针对 RADIUS 流量配置防火墙
可以将防火墙配置为允许或阻止各种类型的 IP 通信来回于运行防火墙的计算机或设备。 如果未将防火墙正确配置为允许在 RADIUS 客户端、RADIUS 代理和 RADIUS 服务器中进行 RADIUS 通信,则网络访问身份验证可能会失败,从而阻止用户访问网络资源。
若要允许 RADIUS 流量,可能需要配置以下两种类型的防火墙:
- 运行网络策略服务器 (NPS) 的本地服务器上具有高级安全的 Windows Defender 防火墙。
- 运行于其他计算机或硬件设备的防火墙。
本地 NPS 上的 Windows 防火墙
默认情况下,NPS 使用用户数据报协议 (UDP) 端口 1812、1813、1645 以及 1646 发送和接收 RADIUS 流量。 在安装 NPS 的过程中,NPS 上的 Windows Defender 防火墙应自动配置例外情况,从而允许发送和接收此 RADIUS 流量。
对于 Server 2019,此防火墙例外需要修改服务帐户安全标识符,以便有效检测和允许 RADIUS 流量。 如果未执行此安全标识符更改,防火墙将丢弃 RADIUS 流量。 在提升的命令提示符处,运行 sc sidtype IAS unrestricted
。 此命令将 IAS (RADIUS) 服务更改为使用唯一的 SID,而不是与其他 NETWORK SERVICE 服务共享。
因此,如果使用的是默认 UDP 端口,无需更改 Windows Defender 防火墙配置即可允许 RADIUS 流量进出 NPS。
在某些情况下,可能需要更改 NPS 用于 RADIUS 通信的端口。 如果将 NPS 和网络访问服务器配置为在默认端口以外的端口上发送和接收 RADIUS 通信,则必须执行以下操作:
- 删除允许默认端口上的 RADIUS 流量的例外。
- 创建允许新端口上的 RADIUS 流量的新例外。
有关详细信息,请参阅配置 NPS UDP 端口信息。
其他防火墙
最常见的配置为:防火墙连接到 Internet,NPS 是连接到外围网络的 Intranet 资源。
若要访问 Intranet 中的域控制器,NPS 可能具有:
- 在外围网络和 Intranet(未启用 IP 路由)上各有一个接口。
- 在外围网络上有一个单一接口。 在此配置中,NPS 通过另一个防火墙与域控制器通信,该防火墙将外围网络连接到 Intranet。
配置 Internet 防火墙
连接到 Internet 的防火墙必须在其 Internet 接口(以及可选的网络外围接口)上配置输入和输出筛选器,从而允许在 Internet 上的 NPS 和 RADIUS 客户端或代理之间转发 RADIUS 消息。 可以使用其他筛选器来允许将通信传递到外围网络上的 Web 服务器、VPN 服务器和其他类型的服务器。
可以在 Internet 接口和外围网络接口上配置单独的输入和输出数据包筛选器。
在 Internet 接口上配置输入筛选器
在防火墙的 Internet 接口上配置以下输入数据包筛选器,以允许以下类型的通信:
- 外围网络接口的目标 IP 地址和 NPS 的 UDP 目标端口 1812 (0x714)。 此筛选器允许从基于 Internet 的 RADIUS 客户端到 NPS 的 RADIUS 身份验证流量。 这是 NPS 使用的默认 UDP 端口,如 RFC 2865 中所定义。 如果使用其他端口,请将该端口号替换为 1812。
- 外围网络接口的目标 IP 地址和 NPS 的 UDP 目标端口 1813 (0x715)。 此筛选器允许从基于 Internet 的 RADIUS 客户端到 NPS 的 RADIUS 计帐流量。 这是 NPS 使用的默认 UDP 端口,如 RFC 2866 中所定义。 如果使用的是其他端口,请将该端口号替换为 1813。
- (可选)外围网络接口的目标 IP 地址和 NPS 的 UDP 目标端口 1645 (0x66D)。 此筛选器允许从基于 Internet 的 RADIUS 客户端到 NPS 的 RADIUS 身份验证流量。 这是旧版 RADIUS 客户端使用的 UDP 端口。
- (可选)外围网络接口的目标 IP 地址和 NPS 的 UDP 目标端口 1646 (0x66E)。 此筛选器允许从基于 Internet 的 RADIUS 客户端到 NPS 的 RADIUS 计帐流量。 这是旧版 RADIUS 客户端使用的 UDP 端口。
在 Internet 接口上配置输出筛选器
在防火墙的 Internet 接口上配置以下输出筛选器,以允许以下类型的通信:
- 外围网络接口的源 IP 地址和 NPS 的 UDP 源端口 1812 (0x714)。 此筛选器允许从 NPS 到基于 Internet 的 RADIUS 客户端的 RADIUS 身份验证通信。 这是 NPS 使用的默认 UDP 端口,如 RFC 2865 中所定义。 如果使用其他端口,请将该端口号替换为 1812。
- 外围网络接口的源 IP 地址和 NPS 的 UDP 源端口 1813 (0x715)。 此筛选器允许从 NPS 到基于 Internet 的 RADIUS 客户端的 RADIUS 计帐流量。 这是 NPS 使用的默认 UDP 端口,如 RFC 2866 中所定义。 如果使用的是其他端口,请将该端口号替换为 1813。
- (可选)外围网络接口的源 IP 地址和 NPS 的 UDP 源端口 1645 (0x66D)。 此筛选器允许从 NPS 到基于 Internet 的 RADIUS 客户端的 RADIUS 身份验证通信。 这是旧版 RADIUS 客户端使用的 UDP 端口。
- (可选)外围网络接口的源 IP 地址和 NPS 的 UDP 源端口 1646 (0x66E)。 此筛选器允许从 NPS 到基于 Internet 的 RADIUS 客户端的 RADIUS 计帐流量。 这是旧版 RADIUS 客户端使用的 UDP 端口。
在外围网络接口上配置输入筛选器
在防火墙的外围网络接口上配置以下输入筛选器,以允许以下类型的通信:
- 外围网络接口的源 IP 地址和 NPS 的 UDP 源端口 1812 (0x714)。 此筛选器允许从 NPS 到基于 Internet 的 RADIUS 客户端的 RADIUS 身份验证通信。 这是 NPS 使用的默认 UDP 端口,如 RFC 2865 中所定义。 如果使用其他端口,请将该端口号替换为 1812。
- 外围网络接口的源 IP 地址和 NPS 的 UDP 源端口 1813 (0x715)。 此筛选器允许从 NPS 到基于 Internet 的 RADIUS 客户端的 RADIUS 计帐流量。 这是 NPS 使用的默认 UDP 端口,如 RFC 2866 中所定义。 如果使用的是其他端口,请将该端口号替换为 1813。
- (可选)外围网络接口的源 IP 地址和 NPS 的 UDP 源端口 1645 (0x66D)。 此筛选器允许从 NPS 到基于 Internet 的 RADIUS 客户端的 RADIUS 身份验证通信。 这是旧版 RADIUS 客户端使用的 UDP 端口。
- (可选)外围网络接口的源 IP 地址和 NPS 的 UDP 源端口 1646 (0x66E)。 此筛选器允许从 NPS 到基于 Internet 的 RADIUS 客户端的 RADIUS 计帐流量。 这是旧版 RADIUS 客户端使用的 UDP 端口。
在外围网络接口上配置输出筛选器
在防火墙的外围网络接口上配置以下输出数据包筛选器,以允许以下类型的通信:
- 外围网络接口的目标 IP 地址和 NPS 的 UDP 目标端口 1812 (0x714)。 此筛选器允许从基于 Internet 的 RADIUS 客户端到 NPS 的 RADIUS 身份验证流量。 这是 NPS 使用的默认 UDP 端口,如 RFC 2865 中所定义。 如果使用其他端口,请将该端口号替换为 1812。
- 外围网络接口的目标 IP 地址和 NPS 的 UDP 目标端口 1813 (0x715)。 此筛选器允许从基于 Internet 的 RADIUS 客户端到 NPS 的 RADIUS 计帐流量。 这是 NPS 使用的默认 UDP 端口,如 RFC 2866 中所定义。 如果使用的是其他端口,请将该端口号替换为 1813。
- (可选)外围网络接口的目标 IP 地址和 NPS 的 UDP 目标端口 1645 (0x66D)。 此筛选器允许从基于 Internet 的 RADIUS 客户端到 NPS 的 RADIUS 身份验证流量。 这是旧版 RADIUS 客户端使用的 UDP 端口。
- (可选)外围网络接口的目标 IP 地址和 NPS 的 UDP 目标端口 1646 (0x66E)。 此筛选器允许从基于 Internet 的 RADIUS 客户端到 NPS 的 RADIUS 计帐流量。 这是旧版 RADIUS 客户端使用的 UDP 端口。
为了加强安全性,可以使用通过防火墙发送数据包的每个 RADIUS 客户端的 IP 地址来为客户端和外围网络上 NPS 的 IP 地址之间的流量定义筛选器。
外围网络接口上的筛选器
在 Intranet 防火墙的外围网络接口上配置以下输入数据包筛选器,以允许以下类型的通信:
- NPS 外围网络接口的源 IP 地址。 此筛选器允许来自外围网络上 NPS 的通信。
在 Intranet 防火墙的外围网络接口上配置以下输出筛选器,以允许以下类型的通信:
- NPS 外围网络接口的目标 IP 地址。 此筛选器允许进入外围网络上 NPS 的通信。
Intranet 接口上的筛选器
在防火墙的 Intranet 接口上配置以下输入筛选器,以允许以下类型的通信:
- NPS 外围网络接口的目标 IP 地址。 此筛选器允许进入外围网络上 NPS 的通信。
在防火墙的 Intranet 接口上配置以下输出数据包筛选器,以允许以下类型的通信:
- NPS 外围网络接口的源 IP 地址。 此筛选器允许来自外围网络上 NPS 的通信。
有关管理 NPS 的详细信息,请参阅管理网络策略服务器。
有关 NPS 的详细信息,请参阅网络策略服务器 (NPS)。