Sophos XG Firewall:如何使用Windows Server 2012为企业无线身份验证配置RADIUS

本文介绍了为无线用户设置Microsoft Windows Server Radius身份验证和Sophos XG防火墙所需的步骤。

  1. 配置RADIUS在Windows Server 2012服务器上
  2. 配置Sophos XG 防火墙
  3. 验证
    注意事项:
    1.当XG防火墙的无线网络安全模式设置为WPA2 Enterprise时,需要具有PEAP的 Windows NPS网络策略。
    2.带有EAP的 NPS网络策略不适用于WPA2 Enterprise无线网络。
    要配置PEAP,请参阅 为PEAP和EAP要求配置证书模板。
    3.在Windows Server上安装和设置RADIUS之前,必须设置和配置Active Directory角色。

1.RADIUS服务器位于“网络策略服务器(NPS)”面板下,可以从Windows Server 2012上的“ 服务器管理器”>“添加角色和功能”中添加 “网络策略和访问服务”角色。
在这里插入图片描述
2.按照以下想到进行操作
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
转到NPS(本地),然后右键单击以选择在Active Directory中注册服务器,如果显示灰色无法点击,可以先操作其他步骤。
在这里插入图片描述
转到 NPS(本地)> RADIUS客户端和服务器> RADIUS客户端,然后右键单击以选择新建。
在这里插入图片描述
设置XG防火墙的IP地址和共享密钥。记下此共享密钥,以便以后配置XG防火墙时使用。
在这里插入图片描述
我们需要一个连接请求策略,转到NPS(本地)>策略>连接请求策略,然后右键单击以选择新建。
在这里插入图片描述
按照以下向导进行操作。
在这里插入图片描述
在“ 指定条件”页面中,单击“ 添加”以添加条件。
在这里插入图片描述
选择客户端IPv4地址 ,然后单击添加。
在这里插入图片描述
插入XG防火墙的IP地址,然后单击确定。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
单击完成后,连接请求策略应如下所示。
在这里插入图片描述
我们还需要网络策略来进行Sophos XG Firewall和NPS之间的连接测试,请转至NPS(本地)>策略>网络策略,然后右键单击以选择新建。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
插入XG防火墙的IP地址,然后单击确定。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
禁用默认情况下已启用的不太安全的身份验证方法,然后启用未加密身份验证(PAP,SPAP)。仅在测试Sophos XG Firewall和NPS之间的连接时才使用此功能,我们将在后面看到。所有无线用户身份验证将通过使用Microsoft保护EAP(PEAP)的不同网络策略进行,我们将在后面看到。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
最后,我们需要用于无线用户身份验证的网络策略,请转到NPS(本地)>策略>网络策略,然后右键单击以选择新建。
在这里插入图片描述
按照以下向导进行操作。
在这里插入图片描述
在“ 指定条件”页面中,单击“ 添加”以添加条件。
在这里插入图片描述
我们需要添加两个条件:NAS端口类型和用户组。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在此示例中,我们添加了包括所有域用户的“ 域用户”组。您可以根据业务需要限制无线用户组。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在“ 配置身份验证方法”页中,单击“ 添加”以选择“ Microsoft保护的EAP(PEAP)”,然后单击“ 确定”。。此PEAP身份验证方法将用于对无线用户进行身份验证。
在这里插入图片描述
禁用默认情况下已启用的不太安全的身份验证方法。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
确保“ 安全无线连接”策略位于“ 对Radius的SFOS连接测试”策略之上,否则无线用户会将SFOS Connectivity测试与“ Radius”策略匹配, 并且NPS将拒绝其访问请求。
在这里插入图片描述
该网络策略应该是这样的。
在这里插入图片描述
注意:您可以根据业务需要添加更多条件。例如,“ 日期和时间限制”条件可用于将访问限制为某些日期和时间。
在这里插入图片描述
转到“ 会计”,然后单击“ 配置会计”。
在这里插入图片描述
按照向导配置一个NPS记帐选项。在此示例中,我们使用“ 登录”到本地计算机上的文本文件。
在这里插入图片描述
在这里插入图片描述
如下配置本地文件记录, 然后单击下一步。
在这里插入图片描述
验证摘要,然后单击下一步。
在这里插入图片描述
现在已配置计费,单击“ 关闭”以完成。
在这里插入图片描述

配置XG防火墙

转到身份验证>服务器,然后单击添加。该共享Secre t是较早在NPS配置一样,群组名称属性是一个强制性的领域,但在NPS在此示例中没有比赛,因此我们可以将其设置为任何东西。启用启用计费,以便XG防火墙将登录和注销事件发送到NPS。
在这里插入图片描述
转到“ 身份验证”>“服务”,将“ radius服务器”设置为“ 防火墙身份验证方法”下列表的顶部。
在这里插入图片描述
转到无线>无线设置。
在这里插入图片描述
注意:在SFOS 17.5及更高版本中,已添加了添加辅助RADIUS服务器的功能,并添加了企业身份验证的后备功能。如果主RADIUS服务器发生故障,将使用辅助服务器,从而将零停机时间用于身份验证。
在这里插入图片描述
转到无线>无线网络,然后单击添加。
在这里插入图片描述
转到防火墙> +添加防火墙规则,然后选择用户/网络规则 以创建从WiFi到WAN区域的规则,以允许无线用户进行通信。还要根据您的业务需求应用安全配置文件和控件。
在这里插入图片描述
在这里插入图片描述

结果

转到 认证>服务器以选择最近创建的RADIUS服务器,然后单击测试连接。输入Active Directory中已有用户的用户名及其密码,然后单击“ 测试连接”。
在这里插入图片描述
测试连接应该成功。
在这里插入图片描述
(可选)在Windows Server中检查事件查看器,以验证 已应用了哪个 连接请求策略和 网络策略。
在这里插入图片描述
现在,让无线用户连接到最近创建的SSID。
在这里插入图片描述
用户可以忽略证书,然后单击“ 连接”。
在这里插入图片描述
用户现在已连接。
在这里插入图片描述
在XG防火墙中,转到无线>无线客户端列表以验证已登录的用户。
在这里插入图片描述
(可选)在Windows Server中检查事件查看器,以验证已应用了哪个连接请求策略和网络策略。
在这里插入图片描述
要验证登录和注销计费事件,您可以在Windows Server上安装Wireshark并将流量过滤到XF防火墙中配置的用于计费的端口,在本示例中为端口1813。
在这里插入图片描述
您也可以验证之前在NPS记帐中配置的日志文件。在我们的示例中,它位于中 C:\Windows\System32\LogFiles。
在这里插入图片描述
在这里插入图片描述
此文章转自:SOPHOS KBA 知识库。
https://support.sophos.com/support/s/article/KB-000038383?language=en_US

  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云技术分享中心

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值