Брандмауэры можно настроить таким образом, чтобы разрешить или блокировать определенные типы входящего и исходящего IP-трафика на компьютере или устройстве, где выполняется брандмауэр. Если брандмауэры имеют неверную настройку в отношении RADIUS-трафика между RADIUS-клиентами, RADIUS-прокси и RADIUS-серверами, проверка подлинности для доступа к сети может завершиться сбоем, что не позволит пользователям получить доступ к сетевым ресурсам.
Для обеспечения прохождения RADIUS-трафика может потребоваться настроить два типа брандмауэров:
- Брандмауэр Windows на локальном сервере, где
выполняется сервер политики сети.
- Брандмауэры, выполняемые на других
компьютерах или устройствах.
Брандмауэр Windows на локальном сервере политики сети
По умолчанию сервер политики сети отправляет и получает RADIUS-трафик через UDP-порты 1812, 1813, 1645 и 1646. Для брандмауэра Windows на сервере политики сети в процессе установки этого сервера автоматически настраиваются исключения, разрешающие прохождение RADIUS-трафика.
Таким образом, если используются заданные по умолчанию UDP-порты, нет необходимости менять конфигурацию брандмауэра Windows на серверах политики сети, чтобы разрешить прохождение RADIUS-трафика.
В некоторых случаях может возникнуть необходимость изменить порты, используемые сервером политики сети для RADIUS-трафика. Если на сервере политики сети и серверах доступа к сети отправка и получение RADIUS-трафика выполняется по портам, отличным от заданных по умолчанию, необходимо выполнить следующие действия:
- Удалить исключения, разрешающие прохождение
RADIUS-трафика через заданные по умолчанию порты.
- Создать новые исключения, разрешающие
прохождение RADIUS-трафика через новые порты.
Дополнительные сведения см. в разделе Настройка данных UDP-порта на сервере сетевых политик.
Другие брандмауэры
В большинстве типовых конфигураций брандмауэр подключен к Интернету, а сервер политики сети является ресурсом интрасети, подключенным к демилитаризованной зоне.
Чтобы получить доступ к контроллеру домена в демилитаризованной зоне, сервер политики сети должен иметь следующие компоненты:
- Интерфейс в демилитаризованной зоне и
интерфейс в интрасети (IP-маршрутизация не включена).
- Отдельный интерфейс в демилитаризованной
зоне. В такой конфигурации сервер политики сети взаимодействует с
контроллерами домена, расположенными в интрасети, через другой
брандмауэр, соединяющий демилитаризованную зону и интрасеть.
Настройка брандмауэра Интернета
В подключенном к Интернету брандмауэре должны быть настроены входные и выходные фильтры для его интерфейса Интернета (и, при желании, его интерфейса демилитаризованной зоны), чтобы разрешить перенаправление RADIUS-сообщений между сервером политики сети и RADIUS-клиентами или RADIUS-прокси в Интернете. С помощью дополнительных фильтров можно разрешить прохождение трафика на веб-серверы, VPN-серверы, а также серверы других типов в демилитаризованной зоне.
В интерфейсе Интернета и интерфейсе демилитаризованной зоны можно настроить отдельные фильтры входящих и исходящих пакетов.
Фильтры в интерфейсе Интернета
В интерфейсе Интернета брандмауэра настраиваются следующие фильтры входящих пакетов с целью разрешить прохождение следующих типов трафика:
- IP-адрес назначения интерфейса
демилитаризованной зоны и UDP-порт назначения 1812 (0x714) сервера
политики сети.
Этот фильтр разрешает RADIUS-трафик для проверки подлинности от RADIUS-клиентов, расположенных в Интернете, на сервер политики сети. Данный UDP-порт используется на сервере политики сети по умолчанию в соответствии со спецификацией RFC 2865. Если используется другой порт, следует указать номер этого порта вместо номера порта 1812.
- IP-адрес назначения интерфейса
демилитаризованной зоны и UDP-порт назначения 1813 (0x715) сервера
политики сети.
Этот фильтр разрешает RADIUS-трафик для учета от RADIUS-клиентов, расположенных в Интернете, на сервер политики сети. Данный UDP-порт используется на сервере политики сети по умолчанию в соответствии со спецификацией RFC 2866. Если используется другой порт, следует указать номер этого порта вместо номера порта 1813.
- IP-адрес назначения интерфейса
демилитаризованной зоны и UDP-порт назначения 1645 (0x66D) сервера
политики сети (необязательно).
Этот фильтр разрешает прохождение RADIUS-трафика для проверки подлинности от RADIUS-клиентов, расположенных в Интернете, на сервер политики сети. Данный UDP-порт используется RADIUS-клиентами старых версий.
- IP-адрес назначения интерфейса
демилитаризованной зоны и UDP-порт назначения 1646 (0x66E) сервера
политики сети (необязательно).
Этот фильтр разрешает прохождение RADIUS-трафика для учета от RADIUS-клиентов, расположенных в Интернете, на сервер политики сети. Данный UDP-порт используется RADIUS-клиентами старых версий.
В интерфейсе Интернета брандмауэра настраиваются следующие фильтры исходящих пакетов с целью разрешить прохождение следующих типов трафика:
- IP-адрес источника интерфейса
демилитаризованной зоны и UDP-порт источника 1812 (0x714) сервера
политики сети.
Этот фильтр разрешает RADIUS-трафик для проверки подлинности от сервера политики сети для RADIUS-клиентов, расположенных в Интернете. Данный UDP-порт используется на сервере политики сети по умолчанию в соответствии со спецификацией RFC 2865. Если используется другой порт, следует указать номер этого порта вместо номера порта 1812.
- IP-адрес источника интерфейса
демилитаризованной зоны и UDP-порт источника 1813 (0x715) сервера
политики сети.
Этот фильтр разрешает RADIUS-трафик для учета от сервера политики сети для RADIUS-клиентов, расположенных в Интернете. Данный UDP-порт используется на сервере политики сети по умолчанию в соответствии со спецификацией RFC 2866. Если используется другой порт, следует указать номер этого порта вместо номера порта 1813.
- IP-адрес источника интерфейса
демилитаризованной зоны и UDP-порт источника 1645 (0x66D) сервера
политики сети (необязательно).
Этот фильтр разрешает прохождение RADIUS-трафика для проверки подлинности от сервера политики сети на RADIUS-клиенты, расположенные в Интернете. Данный UDP-порт используется RADIUS-клиентами старых версий.
- IP-адрес источника интерфейса
демилитаризованной зоны и UDP-порт источника 1646 (0x66E) сервера
политики сети (необязательно).
Этот фильтр разрешает прохождение RADIUS-трафика для учета от сервера политики сети на RADIUS-клиенты, расположенные в Интернете. Данный UDP-порт используется RADIUS-клиентами старых версий.
Фильтры в интерфейсе демилитаризованной зоны
В интерфейсе демилитаризованной зоны брандмауэра настраиваются следующие фильтры входящих пакетов с целью разрешить прохождение следующих типов трафика:
- IP-адрес источника интерфейса
демилитаризованной зоны и UDP-порт источника 1812 (0x714) сервера
политики сети.
Этот фильтр разрешает прохождение RADIUS-трафика для проверки подлинности от сервера политики сети на RADIUS-клиенты, расположенные в Интернете. Данный UDP-порт используется на сервере политики сети по умолчанию в соответствии со спецификацией RFC 2865. Если используется другой порт, следует указать номер этого порта вместо номера порта 1812.
- IP-адрес источника интерфейса
демилитаризованной зоны и UDP-порт источника 1813 (0x715) сервера
политики сети.
Этот фильтр разрешает прохождение RADIUS-трафика для учета от сервера политики сети на RADIUS-клиенты, расположенные в Интернете. Данный UDP-порт используется на сервере политики сети по умолчанию в соответствии со спецификацией RFC 2866. Если используется другой порт, следует указать номер этого порта вместо номера порта 1813.
- IP-адрес источника интерфейса
демилитаризованной зоны и UDP-порт источника 1645 (0x66D) сервера
политики сети (необязательно).
Этот фильтр разрешает прохождение RADIUS-трафика для проверки подлинности от сервера политики сети на RADIUS-клиенты, расположенные в Интернете. Данный UDP-порт используется RADIUS-клиентами старых версий.
- IP-адрес источника интерфейса
демилитаризованной зоны и UDP-порт источника 1646 (0x66E) сервера
политики сети (необязательно).
Этот фильтр разрешает прохождение RADIUS-трафика для учета от сервера политики сети на RADIUS-клиенты, расположенные в Интернете. Данный UDP-порт используется RADIUS-клиентами старых версий.
В интерфейсе демилитаризованной зоны брандмауэра настраиваются следующие фильтры исходящих пакетов с целью разрешить прохождение следующих типов трафика:
- IP-адрес назначения интерфейса
демилитаризованной зоны и UDP-порт назначения 1812 (0x714) сервера
политики сети.
Этот фильтр разрешает прохождение RADIUS-трафика для проверки подлинности от RADIUS-клиентов, расположенных в Интернете, на сервер политики сети. Данный UDP-порт используется на сервере политики сети по умолчанию в соответствии со спецификацией RFC 2865. Если используется другой порт, следует указать номер этого порта вместо номера порта 1812.
- IP-адрес назначения интерфейса
демилитаризованной зоны и UDP-порт назначения 1813 (0x715) сервера
политики сети.
Этот фильтр разрешает прохождение RADIUS-трафика для учета от RADIUS-клиентов, расположенных в Интернете, на сервер политики сети. Данный UDP-порт используется на сервере политики сети по умолчанию в соответствии со спецификацией RFC 2866. Если используется другой порт, следует указать номер этого порта вместо номера порта 1813.
- IP-адрес назначения интерфейса
демилитаризованной зоны и UDP-порт назначения 1645 (0x66D) сервера
политики сети (необязательно).
Этот фильтр разрешает прохождение RADIUS-трафика для проверки подлинности от RADIUS-клиентов, расположенных в Интернете, на сервер политики сети. Данный UDP-порт используется RADIUS-клиентами старых версий.
- IP-адрес назначения интерфейса
демилитаризованной зоны и UDP-порт назначения 1646 (0x66E) сервера
политики сети (необязательно).
Этот фильтр разрешает прохождение RADIUS-трафика для учета от RADIUS-клиентов, расположенных в Интернете, на сервер политики сети. Данный UDP-порт используется RADIUS-клиентами старых версий.
Для обеспечения дополнительной защиты можно использовать IP-адреса всех RADIUS-клиентов, отправляющих пакеты через брандмауэр, при определении фильтров для трафика между клиентом и IP-адресом сервера политики сети в демилитаризованной зоне.
Настройка брандмауэра интрасети
В подключенном к интрасети брандмауэре необходимо настроить входные и выходные фильтры для интерфейса демилитаризованной зоны (и, при необходимости, для интерфейса интрасети), чтобы разрешить перенаправление RADIUS-сообщений между сервером политики сети, расположенным в демилитаризованной зоне, и контроллерами домена в интрасети. Дополнительные фильтры могут разрешать передачу трафика на веб-серверы, VPN-серверы, а также серверы других типов в демилитаризованной зоне.
В интерфейсе демилитаризованной зоны и интерфейсе интрасети можно настроить отдельные фильтры входящих и исходящих пакетов.
Фильтры в интерфейсе демилитаризованной зоны
В интерфейсе демилитаризованной зоны брандмауэра настраиваются следующие фильтры входящих пакетов с целью разрешить прохождение следующих типов трафика:
- IP-адрес источника интерфейса
демилитаризованной зоны на сервере политики сети.
Этот фильтр разрешает трафик с сервера политики сети, расположенного в демилитаризованной зоне.
В интерфейсе демилитаризованной зоны брандмауэра интрасети настраиваются следующие фильтры на выходе с целью разрешить прохождение следующих типов трафика:
- IP-адрес назначения интерфейса
демилитаризованной зоны на сервере политики сети.
Этот фильтр разрешает трафик на сервер политики сети, расположенный в демилитаризованной зоне.
Фильтры в интерфейсе интрасети
В интерфейсе интрасети брандмауэра настраиваются следующие фильтры на входе с целью разрешить прохождение следующих типов трафика:
- IP-адрес назначения интерфейса
демилитаризованной зоны на сервере политики сети.
Этот фильтр разрешает прохождение трафика на сервер политики сети, расположенный в демилитаризованной зоне.
В интерфейсе интрасети брандмауэра настраиваются следующие фильтры исходящих пакетов с целью разрешить прохождение следующих типов трафика:
- IP-адрес источника интерфейса
демилитаризованной зоны на сервере политики сети.
Этот фильтр разрешает прохождение трафика с сервера политики сети, расположенного в демилитаризованной зоне.