RADIUS 트래픽 방화벽 구성하기

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

방화벽은 방화벽이 실행 중인 컴퓨터 또는 장치로의 IP 트래픽을 허용하거나 차단하도록 설정할 수 있습니다. 방화벽이 RADIUS 클라이언트, RADIUS 프록시 및 RADIUS 서버 간의 RADIUS 트래픽을 허용하도록 올바르게 구성되지 않으면 네트워크 액세스 인증에 실패하여 사용자가 네트워크 리소스에 액세스하지 못할 수 있습니다.

RADIUS 트래픽을 허용하는 두 가지 유형의 방화벽을 구성해야 할 수도 있습니다.

  • 네트워크 정책 서버 (NPS)를 실행하는 로컬 서버에서 고급 보안이 포함된 Windows Defender 방화벽
  • 다른 컴퓨터 또는 하드웨어 디바이스에서 실행되는 방화벽

로컬 NPS의 Windows 방화벽

기본적으로, NPS는 사용자 데이터그램 프로토콜 (UDP) 포트 1812, 1813, 1645 및 1646을 사용하여 RADIUS 트래픽을 송신 및 수신합니다. NPS 설치 과정에서 Windows Defender 방화벽은 RADIUS 트래픽의 송수신을 허용하도록 예외 설정이 자동으로 구성되어야 합니다.

Server 2019 환경에서는 RADIUS 트래픽의 효과적인 감지 및 허용을 위해 서비스 계정 보안 식별자에 대한 수정이 필요합니다. 본 보안 식별자 변경이 적용되지 않을 시, 방화벽에서 RADIUS 트래픽이 차단될 것입니다. 관리자 권한의 명령 프롬프트에서 sc sidtype IAS unrestricted를 실행합니다. 이 명령은 IAS(RADIUS) 서비스가 다른 네트워크 서비스와 SID를 공유하지 않고 고유한 SID를 사용하도록 변경합니다.

따라서 UDP 기본 포트를 사용하는 경우, NPS 간 RADIUS 트래픽을 위해 Windows Defender 방화벽 설정을 변경하실 필요가 없습니다.

특정 상황에서는 NPS가 RADIUS 트래픽에 활용하는 포트를 변경해야 할 필요성이 발생할 수 있습니다. NPS 및 네트워크 액세스 서버의 RADIUS 트래픽 송수신 포트가 기본 설정과 다르게 구성된 경우, 다음 작업을 수행해야 합니다.

  • 기본 포트에서 RADIUS 트래픽을 허용하는 예외를 삭제하세요.
  • 새 포트에서 RADIUS 트래픽을 허용하는 새 예외를 생성하세요.

자세한 내용은, NPS UDP 포트 정보 구성을 참조 하세요.

기타 방화벽

가장 일반적인 구성에서 방화벽은 인터넷에, NPS는 경계 네트워크에 연결된 인트라넷 자원에 연결됩니다.

인트라넷 내의 도메인 컨트롤러에 연결하려면, NPS에 다음이 있을 수 있습니다.

  • 경계 네트워크의 인터페이스 및 인트라넷의 인터페이스(IP 라우팅은 비활성화).
  • 경계 네트워크의 단일 인터페이스. 본 구성에서는 NPS가 경계 네트워크를 인트라넷에 연결하는 별도의 방화벽을 거쳐 도메인 컨트롤러와 통신합니다.

인터넷 방화벽 구성하기

인터넷에 연결된 방화벽은 네트워크 인터페이스(필요한 경우 네트워크 경계 인터페이스)에서 입력 및 출력 필터를 구성하여 NPS와 인터넷상의 RADIUS 클라이언트 또는 프록시 간의 RADIUS 메시지 전달을 허용해야 합니다. 경계 네트워크 내 웹 서버, VPN 서버 및 기타 유형의 서버로의 트래픽 허용을 위해 추가 필터를 적용할 수 있습니다.

인터넷 인터페이스와 경계 네트워크 인터페이스에 대해 각각 독립적인 입력 및 출력 패킷 필터를 설정할 수 있습니다.

인터넷 인터페이스에서 입력 필터 구성하기

방화벽의 인터넷 인터페이스에 대해 아래 명시된 유형의 트래픽을 허용하도록 다음의 입력 패킷 필터를 구성하세요.

  • 경계 네트워크 인터페이스의 대상 IP 주소 및 NPS의 UDP 대상 포트 1812(0x714). 이 필터는 인터넷 기반 RADIUS 클라이언트에서 NPS로의 RADIUS 인증 트래픽을 허용합니다. 해당 UDP 포트는 RFC 2865에서 정의된 NPS의 기본 포트입니다. 다른 포트를 사용하는 경우, 해당 포트 번호를 1812로 변경하세요.
  • 경계 네트워크 인터페이스의 대상 IP 주소 및 NPS의 UDP 대상 포트 1813(0x715). 이 필터는 인터넷 기반 RADIUS 클라이언트로부터 NPS로 향하는 RADIUS 계정 트래픽을 허용합니다. RFC 2866에 정의된 대로 NPS에서 사용하는 기본 UDP 포트입니다. 다른 포트를 사용하는 경우, 해당 포트 번호를 1813로 대체하세요.
  • (선택 사항) 경계 네트워크 인터페이스의 대상 IP 주소 및 NPS의 UDP 대상 포트 1645(0x66D). 이 필터는 인터넷 기반 RADIUS 클라이언트에서 NPS로의 RADIUS 인증 트래픽을 허용합니다. 이전 RADIUS 클라이언트에서 사용하는 UDP 포트입니다.
  • (선택 사항) 경계 네트워크 인터페이스의 대상 IP 주소 및 NPS의 UDP 대상 포트 1646(0x66E). 이 필터는 인터넷 기반 RADIUS 클라이언트로부터 NPS로 향하는 RADIUS 계정 트래픽을 허용합니다. 이전 RADIUS 클라이언트에서 사용하는 UDP 포트입니다.

인터넷 인터페이스에서 출력 필터 구성하기

방화벽의 인터넷 인터페이스에서 다음 유형의 트래픽을 허용하기 위해 다음 출력 필터를 구성하세요.

  • 경계 네트워크 인터페이스의 원본 IP 주소 및 NPS의 1812(0x714)의 UDP 원본 포트. 이 필터는 NPS에서 인터넷 기반 RADIUS 클라이언트로의 RADIUS 인증 트래픽을 허용합니다. 해당 UDP 포트는 RFC 2865에서 정의된 NPS의 기본 포트입니다. 다른 포트를 사용하는 경우, 해당 포트 번호를 1812로 변경하세요.
  • 경계 네트워크 인터페이스의 원본 IP 주소 및 NPS의 1813(0x715)의 UDP 원본 포트. 이 필터는 인터넷 기반 NPS에서 인터넷 기반 RADIUS 클라이언트로 향하는 RADIUS 계정 트래픽을 허용합니다. RFC 2866에 정의된 대로 NPS에서 사용하는 기본 UDP 포트입니다. 다른 포트를 사용하는 경우, 해당 포트 번호를 1813로 대체하세요.
  • (선택 사항) 경계 네트워크 인터페이스의 원본 IP 주소 및 NPS의 1645(0x66D)의 UDP 원본 포트. 이 필터는 NPS에서 인터넷 기반 RADIUS 클라이언트로의 RADIUS 인증 트래픽을 허용합니다. 이전 RADIUS 클라이언트에서 사용하는 UDP 포트입니다.
  • (선택 사항) 경계 네트워크 인터페이스의 원본 IP 주소 및 NPS의 1646(0x66E)의 UDP 원본 포트. 이 필터는 인터넷 기반 NPS에서 인터넷 기반 RADIUS 클라이언트로 향하는 RADIUS 계정 트래픽을 허용합니다. 이전 RADIUS 클라이언트에서 사용하는 UDP 포트입니다.

경계 네트워크 인터페이스에서 입력 필터 구성하기

다음 유형의 트래픽을 허용하도록 방화벽의 네트워크 인터페이스에서 다음 입력 패킷 필터를 구성합니다.

  • 경계 네트워크 인터페이스의 원본 IP 주소 및 NPS의 1812(0x714)의 UDP 원본 포트. 이 필터는 NPS에서 인터넷 기반 RADIUS 클라이언트로의 RADIUS 인증 트래픽을 허용합니다. 해당 UDP 포트는 RFC 2865에서 정의된 NPS의 기본 포트입니다. 다른 포트를 사용하는 경우, 해당 포트 번호를 1812로 변경하세요.
  • 경계 네트워크 인터페이스의 원본 IP 주소 및 NPS의 1813(0x715)의 UDP 원본 포트. 이 필터는 인터넷 기반 NPS에서 인터넷 기반 RADIUS 클라이언트로 향하는 RADIUS 계정 트래픽을 허용합니다. RFC 2866에 정의된 대로 NPS에서 사용하는 기본 UDP 포트입니다. 다른 포트를 사용하는 경우, 해당 포트 번호를 1813로 대체하세요.
  • (선택 사항) 경계 네트워크 인터페이스의 원본 IP 주소 및 NPS의 1645(0x66D)의 UDP 원본 포트. 이 필터는 NPS에서 인터넷 기반 RADIUS 클라이언트로의 RADIUS 인증 트래픽을 허용합니다. 이전 RADIUS 클라이언트에서 사용하는 UDP 포트입니다.
  • (선택 사항) 경계 네트워크 인터페이스의 원본 IP 주소 및 NPS의 1646(0x66E)의 UDP 원본 포트. 이 필터는 인터넷 기반 NPS에서 인터넷 기반 RADIUS 클라이언트로 향하는 RADIUS 계정 트래픽을 허용합니다. 이전 RADIUS 클라이언트에서 사용하는 UDP 포트입니다.

경계 네트워크 인터페이스에서 출력 필터 구성하기

경계 네트워크 인터페이스 방화벽에서 아래 유형의 트래픽을 허용하도록 다음과 같은 출력 패킷 필터를 구성하세요.

  • 경계 네트워크 인터페이스의 대상 IP 주소 및 NPS의 UDP 대상 포트 1812(0x714). 이 필터는 인터넷 기반 RADIUS 클라이언트에서 NPS로의 RADIUS 인증 트래픽을 허용합니다. 해당 UDP 포트는 RFC 2865에서 정의된 NPS의 기본 포트입니다. 다른 포트를 사용하는 경우, 해당 포트 번호를 1812로 변경하세요.
  • 경계 네트워크 인터페이스의 대상 IP 주소 및 NPS의 UDP 대상 포트 1813(0x715). 이 필터는 인터넷 기반 RADIUS 클라이언트로부터 NPS로 향하는 RADIUS 계정 트래픽을 허용합니다. RFC 2866에 정의된 대로 NPS에서 사용하는 기본 UDP 포트입니다. 다른 포트를 사용하는 경우, 해당 포트 번호를 1813로 대체하세요.
  • (선택 사항) 경계 네트워크 인터페이스의 대상 IP 주소 및 NPS의 UDP 대상 포트 1645(0x66D). 이 필터는 인터넷 기반 RADIUS 클라이언트에서 NPS로의 RADIUS 인증 트래픽을 허용합니다. 이전 RADIUS 클라이언트에서 사용하는 UDP 포트입니다.
  • (선택 사항) 경계 네트워크 인터페이스의 대상 IP 주소 및 NPS의 UDP 대상 포트 1646(0x66E). 이 필터는 인터넷 기반 RADIUS 클라이언트로부터 NPS로 향하는 RADIUS 계정 트래픽을 허용합니다. 이전 RADIUS 클라이언트에서 사용하는 UDP 포트입니다.

보안을 강화하기 위해, 방화벽을 통해 패킷을 전송하는 각 RADIUS 클라이언트의 IP 주소를 사용하여 클라이언트와 경계 네트워크의 NPS IP 주소 간의 트래픽 필터를 정의할 수 있습니다.

경계 네트워크 인터페이스의 필터

인트라넷 방화벽의 경계 네트워크 인터페이스에서 아래 유형의 트래픽을 허용하기 위해 다음의 입력 패킷 필터를 구성하세요.

  • NPS의 경계 네트워크 인터페이스의 원본 IP 주소. 이 필터는 경계 네트워크의 NPS에서 발생하는 트래픽을 허용합니다.

인트라넷 방화벽 경계 네트워크 인터페이스에서 아래 유형의 트래픽을 허용하도록 다음 출력 필터를 구성하세요.

  • NPS의 경계 네트워크 인터페이스의 대상 IP 주소. 이 필터는 경계 네트워크에서 NPS로의 트래픽을 허용합니다.

인트라넷 인터페이스에 대한 필터

방화벽의 인트라넷 인터페이스에서 다음 유형의 트래픽을 허용하기 위해 다음 입력 필터를 구성하세요.

  • NPS의 경계 네트워크 인터페이스의 대상 IP 주소. 이 필터는 경계 네트워크에서 NPS로의 트래픽을 허용합니다.

방화벽의 인트라넷 인터페이스에 대해 아래 명시된 유형의 트래픽을 허용하도록 다음의 출력 패킷 필터를 구성하세요.

  • NPS의 경계 네트워크 인터페이스의 원본 IP 주소. 이 필터는 경계 네트워크의 NPS에서 발생하는 트래픽을 허용합니다.

NPS 관리에 대한 자세한 내용은, 네트워크 정책 서버 관리를 참조 하세요.

NPS에 대한 더 자세한 내용은, 네트워크 정책 서버 (NPS)를 참조하세요.