Sophos XG Firewall：如何使用Windows Server 2012为企业无线身份验证配置RADIUS

最新推荐文章于 2024-02-24 14:43:33 发布

云技术分享中心

最新推荐文章于 2024-02-24 14:43:33 发布

阅读量1.6k

点赞数

分类专栏：防火墙网络技术文章标签：网络

本文链接：https://blog.csdn.net/aalmost/article/details/108415824

版权

防火墙同时被 2 个专栏收录

3 篇文章 0 订阅

订阅专栏

网络技术

3 篇文章 0 订阅

订阅专栏

本文介绍了为无线用户设置Microsoft Windows Server Radius身份验证和Sophos XG防火墙所需的步骤。

配置RADIUS在Windows Server 2012服务器上
配置Sophos XG 防火墙
验证
注意事项:
1.当XG防火墙的无线网络安全模式设置为WPA2 Enterprise时，需要具有PEAP的 Windows NPS网络策略。
2.带有EAP的 NPS网络策略不适用于WPA2 Enterprise无线网络。
要配置PEAP，请参阅为PEAP和EAP要求配置证书模板。
3.在Windows Server上安装和设置RADIUS之前，必须设置和配置Active Directory角色。

1.RADIUS服务器位于“网络策略服务器（NPS）”面板下，可以从Windows Server 2012上的“ 服务器管理器”>“添加角色和功能”中添加 “网络策略和访问服务”角色。
在这里插入图片描述
2.按照以下想到进行操作

转到NPS（本地），然后右键单击以选择在Active Directory中注册服务器，如果显示灰色无法点击，可以先操作其他步骤。

转到 NPS（本地）> RADIUS客户端和服务器> RADIUS客户端，然后右键单击以选择新建。
在这里插入图片描述
设置XG防火墙的IP地址和共享密钥。记下此共享密钥，以便以后配置XG防火墙时使用。

我们需要一个连接请求策略，转到NPS（本地）>策略>连接请求策略，然后右键单击以选择新建。

按照以下向导进行操作。
在这里插入图片描述
在“ 指定条件”页面中，单击“ 添加”以添加条件。

选择客户端IPv4地址，然后单击添加。

插入XG防火墙的IP地址，然后单击确定。

单击完成后，连接请求策略应如下所示。

我们还需要网络策略来进行Sophos XG Firewall和NPS之间的连接测试，请转至NPS（本地）>策略>网络策略，然后右键单击以选择新建。
在这里插入图片描述

插入XG防火墙的IP地址，然后单击确定。

禁用默认情况下已启用的不太安全的身份验证方法，然后启用未加密身份验证（PAP，SPAP）。仅在测试Sophos XG Firewall和NPS之间的连接时才使用此功能，我们将在后面看到。所有无线用户身份验证将通过使用Microsoft保护EAP（PEAP）的不同网络策略进行，我们将在后面看到。
在这里插入图片描述

最后，我们需要用于无线用户身份验证的网络策略，请转到NPS（本地）>策略>网络策略，然后右键单击以选择新建。

按照以下向导进行操作。

在“ 指定条件”页面中，单击“ 添加”以添加条件。
在这里插入图片描述
我们需要添加两个条件：NAS端口类型和用户组。

在此示例中，我们添加了包括所有域用户的“ 域用户”组。您可以根据业务需要限制无线用户组。

在“ 配置身份验证方法”页中，单击“ 添加”以选择“ Microsoft保护的EAP（PEAP）”，然后单击“ 确定”。。此PEAP身份验证方法将用于对无线用户进行身份验证。
在这里插入图片描述
禁用默认情况下已启用的不太安全的身份验证方法。

确保“ 安全无线连接”策略位于“ 对Radius的SFOS连接测试”策略之上，否则无线用户会将SFOS Connectivity测试与“ Radius”策略匹配，并且NPS将拒绝其访问请求。
在这里插入图片描述
该网络策略应该是这样的。

注意：您可以根据业务需要添加更多条件。例如，“ 日期和时间限制”条件可用于将访问限制为某些日期和时间。

转到“ 会计”，然后单击“ 配置会计”。

按照向导配置一个NPS记帐选项。在此示例中，我们使用“ 登录”到本地计算机上的文本文件。
在这里插入图片描述

如下配置本地文件记录，然后单击下一步。

验证摘要，然后单击下一步。

现在已配置计费，单击“ 关闭”以完成。

配置XG防火墙

转到身份验证>服务器，然后单击添加。该共享Secre t是较早在NPS配置一样，群组名称属性是一个强制性的领域，但在NPS在此示例中没有比赛，因此我们可以将其设置为任何东西。启用启用计费，以便XG防火墙将登录和注销事件发送到NPS。
在这里插入图片描述
转到“ 身份验证”>“服务”，将“ radius服务器”设置为“ 防火墙身份验证方法”下列表的顶部。

转到无线>无线设置。

注意：在SFOS 17.5及更高版本中，已添加了添加辅助RADIUS服务器的功能，并添加了企业身份验证的后备功能。如果主RADIUS服务器发生故障，将使用辅助服务器，从而将零停机时间用于身份验证。
在这里插入图片描述
转到无线>无线网络，然后单击添加。

转到防火墙> +添加防火墙规则，然后选择用户/网络规则以创建从WiFi到WAN区域的规则，以允许无线用户进行通信。还要根据您的业务需求应用安全配置文件和控件。
在这里插入图片描述

结果

转到认证>服务器以选择最近创建的RADIUS服务器，然后单击测试连接。输入Active Directory中已有用户的用户名及其密码，然后单击“ 测试连接”。
在这里插入图片描述
测试连接应该成功。

（可选）在Windows Server中检查事件查看器，以验证已应用了哪个连接请求策略和网络策略。

现在，让无线用户连接到最近创建的SSID。

用户可以忽略证书，然后单击“ 连接”。
在这里插入图片描述
用户现在已连接。

在XG防火墙中，转到无线>无线客户端列表以验证已登录的用户。

（可选）在Windows Server中检查事件查看器，以验证已应用了哪个连接请求策略和网络策略。

要验证登录和注销计费事件，您可以在Windows Server上安装Wireshark并将流量过滤到XF防火墙中配置的用于计费的端口，在本示例中为端口1813。
在这里插入图片描述
您也可以验证之前在NPS记帐中配置的日志文件。在我们的示例中，它位于中 C:\Windows\System32\LogFiles。

此文章转自：SOPHOS KBA 知识库。
https://support.sophos.com/support/s/article/KB-000038383?language=en_US

云技术分享中心

关注

0
点赞
踩
4

收藏

觉得还不错? 一键收藏
打赏
0
评论
Sophos XG Firewall：如何使用Windows Server 2012为企业无线身份验证配置RADIUS

本文介绍了为无线用户设置Microsoft Windows Server Radius身份验证和Sophos XG防火墙所需的步骤。配置RADIUS在Windows Server 2012服务器上配置Sophos XG 防火墙验证注意事项:1.当XG防火墙的无线网络安全模式设置为WPA2 Enterprise时，需要具有PEAP的 Windows NPS网络策略。2.带有EAP的 NPS网络策略不适用于WPA2 Enterprise无线网络。要配置PEAP，请参阅为PEAP和EAP要求配
复制链接

扫一扫