您可以針對執行防火牆的電腦或裝置,設定防火牆所要允許或封鎖的送入或送出 IP 流量類型。如果未正確設定防火牆以允許 RADIUS 用戶端、RADIUS Proxy 以及 RADIUS 伺服器之間的 RADIUS 流量,網路存取驗證可能會失敗,而導致使用者無法存取網路資源。
可能需要設定兩種防火牆,才能允許 RADIUS 流量:
-
在執行網路原則伺服器 (NPS) 之本機伺服器上的 Windows 防火牆。
-
在其他電腦或硬體裝置上執行的防火牆。
在本機 NPS 伺服器上的 Windows 防火牆
根據預設值,NPS 會透過使用者資料包通訊協定 (UDP) 連接埠 1812、1813、1645 及 1646 傳送和接收 RADIUS 流量。而在 NPS 伺服器上的 Windows 防火牆於 NPS 的安裝期間會自動設定成例外,以允許傳送和接收此 RADIUS 流量。
因此,如果您使用預設 UDP 連接埠,就不需要變更 Windows 防火牆設定以允許送到 NPS 伺服器或從 NPS 伺服器送出的 RADIUS 流量。
在某些情況下,您可能會想要變更 NPS 用於 RADIUS 流量的連接埠。如果您設定 NPS 與網路存取伺服器使用預設值以外的連接埠傳送和接收 RADIUS 流量,就必須執行下列動作:
-
移除允許預設連接埠上之 RADIUS 流量的例外。
-
建立允許新連接埠上之 RADIUS 流量的新例外。
如需相關資訊,請參閱設定 NPS UDP 連接埠資訊。
其他防火牆
在最常見的設定中,防火牆會連接到網際網路,而 NPS 伺服器則屬於連接至周邊網路的內部網路資源。
為了到達內部網路中的網域控制站,NPS 伺服器可能會有:
-
一個周邊網路介面以及一個內部網路介面 (未啟用 IP 路由)。
-
一個單一的周邊網路介面。在此設定中,NPS 會透過另一個將周邊網路連線至內部網路的防火牆,與內部網路網域控制站通訊。
設定網際網路防火牆
對於連線至網際網路的防火牆,您必須在其網際網路介面 (以及選擇性地在其網路周邊介面) 設定輸入與輸出篩選器,才能允許在 NPS 伺服器與 RADIUS 用戶端或網際網路上的 Proxy 之間轉送 RADIUS 訊息。其他篩選器可用來允許將流量傳遞到網頁伺服器、VPN 伺服器,以及周邊網路上其他類型的伺服器。
您可以在網際網路介面與周邊網路介面上,設定個別的輸入與輸出封包篩選器。
網際網路介面上的篩選器
在防火牆的網際網路介面上設定下列輸入封包篩選器,即可允許下列類型的流量:
-
周邊網路介面的目的地 IP 位址以及 NPS 伺服器的 1812 (0x714) UDP 目的地連接埠。
此篩選器允許從網際網路為主的 RADIUS 用戶端到 NPS 伺服器的 RADIUS 驗證流量。這是 NPS 使用的預設 UDP 連接埠,如 RFC 2865 中所定義。如果您使用不同的連接埠,請以該連接埠號碼取代 1812。
-
周邊網路介面的目的地 IP 位址以及 NPS 伺服器的 1813 (0x715) UDP 目的地連接埠。
此篩選器允許從網際網路為主的 RADIUS 用戶端到 NPS 伺服器的 RADIUS 帳戶處理流量。這是 NPS 使用的預設 UDP 連接埠,如 RFC 2866 中所定義。如果您使用不同的連接埠,請以該連接埠號碼取代 1813。
-
(選擇性) 周邊網路介面的目的地 IP 位址以及 NPS 伺服器的 1645 (0x66D) UDP 目的地連接埠。
此篩選器允許從網際網路為主的 RADIUS 用戶端到 NPS 伺服器的 RADIUS 驗證流量。這是較舊的 RADIUS 用戶端所使用的 UDP 連接埠。
-
(選擇性) 周邊網路介面的目的地 IP 位址以及 NPS 伺服器的 1646 (0x66E) UDP 目的地連接埠。
此篩選器允許從網際網路為主的 RADIUS 用戶端到 NPS 伺服器的 RADIUS 帳戶處理流量。這是較舊的 RADIUS 用戶端所使用的 UDP 連接埠。
在防火牆的網際網路介面上設定下列輸出篩選器,即可允許下列類型的流量:
-
周邊網路介面的來源 IP 位址以及 NPS 伺服器的 1812 (0x714) UDP 來源連接埠。
此篩選器允許從 NPS 伺服器到網際網路為主的 RADIUS 用戶端的 RADIUS 驗證流量。這是 NPS 使用的預設 UDP 連接埠,如 RFC 2865 中所定義。如果您使用不同的連接埠,請以該連接埠號碼取代 1812。
-
周邊網路介面的來源 IP 位址以及 NPS 伺服器的 1813 (0x715) UDP 來源連接埠。
此篩選器允許從 NPS 伺服器到網際網路為主的 RADIUS 用戶端的 RADIUS 帳戶處理流量。這是 NPS 使用的預設 UDP 連接埠,如 RFC 2866 中所定義。如果您使用不同的連接埠,請以該連接埠號碼取代 1813。
-
(選擇性) 周邊網路介面的來源 IP 位址以及 NPS 伺服器的 1645 (0x66D) UDP 來源連接埠。
此篩選器允許從 NPS 伺服器到網際網路為主的 RADIUS 用戶端的 RADIUS 驗證流量。這是較舊的 RADIUS 用戶端所使用的 UDP 連接埠。
-
(選擇性) 周邊網路介面的來源 IP 位址以及 NPS 伺服器的 1646 (0x66E) UDP 來源連接埠。
此篩選器允許從 NPS 伺服器到網際網路為主的 RADIUS 用戶端的 RADIUS 帳戶處理流量。這是較舊的 RADIUS 用戶端所使用的 UDP 連接埠。
周邊網路介面上的篩選器
在防火牆的周邊網路介面上設定下列輸入篩選器,即可允許下列類型的流量:
-
周邊網路介面的來源 IP 位址以及 NPS 伺服器的 1812 (0x714) UDP 來源連接埠。
此篩選器允許從 NPS 伺服器到網際網路為主的 RADIUS 用戶端的 RADIUS 驗證流量。這是 NPS 使用的預設 UDP 連接埠,如 RFC 2865 中所定義。如果您使用不同的連接埠,請以該連接埠號碼取代 1812。
-
周邊網路介面的來源 IP 位址以及 NPS 伺服器的 1813 (0x715) UDP 來源連接埠。
此篩選器允許從 NPS 伺服器到網際網路為主的 RADIUS 用戶端的 RADIUS 帳戶處理流量。這是 NPS 使用的預設 UDP 連接埠,如 RFC 2866 中所定義。如果您使用不同的連接埠,請以該連接埠號碼取代 1813。
-
(選擇性) 周邊網路介面的來源 IP 位址以及 NPS 伺服器的 1645 (0x66D) UDP 來源連接埠。
此篩選器允許從 NPS 伺服器到網際網路為主的 RADIUS 用戶端的 RADIUS 驗證流量。這是較舊的 RADIUS 用戶端所使用的 UDP 連接埠。
-
(選擇性) 周邊網路介面的來源 IP 位址以及 NPS 伺服器的 1646 (0x66E) UDP 來源連接埠。
此篩選器允許從 NPS 伺服器到網際網路為主的 RADIUS 用戶端的 RADIUS 帳戶處理流量。這是較舊的 RADIUS 用戶端所使用的 UDP 連接埠。
在防火牆的周邊網路介面上設定下列輸出封包篩選器,即可允許下列類型的流量:
-
周邊網路介面的目的地 IP 位址以及 NPS 伺服器的 1812 (0x714) UDP 目的地連接埠。
此篩選器允許從網際網路為主的 RADIUS 用戶端到 NPS 伺服器的 RADIUS 驗證流量。這是 NPS 使用的預設 UDP 連接埠,如 RFC 2865 中所定義。如果您使用不同的連接埠,請以該連接埠號碼取代 1812。
-
周邊網路介面的目的地 IP 位址以及 NPS 伺服器的 1813 (0x715) UDP 目的地連接埠。
此篩選器允許從網際網路為主的 RADIUS 用戶端到 NPS 伺服器的 RADIUS 帳戶處理流量。這是 NPS 使用的預設 UDP 連接埠,如 RFC 2866 中所定義。如果您使用不同的連接埠,請以該連接埠號碼取代 1813。
-
(選擇性) 周邊網路介面的目的地 IP 位址以及 NPS 伺服器的 1645 (0x66D) UDP 目的地連接埠。
此篩選器允許從網際網路為主的 RADIUS 用戶端到 NPS 伺服器的 RADIUS 驗證流量。這是較舊的 RADIUS 用戶端所使用的 UDP 連接埠。
-
(選擇性) 周邊網路介面的目的地 IP 位址以及 NPS 伺服器的 1646 (0x66E) UDP 目的地連接埠。
此篩選器允許從網際網路為主的 RADIUS 用戶端到 NPS 伺服器的 RADIUS 帳戶處理流量。這是較舊的 RADIUS 用戶端所使用的 UDP 連接埠。
若要增加安全性,您可以使用每個透過防火牆傳送封包的 RADIUS 用戶端之 IP 位址,定義用於周邊網路上用戶端與 NPS 伺服器 IP 位址之間流量的篩選器。
設定內部網路防火牆
對於連線至內部網路的防火牆,您必須在其周邊網路介面 (以及選擇性地在其內部網路介面) 設定輸入與輸出篩選器,才能允許在周邊網路上的 NPS 伺服器以及內部網路上的網域控制站之間轉送 RADIUS 訊息。其他篩選器可允許將流量傳遞至 Web、VPN 以及周邊網路上的其他類型伺服器。
您可以在周邊網路介面與內部網路介面上,設定個別的輸入與輸出封包篩選器。
周邊網路介面上的篩選器
在內部網路防火牆的周邊網路介面上設定下列輸入封包篩選器,即可允許下列類型的流量:
-
NPS 伺服器之周邊網路介面的來源 IP 位址。
此篩選器允許來自周邊網路上 NPS 伺服器的流量。
在內部網路防火牆的周邊網路介面上設定下列輸出篩選器,即可允許下列類型的流量:
-
NPS 伺服器之周邊網路介面的目的地 IP 位址。
此篩選器允許送到周邊網路上 NPS 伺服器的流量。
內部網路介面上的篩選器
在防火牆的內部網路介面上設定下列輸入篩選器,即可允許下列類型的流量:
-
NPS 伺服器之周邊網路介面的目的地 IP 位址。
此篩選器允許送到周邊網路上 NPS 伺服器的流量。
在防火牆的內部網路介面上設定下列輸出封包篩選器,即可允許下列類型的流量:
-
NPS 伺服器之周邊網路介面的來源 IP 位址。
此篩選器允許來自周邊網路上 NPS 伺服器的流量。