Güvenlik duvarları yüklü oldukları bilgisayardan veya aygıttan giden veya gelen IP trafiği türüne izin verecek veya engelleyecek şekilde yapılandırılabilir. Güvenlik duvarları RADIUS istemcileri, RADIUS proxy'leri ve RADIUS sunucuları arasındaki RADIUS trafiğine izin verecek şekilde ayarlanmazsa, ağ erişim kimlik doğrulaması başarısız olarak kullanıcıların ağ kaynaklarına erişmesini engelleyebilir.
RADIUS trafiğine izin verecek şekilde iki güvenlik duvarı türünün yapılandırılması gerekebilir:
-
Ağ İlkesi Sunucusu'nu (NPS) çalıştıran yerel sunucudaki Windows Güvenlik Duvarı.
-
Diğer bilgisayarlarda veya donanım aygıtlarında çalışan güvenlik duvarları.
Yerel NPS sunucusundaki Windows Güvenlik Duvarı
NPS, RADIUS trafiğini varsayılan olarak 1812, 1813, 1645 ve 1646 numaralı Kullanıcı Datagram Protokolü (UDP) bağlantı noktalarını kullanarak gönderir ve alır. NPS'nin kurulumu sırasında NPS sunucusundaki Windows Güvenlik Duvarı bu RADIUS trafiğinin gönderilmesine ve alınmasına izin verecek özel durumlarla otomatik olarak yapılandırılır.
Bu nedenle, varsayılan UDP bağlantı noktalarını kullanıyorsanız, NPS sunucularına giden ve gelen RADIUS trafiğine izin vermek için Windows Güvenlik Duvarı yapılandırmasını değiştirmeniz gerekmez.
Bazı durumlarda, NPS'nin RADIUS trafiği için kullandığı bağlantı noktalarını değiştirmek isteyebilirsiniz. NPS'yi ve ağ erişim sunucularınızı varsayılanlardan farklı bağlantı noktaları üzerinden RADIUS trafiği gönderecek ve alacak şekilde yapılandırırsanız, aşağıdakileri yapmanız gerekir:
-
Varsayılan bağlantı noktalarında RADIUS trafiğine izin veren özel durumları kaldırın.
-
Yeni bağlantı noktalarında RADIUS trafiğine izin veren yeni özel durumları oluşturun.
Daha fazla bilgi için, bkz. NPS UDP Bağlantı Noktası Bilgilerini Yapılandırma.
Diğer güvenlik duvarları
En yaygın yapılandırmada, güvenlik duvarı Internet'e bağlıdır ve NPS sunucusu çevre ağına bağlı bir intranet kaynağıdır.
Intranet'teki etki alanı denetleyicisine ulaşmak için NPS sunucusu aşağıdakilere sahip olabilir:
-
Çevre ağındaki bir arabirim ve intranet'te arabirim (IP yönlendirme etkinleştirilmiş).
-
Çevre ağında tek bir arabirim. Bu yapılandırmada, NPS, çevre ağını intranet'e bağlayan başka bir güvenlik duvarı üzerinde etki alanı denetleyicileriyle iletişim kurar.
Internet güvenlik duvarını yapılandırma
Internet'e bağlı olan güvenlik duvarının NPS sunucusu ile Internet'teki RADIUS istemcileri veya proxy'leri arasında RADIUS iletilerinin iletilmesine olanak tanımak için Internet arabiriminde (ve isteğe bağlı olarak ağ çevre arabiriminde) giriş ve çıkış filtreleriyle yapılandırılması gerekir. Web sunucularına, VPN sunucularına ve çevre ağdaki diğer sunucu türlerine trafik geçişine izin vermek için ek filtreler kullanılabilir.
Internet arabiriminde ve çevre ağı arabiriminde ayrı giriş ve çıkış paket filtreleri yapılandırılabilir.
Internet arabirimindeki filtreler
Aşağıdaki trafik türlerine izin vermek için güvenlik duvarının Internet arabiriminde aşağıdaki giriş paket filtrelerini yapılandırın:
-
Çevre ağı arabiriminin hedef IP adresi ve NPS sunucusunun UDP hedef bağlantı noktası 1812 (0x714).
Bu filtre Internet tabanlı RADIUS istemcilerinden NPS sunucusuna gelen RADIUS kimlik doğrulama trafiğine izin verir. Bu, RFC 2865'te tanımlandığı gibi NPS tarafından kullanılan varsayılan UDP bağlantı noktasıdır. Farklı bir bağlantı noktası kullanıyorsanız, 1812 yerine bu bağlantı noktası numarasını koyun.
-
Çevre ağı arabiriminin hedef IP adresi ve NPS sunucusunun UDP hedef bağlantı noktası 1813 (0x715).
Bu filtre Internet tabanlı RADIUS istemcilerinden NPS sunucusuna gelen RADIUS hesaplama trafiğine izin verir. Bu, RFC 2866'te tanımlandığı gibi NPS tarafından kullanılan varsayılan UDP bağlantı noktasıdır. Farklı bir bağlantı noktası kullanıyorsanız, 1813 yerine bu bağlantı noktası numarasını koyun.
-
(İsteğe bağlı) Çevre ağı arabiriminin hedef IP adresi ve NPS sunucusunun UDP hedef bağlantı noktası 1645 (0x66D).
Bu filtre, Internet tabanlı RADIUS istemcilerinden NPS sunucusuna gelen RADIUS kimlik doğrulama trafiğine izin verir. Bu, önceki RADIUS istemcileri tarafından kullanılan UDP bağlantı noktasıdır.
-
(İsteğe bağlı) Çevre ağı arabiriminin hedef IP adresi ve NPS sunucusunun UDP hedef bağlantı noktası 1646 (0x66E).
Bu filtre, Internet tabanlı RADIUS istemcilerinden NPS sunucusuna gelen RADIUS hesaplama trafiğine izin verir. Bu, önceki RADIUS istemcileri tarafından kullanılan UDP bağlantı noktasıdır.
Aşağıdaki trafik türlerine izin vermek için güvenlik duvarının Internet arabiriminde aşağıdaki çıkış filtrelerini yapılandırın:
-
Çevre ağı arabiriminin kaynak IP adresi ve NPS sunucusunun UDP kaynak bağlantı noktası 1812 (0x714).
Bu filtre NPS sunucusundan Internet tabanlı RADIUS istemcilerine giden RADIUS kimlik doğrulama trafiğine izin verir. Bu, RFC 2865'te tanımlandığı gibi NPS tarafından kullanılan varsayılan UDP bağlantı noktasıdır. Farklı bir bağlantı noktası kullanıyorsanız, 1812 yerine bu bağlantı noktası numarasını koyun.
-
Çevre ağı arabiriminin kaynak IP adresi ve NPS sunucusunun UDP kaynak bağlantı noktası 1813 (0x715).
Bu filtre NPS sunucusundan Internet tabanlı RADIUS istemcilerine giden RADIUS hesaplama trafiğine izin verir. Bu, RFC 2866'da tanımlandığı gibi NPS tarafından kullanılan varsayılan UDP bağlantı noktasıdır. Farklı bir bağlantı noktası kullanıyorsanız, 1813 yerine bu bağlantı noktası numarasını koyun.
-
(İsteğe bağlı) Çevre ağı arabiriminin kaynak IP adresi ve NPS sunucusunun UDP kaynak bağlantı noktası 1645 (0x66D).
Bu filtre, NPS sunucusundan Internet tabanlı RADIUS istemcilerine giden RADIUS kimlik doğrulama trafiğine izin verir. Bu, önceki RADIUS istemcileri tarafından kullanılan UDP bağlantı noktasıdır.
-
(İsteğe bağlı) Çevre ağı arabiriminin kaynak IP adresi ve NPS sunucusunun UDP kaynak bağlantı noktası 1646 (0x66E).
Bu filtre, NPS sunucusundan Internet tabanlı RADIUS istemcilerine giden RADIUS hesaplama trafiğine izin verir. Bu, önceki RADIUS istemcileri tarafından kullanılan UDP bağlantı noktasıdır.
Çevre ağı arabirimindeki filtreler
Aşağıdaki trafik türlerine izin vermek için güvenlik duvarının çevre ağı arabiriminde aşağıdaki giriş filtrelerini yapılandırın:
-
Çevre ağı arabiriminin kaynak IP adresi ve NPS sunucusunun UDP kaynak bağlantı noktası 1812 (0x714).
Bu filtre, NPS sunucusundan Internet tabanlı RADIUS istemcilerine giden RADIUS kimlik doğrulama trafiğine izin verir. Bu, RFC 2865'te tanımlandığı gibi NPS tarafından kullanılan varsayılan UDP bağlantı noktasıdır. Farklı bir bağlantı noktası kullanıyorsanız, 1812 yerine bu bağlantı noktası numarasını koyun.
-
Çevre ağı arabiriminin kaynak IP adresi ve NPS sunucusunun UDP kaynak bağlantı noktası 1813 (0x715).
Bu filtre, NPS sunucusundan Internet tabanlı RADIUS istemcilerine giden RADIUS hesaplama trafiğine izin verir. Bu, RFC 2866'da tanımlandığı gibi NPS tarafından kullanılan varsayılan UDP bağlantı noktasıdır. Farklı bir bağlantı noktası kullanıyorsanız, 1813 yerine bu bağlantı noktası numarasını koyun.
-
(İsteğe bağlı) Çevre ağı arabiriminin kaynak IP adresi ve NPS sunucusunun UDP kaynak bağlantı noktası 1645 (0x66D).
Bu filtre, NPS sunucusundan Internet tabanlı RADIUS istemcilerine giden RADIUS kimlik doğrulama trafiğine izin verir. Bu, önceki RADIUS istemcileri tarafından kullanılan UDP bağlantı noktasıdır.
-
(İsteğe bağlı) Çevre ağı arabiriminin kaynak IP adresi ve NPS sunucusunun UDP kaynak bağlantı noktası 1646 (0x66E).
Bu filtre, NPS sunucusundan Internet tabanlı RADIUS istemcilerine giden RADIUS hesaplama trafiğine izin verir. Bu, önceki RADIUS istemcileri tarafından kullanılan UDP bağlantı noktasıdır.
Aşağıdaki trafik türlerine izin vermek için güvenlik duvarının çevre ağı arabiriminde aşağıdaki çıkış paket filtrelerini yapılandırın:
-
Çevre ağı arabiriminin hedef IP adresi ve NPS sunucusunun UDP hedef bağlantı noktası 1812 (0x714).
Bu filtre, Internet tabanlı RADIUS istemcilerinden NPS sunucusuna gelen RADIUS kimlik doğrulama trafiğine izin verir. Bu, RFC 2865'te tanımlandığı gibi NPS tarafından kullanılan varsayılan UDP bağlantı noktasıdır. Farklı bir bağlantı noktası kullanıyorsanız, 1812 yerine bu bağlantı noktası numarasını koyun.
-
Çevre ağı arabiriminin hedef IP adresi ve NPS sunucusunun UDP hedef bağlantı noktası 1813 (0x715).
Bu filtre, Internet tabanlı RADIUS istemcilerinden NPS sunucusuna gelen RADIUS hesaplama trafiğine izin verir. Bu, RFC 2866'da tanımlandığı gibi NPS tarafından kullanılan varsayılan UDP bağlantı noktasıdır. Farklı bir bağlantı noktası kullanıyorsanız, 1813 yerine bu bağlantı noktası numarasını koyun.
-
(İsteğe bağlı) Çevre ağı arabiriminin hedef IP adresi ve NPS sunucusunun UDP hedef bağlantı noktası 1645 (0x66D).
Bu filtre, Internet tabanlı RADIUS istemcilerinden NPS sunucusuna gelen RADIUS kimlik doğrulama trafiğine izin verir. Bu, önceki RADIUS istemcileri tarafından kullanılan UDP bağlantı noktasıdır.
-
(İsteğe bağlı) Çevre ağı arabiriminin hedef IP adresi ve NPS sunucusunun UDP hedef bağlantı noktası 1646 (0x66E).
Bu filtre, Internet tabanlı RADIUS istemcilerinden NPS sunucusuna gelen RADIUS hesaplama trafiğine izin verir. Bu, önceki RADIUS istemcileri tarafından kullanılan UDP bağlantı noktasıdır.
Ek güvenlik için, istemci ve çevre ağındaki NPS sunucusunun IP adresi arasındaki trafik için filtreleri tanımlamak amacıyla güvenlik duvarı üzerinden paket gönderen her RADIUS istemcisinin IP adresini kullanabilirsiniz.
Intranet güvenlik duvarını yapılandırma
Intranet'e bağlı olan güvenlik duvarının çevre ağındaki NPS sunucusu ile intranet'teki etki alanı denetleyicileri arasında RADIUS iletilerinin iletilmesine olanak tanımak için çevre ağı arabiriminde (ve isteğe bağlı olarak intranet arabiriminde) giriş ve çıkış filtreleriyle yapılandırılması gerekir. Ek filtreler Web, VPN ve çevre ağındaki diğer sunucu türlerine trafik geçişine izin verebilir.
Çevre ağı arabiriminde ve intranet arabiriminde ayrı giriş ve çıkış paket filtreleri yapılandırılabilir.
Çevre ağı arabirimindeki filtreler
Aşağıdaki trafik türlerine izin vermek için intranet güvenlik duvarının çevre ağı arabiriminde aşağıdaki giriş paket filtrelerini yapılandırın:
-
NPS sunucusunun çevre ağı arabiriminin kaynak IP adresi.
Bu filtre çevre ağındaki NPS sunucusundan gelen trafiğe izin verir.
Aşağıdaki trafik türlerine izin vermek için intranet güvenlik duvarının çevre ağı arabiriminde aşağıdaki çıkış filtrelerini yapılandırın:
-
NPS sunucusunun çevre ağı arabiriminin hedef IP adresi.
Bu filtre çevre ağındaki NPS sunucusuna giden trafiğe izin verir.
Intranet arabirimindeki filtreler
Aşağıdaki trafik türlerine izin vermek için güvenlik duvarının intranet arabiriminde aşağıdaki giriş filtrelerini yapılandırın:
-
NPS sunucusunun çevre ağı arabiriminin hedef IP adresi.
Bu filtre, çevre ağındaki NPS sunucusuna giden trafiğe izin verir.
Aşağıdaki trafik türlerine izin vermek için güvenlik duvarının intranet arabiriminde aşağıdaki çıkış paket filtrelerini yapılandırın:
-
NPS sunucusunun çevre ağı arabiriminin kaynak IP adresi.
Bu filtre, çevre ağındaki NPS sunucusundan gelen trafiğe izin verir.