro.

Configure os seguintes filtros de pacote de saída na interface da intranet do firewall para permitir os seguintes tipos de tráfego:

  • Endereço IP de origem da interface da rede de perímetro do servidor NPS.

    Este filtro permite o tráfego do servidor NPS na rede de perímetro.


Sumário