Брандмауэры можно настроить таким образом, чтобы разрешить или блокировать определенные типы входящего и исходящего IP-трафика на компьютере или устройстве, где выполняется брандмауэр. Если брандмауэры имеют неверную настройку в отношении RADIUS-трафика между RADIUS-клиентами, RADIUS-прокси и RADIUS-серверами, проверка подлинности для доступа к сети может завершиться сбоем, что не позволит пользователям получить доступ к сетевым ресурсам.

Для обеспечения прохождения RADIUS-трафика может потребоваться настроить два типа брандмауэров:

  • Брандмауэр Windows на локальном сервере, где выполняется сервер политики сети.

  • Брандмауэры, выполняемые на других компьютерах или устройствах.

Брандмауэр Windows на локальном сервере политики сети

По умолчанию сервер политики сети отправляет и получает RADIUS-трафик через UDP-порты 1812, 1813, 1645 и 1646. Для брандмауэра Windows на сервере политики сети в процессе установки этого сервера автоматически настраиваются исключения, разрешающие прохождение RADIUS-трафика.

Таким образом, если используются заданные по умолчанию UDP-порты, нет необходимости менять конфигурацию брандмауэра Windows на серверах политики сети, чтобы разрешить прохождение RADIUS-трафика.

В некоторых случаях может возникнуть необходимость изменить порты, используемые сервером политики сети для RADIUS-трафика. Если на сервере политики сети и серверах доступа к сети отправка и получение RADIUS-трафика выполняется по портам, отличным от заданных по умолчанию, необходимо выполнить следующие действия:

  • Удалить исключения, разрешающие прохождение RADIUS-трафика через заданные по умолчанию порты.

  • Создать новые исключения, разрешающие прохождение RADIUS-трафика через новые порты.

Дополнительные сведения см. в разделе Настройка данных UDP-порта на сервере сетевых политик.

Другие брандмауэры

В большинстве типовых конфигураций брандмауэр подключен к Интернету, а сервер политики сети является ресурсом интрасети, подключенным к демилитаризованной зоне.

Чтобы получить доступ к контроллеру домена в демилитаризованной зоне, сервер политики сети должен иметь следующие компоненты:

  • Интерфейс в демилитаризованной зоне и интерфейс в интрасети (IP-маршрутизация не включена).

  • Отдельный интерфейс в демилитаризованной зоне. В такой конфигурации сервер политики сети взаимодействует с контроллерами домена, расположенными в интрасети, через другой брандмауэр, соединяющий демилитаризованную зону и интрасеть.

Настройка брандмауэра Интернета

В подключенном к Интернету брандмауэре должны быть настроены входные и выходные фильтры для его интерфейса Интернета (и, при желании, его интерфейса демилитаризованной зоны), чтобы разрешить перенаправление RADIUS-сообщений между сервером политики сети и RADIUS-клиентами или RADIUS-прокси в Интернете. С помощью дополнительных фильтров можно разрешить прохождение трафика на веб-серверы, VPN-серверы, а также серверы других типов в демилитаризованной зоне.

В интерфейсе Интернета и интерфейсе демилитаризованной зоны можно настроить отдельные фильтры входящих и исходящих пакетов.

Фильтры в интерфейсе Интернета

В интерфейсе Интернета брандмауэра настраиваются следующие фильтры входящих пакетов с целью разрешить прохождение следующих типов трафика:

  • IP-адрес назначения интерфейса демилитаризованной зоны и UDP-порт назначения 1812 (0x714) сервера политики сети.

    Этот фильтр разрешает RADIUS-трафик для проверки подлинности от RADIUS-клиентов, расположенных в Интернете, на сервер политики сети. Данный UDP-порт используется на сервере политики сети по умолчанию в соответствии со спецификацией RFC 2865. Если используется другой порт, следует указать номер этого порта вместо номера порта 1812.

  • IP-адрес назначения интерфейса демилитаризованной зоны и UDP-порт назначения 1813 (0x715) сервера политики сети.

    Этот фильтр разрешает RADIUS-трафик для учета от RADIUS-клиентов, расположенных в Интернете, на сервер политики сети. Данный UDP-порт используется на сервере политики сети по умолчанию в соответствии со спецификацией RFC 2866. Если используется другой порт, следует указать номер этого порта вместо номера порта 1813.

  • IP-адрес назначения интерфейса демилитаризованной зоны и UDP-порт назначения 1645 (0x66D) сервера политики сети (необязательно).

    Этот фильтр разрешает прохождение RADIUS-трафика для проверки подлинности от RADIUS-клиентов, расположенных в Интернете, на сервер политики сети. Данный UDP-порт используется RADIUS-клиентами старых версий.

  • IP-адрес назначения интерфейса демилитаризованной зоны и UDP-порт назначения 1646 (0x66E) сервера политики сети (необязательно).

    Этот фильтр разрешает прохождение RADIUS-трафика для учета от RADIUS-клиентов, расположенных в Интернете, на сервер политики сети. Данный UDP-порт используется RADIUS-клиентами старых версий.

В интерфейсе Интернета брандмауэра настраиваются следующие фильтры исходящих пакетов с целью разрешить прохождение следующих типов трафика:

  • IP-адрес источника интерфейса демилитаризованной зоны и UDP-порт источника 1812 (0x714) сервера политики сети.

    Этот фильтр разрешает RADIUS-трафик для проверки подлинности от сервера политики сети для RADIUS-клиентов, расположенных в Интернете. Данный UDP-порт используется на сервере политики сети по умолчанию в соответствии со спецификацией RFC 2865. Если используется другой порт, следует указать номер этого порта вместо номера порта 1812.

  • IP-адрес источника интерфейса демилитаризованной зоны и UDP-порт источника 1813 (0x715) сервера политики сети.

    Этот фильтр разрешает RADIUS-трафик для учета от сервера политики сети для RADIUS-клиентов, расположенных в Интернете. Данный UDP-порт используется на сервере политики сети по умолчанию в соответствии со спецификацией RFC 2866. Если используется другой порт, следует указать номер этого порта вместо номера порта 1813.

  • IP-адрес источника интерфейса демилитаризованной зоны и UDP-порт источника 1645 (0x66D) сервера политики сети (необязательно).

    Этот фильтр разрешает прохождение RADIUS-трафика для проверки подлинности от сервера политики сети на RADIUS-клиенты, расположенные в Интернете. Данный UDP-порт используется RADIUS-клиентами старых версий.

  • IP-адрес источника интерфейса демилитаризованной зоны и UDP-порт источника 1646 (0x66E) сервера политики сети (необязательно).

    Этот фильтр разрешает прохождение RADIUS-трафика для учета от сервера политики сети на RADIUS-клиенты, расположенные в Интернете. Данный UDP-порт используется RADIUS-клиентами старых версий.

Фильтры в интерфейсе демилитаризованной зоны

В интерфейсе демилитаризованной зоны брандмауэра настраиваются следующие фильтры входящих пакетов с целью разрешить прохождение следующих типов трафика:

  • IP-адрес источника интерфейса демилитаризованной зоны и UDP-порт источника 1812 (0x714) сервера политики сети.

    Этот фильтр разрешает прохождение RADIUS-трафика для проверки подлинности от сервера политики сети на RADIUS-клиенты, расположенные в Интернете. Данный UDP-порт используется на сервере политики сети по умолчанию в соответствии со спецификацией RFC 2865. Если используется другой порт, следует указать номер этого порта вместо номера порта 1812.

  • IP-адрес источника интерфейса демилитаризованной зоны и UDP-порт источника 1813 (0x715) сервера политики сети.

    Этот фильтр разрешает прохождение RADIUS-трафика для учета от сервера политики сети на RADIUS-клиенты, расположенные в Интернете. Данный UDP-порт используется на сервере политики сети по умолчанию в соответствии со спецификацией RFC 2866. Если используется другой порт, следует указать номер этого порта вместо номера порта 1813.

  • IP-адрес источника интерфейса демилитаризованной зоны и UDP-порт источника 1645 (0x66D) сервера политики сети (необязательно).

    Этот фильтр разрешает прохождение RADIUS-трафика для проверки подлинности от сервера политики сети на RADIUS-клиенты, расположенные в Интернете. Данный UDP-порт используется RADIUS-клиентами старых версий.

  • IP-адрес источника интерфейса демилитаризованной зоны и UDP-порт источника 1646 (0x66E) сервера политики сети (необязательно).

    Этот фильтр разрешает прохождение RADIUS-трафика для учета от сервера политики сети на RADIUS-клиенты, расположенные в Интернете. Данный UDP-порт используется RADIUS-клиентами старых версий.

В интерфейсе демилитаризованной зоны брандмауэра настраиваются следующие фильтры исходящих пакетов с целью разрешить прохождение следующих типов трафика:

  • IP-адрес назначения интерфейса демилитаризованной зоны и UDP-порт назначения 1812 (0x714) сервера политики сети.

    Этот фильтр разрешает прохождение RADIUS-трафика для проверки подлинности от RADIUS-клиентов, расположенных в Интернете, на сервер политики сети. Данный UDP-порт используется на сервере политики сети по умолчанию в соответствии со спецификацией RFC 2865. Если используется другой порт, следует указать номер этого порта вместо номера порта 1812.

  • IP-адрес назначения интерфейса демилитаризованной зоны и UDP-порт назначения 1813 (0x715) сервера политики сети.

    Этот фильтр разрешает прохождение RADIUS-трафика для учета от RADIUS-клиентов, расположенных в Интернете, на сервер политики сети. Данный UDP-порт используется на сервере политики сети по умолчанию в соответствии со спецификацией RFC 2866. Если используется другой порт, следует указать номер этого порта вместо номера порта 1813.

  • IP-адрес назначения интерфейса демилитаризованной зоны и UDP-порт назначения 1645 (0x66D) сервера политики сети (необязательно).

    Этот фильтр разрешает прохождение RADIUS-трафика для проверки подлинности от RADIUS-клиентов, расположенных в Интернете, на сервер политики сети. Данный UDP-порт используется RADIUS-клиентами старых версий.

  • IP-адрес назначения интерфейса демилитаризованной зоны и UDP-порт назначения 1646 (0x66E) сервера политики сети (необязательно).

    Этот фильтр разрешает прохождение RADIUS-трафика для учета от RADIUS-клиентов, расположенных в Интернете, на сервер политики сети. Данный UDP-порт используется RADIUS-клиентами старых версий.

Для обеспечения дополнительной защиты можно использовать IP-адреса всех RADIUS-клиентов, отправляющих пакеты через брандмауэр, при определении фильтров для трафика между клиентом и IP-адресом сервера политики сети в демилитаризованной зоне.

Настройка брандмауэра интрасети

В подключенном к интрасети брандмауэре необходимо настроить входные и выходные фильтры для интерфейса демилитаризованной зоны (и, при необходимости, для интерфейса интрасети), чтобы разрешить перенаправление RADIUS-сообщений между сервером политики сети, расположенным в демилитаризованной зоне, и контроллерами домена в интрасети. Дополнительные фильтры могут разрешать передачу трафика на веб-серверы, VPN-серверы, а также серверы других типов в демилитаризованной зоне.

В интерфейсе демилитаризованной зоны и интерфейсе интрасети можно настроить отдельные фильтры входящих и исходящих пакетов.

Фильтры в интерфейсе демилитаризованной зоны

В интерфейсе демилитаризованной зоны брандмауэра настраиваются следующие фильтры входящих пакетов с целью разрешить прохождение следующих типов трафика:

  • IP-адрес источника интерфейса демилитаризованной зоны на сервере политики сети.

    Этот фильтр разрешает трафик с сервера политики сети, расположенного в демилитаризованной зоне.

В интерфейсе демилитаризованной зоны брандмауэра интрасети настраиваются следующие фильтры на выходе с целью разрешить прохождение следующих типов трафика:

  • IP-адрес назначения интерфейса демилитаризованной зоны на сервере политики сети.

    Этот фильтр разрешает трафик на сервер политики сети, расположенный в демилитаризованной зоне.

Фильтры в интерфейсе интрасети

В интерфейсе интрасети брандмауэра настраиваются следующие фильтры на входе с целью разрешить прохождение следующих типов трафика:

  • IP-адрес назначения интерфейса демилитаризованной зоны на сервере политики сети.

    Этот фильтр разрешает прохождение трафика на сервер политики сети, расположенный в демилитаризованной зоне.

В интерфейсе интрасети брандмауэра настраиваются следующие фильтры исходящих пакетов с целью разрешить прохождение следующих типов трафика:

  • IP-адрес источника интерфейса демилитаризованной зоны на сервере политики сети.

    Этот фильтр разрешает прохождение трафика с сервера политики сети, расположенного в демилитаризованной зоне.


Содержание