為 RADIUS Traffic 設置防火牆

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016

防火牆可以設置為允許或阻擋從執行防火牆的電腦或設備到該電腦或設備的各種 IP 流量類型。 如果防火牆未正確設置以允許 RADIUS 客戶端、RADIUS 代理和 RADIUS 伺服器之間的 RADIUS 流量,網路造訪認證可能會失敗,阻止使用者造訪網路資源。

您可能需要設置兩種類型的防火牆以允許 RADIUS 流量:

  • 在執行 Network Policy Server (NPS) 的本地伺服器上設置 Windows Defender Firewall with Advanced Security。
  • 執行在其他計電腦或硬體設備上的防火牆。

本地 NPS 上的 Windows Firewall

預設情況下,NPS 使用 User Datagram Protocol (UDP) 端口 1812、1813、1645 和 1646 來發送和接收 RADIUS 流量。 在安裝 NPS 過程中,NPS 上的 Windows Defender Firewall 應該會自動設置例外,以允許發送和接收這些 RADIUS 流量。

在 Server 2019 中,這個防火牆例外需要修改服務帳戶的安全標識符,以有效地檢測和允許 RADIUS 流量。 如果不執行這個安全標識符的更改,防火牆將拒絕 RADIUS 流量。 從提升的命令提示字元執行sc sidtype IAS unrestricted。 這個指令將 IAS(RADIUS)服務變更為使用獨特的安全標識符,而不是與其他 NETWORK SERVICE 服務共用。

因此,如果您正在使用預設的 UDP 端口,則無需更改 Windows Defender Firewall 設置以允許與 NPS 之間的 RADIUS 流量。

在某些情況下,您可能希望變更 NPS 用於 RADIUS 流量的端口。 如果您設置了 NPS 並將您的網路造訪伺服器設置為在預設端口之外的端口上發送和接收 RADIUS 流量,您必須執行以下操作:

  • 移除允許在預設端口上進行 RADIUS 流量的例外。
  • 建立新的例外,允許在新的端口上進行 RADIUS 流量。

更多詳細資訊,請參閱 設置 NPS 的 UDP 埠資訊

其他防火牆

在最常見的設置中,防火牆連接到網路,而 NPS 是連接到周邊網路的內部資源。

為了連接到內部網路中的網域控制器,NPS 可能具有:

  • 一個介面位於周邊網路,另一個介面位於內部網路(未啟用 IP 路由)。
  • 僅在周邊網路上擁有一個介面。 在這種設置中,NPS 透過將周邊網路連接到內部網路的另一個防火牆與網域控制器進行通訊。

設置網路防火牆

與網路相連的防火牆必須在其網路介面(以及可選的網路周邊介面)上設置輸入和輸出篩選器,以允許在 NPS 和網路上的 RADIUS 客戶端或代理之間轉發 RADIUS 消息。 可以使用額外的篩選器來允許流量透過到周邊網路上的 Web 伺服器、VPN 伺服器和其他類型的伺服器。

可以在網路介面和周邊網路介面上設置獨立的輸入和輸出組合篩選器。

設置網路介面的輸入篩選器

設置以下的網路介面輸入組合篩選器,以允許以下類型的流量:

  • 周邊網路介面的目標 IP 位址和 NPS 的 UDP 目標端口 1812(0x714)。 該篩選器允許來自基於網路的 RADIUS 客戶端到 NPS 的 RADIUS 驗證流量。 這是 NPS 使用的預設 UDP 端口,如 RFC 2865 中所設置。 如果您使用的是不同的端口,請用該端口號取代 1812。
  • 周邊網路介面的目標 IP 位址和 NPS 的 UDP 目標端口 1813(0x715)。 該篩選器允許來自基於網路的 RADIUS 客戶端到 NPS 的 RADIUS 會計流量。 這是 NPS 使用的預設 UDP 端口,如 RFC 2866 中所設置。 如果您使用的是不同的端口,請用該端口號取代 1813。
  • (可選)周邊網路介面的目標 IP 位址和 NPS 的 UDP 目標端口 1645(0x66D)。 該篩選器允許來自基於網路的 RADIUS 客戶端到 NPS 的 RADIUS 驗證流量。 這是由較舊的 RADIUS 客戶端使用的 UDP 端口。
  • (可選)周邊網路介面的目標 IP 位址和 NPS 的 UDP 目標端口 1646(0x66E)。 該篩選器允許來自基於網路的 RADIUS 客戶端到 NPS 的 RADIUS 會計流量。 這是由較舊的 RADIUS 客戶端使用的 UDP 端口。

設置網路介面的輸出篩選器

設置防火牆網路介面的以下輸出篩選器,以允許以下類型的流量:

  • 周邊網路介面的源 IP 位址和 NPS 的 UDP 源端口 1812(0x714)。 該篩選器允許來自 NPS 到基於網路的 RADIUS 客戶端的 RADIUS 認證流量。 這是 NPS 使用的預設 UDP 端口,如 RFC 2865 中所設置。 如果您使用的是不同的端口,請用該端口號取代 1812。
  • 周邊網路介面的源 IP 位址和 NPS 的 UDP 源端口 1813(0x715)。 該篩選器允許來自 NPS 到基於網路的 RADIUS 客戶端的 RADIUS 會計流量。 這是 NPS 使用的預設 UDP 端口,如 RFC 2866 中所設置。 如果您使用的是不同的端口,請用該端口號取代 1813。
  • (可選)周邊網路介面的源 IP 位址和 NPS 的 UDP 源端口 1645(0x66D)。 該篩選器允許來自 NPS 到基於網路的 RADIUS 客戶端的 RADIUS 認證流量。 這是由較舊的 RADIUS 客戶端使用的 UDP 端口。
  • (可選)周邊網路介面的源 IP 位址和 NPS 的 UDP 源端口 1646(0x66E)。 該篩選器允許來自 NPS 到基於網路的 RADIUS 客戶端的 RADIUS 會計流量。 這是由較舊的 RADIUS 客戶端使用的 UDP 端口。

設置周邊網路介面的輸入篩選器

設置防火牆周邊網路介面的以下輸入篩選器,以允許以下類型的流量:

  • 周邊網路介面的源 IP 位址和 NPS 的 UDP 源端口 1812(0x714)。 該篩選器允許來自 NPS 到基於網路的 RADIUS 客戶端的 RADIUS 認證流量。 這是 NPS 使用的預設 UDP 端口,如 RFC 2865 中所設置。 如果您使用的是不同的端口,請用該端口號取代 1812。
  • 周邊網路介面的源 IP 位址和 NPS 的 UDP 源端口 1813(0x715)。 該篩選器允許來自 NPS 到基於網路的 RADIUS 客戶端的 RADIUS 會計流量。 這是 NPS 使用的預設 UDP 端口,如 RFC 2866 中所設置。 如果您使用的是不同的端口,請用該端口號取代 1813。
  • (可選)周邊網路介面的源 IP 位址和 NPS 的 UDP 源端口 1645(0x66D)。 該篩選器允許來自 NPS 到基於網路的 RADIUS 客戶端的 RADIUS 認證流量。 這是由較舊的 RADIUS 客戶端使用的 UDP 端口。
  • (可選)周邊網路介面的源 IP 位址和 NPS 的 UDP 源端口 1646(0x66E)。 該篩選器允許來自 NPS 到基於網路的 RADIUS 客戶端的 RADIUS 會計流量。 這是由較舊的 RADIUS 客戶端使用的 UDP 端口。

設置周邊網路介面的輸出篩選器

設置防火牆周邊網路介面的以下輸出組合篩選器,以允許以下類型的流量:

  • 周邊網路介面的目標 IP 位址和 NPS 的 UDP 目標端口 1812(0x714)。 該篩選器允許來自基於網路的 RADIUS 客戶端到 NPS 的 RADIUS 驗證流量。 這是 NPS 使用的預設 UDP 端口,如 RFC 2865 中所設置。 如果您使用的是不同的端口,請用該端口號取代 1812。
  • 周邊網路介面的目標 IP 位址和 NPS 的 UDP 目標端口 1813(0x715)。 該篩選器允許來自基於網路的 RADIUS 客戶端到 NPS 的 RADIUS 會計流量。 這是 NPS 使用的預設 UDP 端口,如 RFC 2866 中所設置。 如果您使用的是不同的端口,請用該端口號取代 1813。
  • (可選)周邊網路介面的目標 IP 位址和 NPS 的 UDP 目標端口 1645(0x66D)。 該篩選器允許來自基於網路的 RADIUS 客戶端到 NPS 的 RADIUS 驗證流量。 這是由較舊的 RADIUS 客戶端使用的 UDP 端口。
  • (可選)周邊網路介面的目標 IP 位址和 NPS 的 UDP 目標端口 1646(0x66E)。 該篩選器允許來自基於網路的 RADIUS 客戶端到 NPS 的 RADIUS 會計流量。 這是由較舊的 RADIUS 客戶端使用的 UDP 端口。

為了增加安全性,您可以使用將組合透過防火牆的每個 RADIUS 客戶端的 IP 位址,為客戶端和周邊網路上 NPS 的 IP 位址之間的流量設置篩選器。

在周邊網路介面上的篩選器

設置內部防火牆周邊網路介面的以下輸入組合篩選器,以允許以下類型的流量:

  • NPS 的周邊網路介面的來源 IP 位址。 該篩選器允許來自 NPS 在周邊網路上的流量。

設置內部防火牆周邊網路介面的以下輸出篩選器,以允許以下類型的流量:

  • NPS 的周邊網路介面的目標 IP 位址。 該篩選器允許流量到 NPS 在周邊網路上。

內部網路介面上的篩選器

設置防火牆內部網路介面的以下輸入篩選器,以允許以下類型的流量:

  • NPS 的周邊網路介面的目標 IP 位址。 該篩選器允許流量到 NPS 在周邊網路上。

設置防火牆內部網路介面的以下輸出組合篩選器,以允許以下類型的流量:

  • NPS 的周邊網路介面的來源 IP 位址。 該篩選器允許來自 NPS 在周邊網路上的流量。

更多管理 NPS 的詳細資訊,請參閱 管理網路原則伺服器

更多 NPS 的詳細資訊,請參閱 Network Policy Server (NPS)