Настройка брандмауэров для трафика RADIUS

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

Брандмауэры можно настроить, чтобы разрешить или заблокировать типы IP-трафика на компьютер или устройство, на котором запущен брандмауэр. Если брандмауэры неправильно настроены для разрешения трафика RADIUS между клиентами RADIUS, прокси-серверами RADIUS и серверами RADIUS, проверка подлинности сетевого доступа может завершиться ошибкой, предотвращая доступ пользователей к сетевым ресурсам.

Возможно, потребуется настроить два типа брандмауэров, чтобы разрешить трафик RADIUS:

• Брандмауэр Защитника Windows с расширенной безопасностью на локальном сервере под управлением сервера политики сети (NPS).
• Брандмауэры, работающие на других компьютерах или аппаратных устройствах.

Брандмауэр Windows на локальном NPS

По умолчанию NPS отправляет и получает трафик RADIUS с помощью портов UDP 1812, 1813, 1645 и 1646. Брандмауэр Защитника Windows на NPS должен быть автоматически настроен с исключениями во время установки NPS, чтобы разрешить отправку и получение этого трафика RADIUS.

Для этого исключения брандмауэра Server 2019 требуется изменение идентификатора безопасности учетной записи службы для эффективного обнаружения и разрешения трафика RADIUS. Если это изменение идентификатора безопасности не выполняется, брандмауэр удаляет трафик RADIUS. В командной строке с повышенными привилегиями выполните команду sc sidtype IAS unrestricted. Эта команда изменяет службу IAS (RADIUS) для использования уникального идентификатора безопасности вместо совместного использования с другими службами NETWORK SERVICE.

Таким образом, если вы используете порты UDP по умолчанию, вам не нужно изменять конфигурацию брандмауэра Защитника Windows, чтобы разрешить трафик RADIUS и из NPS.

В некоторых случаях может потребоваться изменить порты, используемые NPS для трафика RADIUS. Если вы настраиваете NPS и серверы сетевого доступа для отправки и получения трафика RADIUS на портах, отличных от стандартных, необходимо выполнить следующее:

• Удалите исключения, разрешающие трафик RADIUS на портах по умолчанию.
• Создайте новые исключения, разрешающие трафик RADIUS на новых портах.

Дополнительные сведения см. в разделе "Настройка сведений о портах NPS UDP".

Другие брандмауэры

В наиболее распространенной конфигурации брандмауэр подключен к Интернету, а NPS — это ресурс интрасети, подключенный к сети периметра.

Для доступа к контроллеру домена в интрасети может потребоваться:

• Интерфейс в сети периметра и интерфейс в интрасети (маршрутизация IP-адресов не включена).
• Один интерфейс в сети периметра. В этой конфигурации NPS взаимодействует с контроллерами домена через другой брандмауэр, который подключает сеть периметра к интрасети.

Настройка брандмауэра Интернета

Брандмауэр, подключенный к Интернету, должен быть настроен с фильтрами входных и выходных данных в интерфейсе Интернета (и, при необходимости, его интерфейс периметра сети), чтобы разрешить пересылку сообщений RADIUS между клиентами NPS и RADIUS или прокси-серверами в Интернете. Дополнительные фильтры можно использовать для передачи трафика на веб-серверы, VPN-серверы и другие типы серверов в сети периметра.

Отдельные фильтры входных и выходных пакетов можно настроить в интерфейсе Интернета и сетевом интерфейсе периметра.

Настройка фильтров входных данных в интерфейсе Интернета

Настройте следующие фильтры входных пакетов в интерфейсе Брандмауэра, чтобы разрешить следующие типы трафика:

• IP-адрес назначения сетевого интерфейса периметра и целевого порта UDP 1812 (0x714) NPS. Этот фильтр разрешает трафик проверки подлинности RADIUS от клиентов RADIUS через Интернет к NPS. Это порт UDP по умолчанию, используемый NPS, как определено в RFC 2865. Если используется другой порт, замените его номером 1812.
• IP-адрес назначения сетевого интерфейса периметра и целевого порта UDP 1813 (0x715) NPS. Этот фильтр позволяет выполнять учет трафика RADIUS от клиентов RADIUS из Интернета в NPS. Это порт UDP по умолчанию, используемый NPS, как определено в RFC 2866. Если используется другой порт, замените его номером 1813.
• (Необязательно) IP-адрес назначения сетевого интерфейса периметра и целевого порта UDP 1645 (0x66D) NPS. Этот фильтр разрешает трафик проверки подлинности RADIUS от клиентов RADIUS через Интернет к NPS. Это порт UDP, используемый старыми клиентами RADIUS.
• (Необязательно) IP-адрес назначения сетевого интерфейса периметра и целевого порта UDP 1646 (0x66E) NPS. Этот фильтр позволяет выполнять учет трафика RADIUS от клиентов RADIUS из Интернета в NPS. Это порт UDP, используемый старыми клиентами RADIUS.

Настройка фильтров выходных данных в интерфейсе Интернета

Настройте следующие выходные фильтры в интернет-интерфейсе брандмауэра, чтобы разрешить следующие типы трафика:

• Исходный IP-адрес сетевого интерфейса периметра и исходный порт UDP 1812 (0x714) NPS. Этот фильтр разрешает трафик проверки подлинности RADIUS от NPS к клиентам RADIUS на основе Интернета. Это порт UDP по умолчанию, используемый NPS, как определено в RFC 2865. Если используется другой порт, замените его номером 1812.
• Исходный IP-адрес сетевого интерфейса периметра и исходный порт UDP 1813 (0x715) NPS. Этот фильтр позволяет выполнять учет трафика RADIUS от NPS к клиентам RADIUS на основе Интернета. Это порт UDP по умолчанию, используемый NPS, как определено в RFC 2866. Если используется другой порт, замените его номером 1813.
• (Необязательно) Исходный IP-адрес сетевого интерфейса периметра и исходный порт UDP 1645 (0x66D) NPS. Этот фильтр разрешает трафик проверки подлинности RADIUS от NPS к клиентам RADIUS на основе Интернета. Это порт UDP, используемый старыми клиентами RADIUS.
• (Необязательно) Исходный IP-адрес сетевого интерфейса периметра и исходный порт UDP 1646 (0x66E) NPS. Этот фильтр позволяет выполнять учет трафика RADIUS от NPS к клиентам RADIUS на основе Интернета. Это порт UDP, используемый старыми клиентами RADIUS.

Настройка фильтров входных данных в сетевом интерфейсе периметра

Настройте следующие входные фильтры в сетевом интерфейсе периметра брандмауэра, чтобы разрешить следующие типы трафика:

• Исходный IP-адрес сетевого интерфейса периметра и исходный порт UDP 1812 (0x714) NPS. Этот фильтр разрешает трафик проверки подлинности RADIUS от NPS к клиентам RADIUS на основе Интернета. Это порт UDP по умолчанию, используемый NPS, как определено в RFC 2865. Если используется другой порт, замените его номером 1812.
• Исходный IP-адрес сетевого интерфейса периметра и исходный порт UDP 1813 (0x715) NPS. Этот фильтр позволяет выполнять учет трафика RADIUS от NPS к клиентам RADIUS на основе Интернета. Это порт UDP по умолчанию, используемый NPS, как определено в RFC 2866. Если используется другой порт, замените его номером 1813.
• (Необязательно) Исходный IP-адрес сетевого интерфейса периметра и исходный порт UDP 1645 (0x66D) NPS. Этот фильтр разрешает трафик проверки подлинности RADIUS от NPS к клиентам RADIUS на основе Интернета. Это порт UDP, используемый старыми клиентами RADIUS.
• (Необязательно) Исходный IP-адрес сетевого интерфейса периметра и исходный порт UDP 1646 (0x66E) NPS. Этот фильтр позволяет выполнять учет трафика RADIUS от NPS к клиентам RADIUS на основе Интернета. Это порт UDP, используемый старыми клиентами RADIUS.

Настройка фильтров выходных данных в сетевом интерфейсе периметра

Настройте следующие фильтры выходных пакетов в сетевом интерфейсе периметра брандмауэра, чтобы разрешить следующие типы трафика:

• IP-адрес назначения сетевого интерфейса периметра и целевого порта UDP 1812 (0x714) NPS. Этот фильтр разрешает трафик проверки подлинности RADIUS от клиентов RADIUS через Интернет к NPS. Это порт UDP по умолчанию, используемый NPS, как определено в RFC 2865. Если используется другой порт, замените его номером 1812.
• IP-адрес назначения сетевого интерфейса периметра и целевого порта UDP 1813 (0x715) NPS. Этот фильтр позволяет выполнять учет трафика RADIUS от клиентов RADIUS из Интернета в NPS. Это порт UDP по умолчанию, используемый NPS, как определено в RFC 2866. Если используется другой порт, замените его номером 1813.
• (Необязательно) IP-адрес назначения сетевого интерфейса периметра и целевого порта UDP 1645 (0x66D) NPS. Этот фильтр разрешает трафик проверки подлинности RADIUS от клиентов RADIUS через Интернет к NPS. Это порт UDP, используемый старыми клиентами RADIUS.
• (Необязательно) IP-адрес назначения сетевого интерфейса периметра и целевого порта UDP 1646 (0x66E) NPS. Этот фильтр позволяет выполнять учет трафика RADIUS от клиентов RADIUS из Интернета в NPS. Это порт UDP, используемый старыми клиентами RADIUS.

Для дополнительной безопасности можно использовать IP-адреса каждого клиента RADIUS, отправляющего пакеты через брандмауэр, чтобы определить фильтры для трафика между клиентом и IP-адресом NPS в сети периметра.

Фильтры в сетевом интерфейсе периметра

Настройте следующие фильтры входных пакетов в сетевом интерфейсе периметра брандмауэра интрасети, чтобы разрешить следующие типы трафика:

• Исходный IP-адрес сетевого интерфейса периметра NPS. Этот фильтр разрешает трафик из NPS в сети периметра.

Настройте следующие выходные фильтры в сетевом интерфейсе периметра брандмауэра интрасети, чтобы разрешить следующие типы трафика:

• IP-адрес назначения сетевого интерфейса периметра NPS. Этот фильтр разрешает трафик к NPS в сети периметра.

Фильтры в интерфейсе интрасети

Настройте следующие входные фильтры в интерфейсе интрасети брандмауэра, чтобы разрешить следующие типы трафика:

• IP-адрес назначения сетевого интерфейса периметра NPS. Этот фильтр разрешает трафик к NPS в сети периметра.

Настройте следующие фильтры выходных пакетов в интерфейсе интрасети брандмауэра, чтобы разрешить следующие типы трафика:

• Исходный IP-адрес сетевого интерфейса периметра NPS. Этот фильтр разрешает трафик из NPS в сети периметра.

Дополнительные сведения об управлении NPS см. в разделе "Управление сервером политики сети".

Дополнительные сведения о NPS см. в разделе "Сервер политики сети" (NPS).