Windows Server 2012 WFAS를 사용한 Domain ... - TechNet Blogs

Windows Firewall withAdvanced SecurityDomain & Server Isolation고급 보안이 포함된 Windows 방화벽은 호스트-기반 방화벽과 IPsec 구현이 결합된 신규기능입니다. 호스트-기반 방화벽으로써, 고급 보안이포함된 Windows 방화벽은 네트워크 공격으로부터로컬 보안을 제공하기 위하여 Windows Vista 및이후 운영체제에서 제공됩니다. 또한, 고급 보안이포함된 Windows 방화벽은 IPsec 기반의 연결 보안규칙을 생성할 수 있는 신규 기능도 제공합니다.IPsec 기반의 연결 보안 규칙은 컴퓨터 인증, 데이터무결 및 데이터 기밀과 같은 중요 보안 기능을제공합니다. 이러한 IPsec 기반의 연결 보안 규칙을사용하여 손 쉽게 Domain Isolation 및 ServerIsolation 기능을 구현할 수 있어, 전사 차원의 보안강화 도구로써 고급 보안이 포함된 Windows방화벽을 사용할 수 있습니다.이 동 철2013-04-08

목차데모 환경 ........................................................................................................................................................................................ 4Windows Firewall with Advanced Security 적용을 위한 기술 리뷰 ................................................................... 5Network Location Awareness ....................................................................................................................................... 6Host Firewall ......................................................................................................................................................................... 9호스트 방화벽 동작 방식 ..................................................................................................................................... 9연결 보안(Connection Security) 및 IPsec ........................................................................................................... 11IPsec 동작 방식 ...................................................................................................................................................... 11트랜스포트 vs. 터널 모드 .................................................................................................................................. 12그룹 정책 ............................................................................................................................................................................ 15그룹 정책 동작 방식 ............................................................................................................................................ 15실습 서버 및 컴퓨터 .............................................................................................................................................................. 16클라이언트 및 서버의 기본 방화벽 설정 확인 ......................................................................................................... 18단계 1: 제어판의 Windows Firewall 시작 ........................................................................................................... 21단계 2: 제어판 인터페이스 내에서 가용한 기본 옵션 확인 ..................................................................... 24단계 3: Netsh 명령어 라인 도구 내에서 가용한 기본 옵션 확인 ......................................................... 28단계 4: WFAS MMC 스냅-인 내에서 가용한 기본 옵션 확인 .................................................................. 32그룹 정책을 사용한 기본 설정 배포 .............................................................................................................................. 35단계 1: OU 생성 및 컴퓨터 계정 이동 ............................................................................................................... 36단계 2: 설정 저장을 위한 GPO 생성 ................................................................................................................... 38단계 3: 도메인 클라이언트 컴퓨터의 방화벽 활성화를 위한 GPO 설정 추가 ................................ 40단계 4: 테스트 방화벽 설정을 포함한 초기 GPO 배포 .............................................................................. 43페이지 1 / 232

단계 5: 로컬 관리자 그룹에 충돌 규칙 적용을 예방하기 위한 설정 추가 ....................................... 47단계 6: 추가적인 컴퓨터 방화벽 설정 구성 ..................................................................................................... 56단계 7: WMI 및 그룹 필터 생성 ............................................................................................................................. 61단계 8: 방화벽 로깅 활성화 ...................................................................................................................................... 71요구된(Required) 인바운드 네트워크 트래픽 허용 규칙 생성 .......................................................................... 83단계 1: 그룹 정책을 사용한 사전( 事 前 ) 정의된 규칙 구성 ....................................................................... 84단계 2: 특정 프로그램을 위한 Unsolicited 인바운드 네트워크 트래픽 허용 .................................. 92단계 3: 특정 TCP 또는 UDP 포트에 대한 인바운드 트래픽 허용 ....................................................... 106단계 4: 동적 RPC를 사용하는 인바운드 네트워크 트래픽 허용 ........................................................... 110단계 5: 방화벽 로깅 보기 ........................................................................................................................................ 120Unwanted 아웃바운드 네트워크 트래픽 차단 규칙 생성 .................................................................................. 123단계 1: 기본 아웃바운드 방화벽 규칙 변경(Configuring the Default Outbound FirewallBehavior to Block) ......................................................................................................................................................... 124단계 2: 아웃바운드 규칙을 사용하여 특정 프로그램의 아웃바운드 네트워크 트래픽 허용 .. 136기본 Domain Isolation 정책 배포 .................................................................................................................................. 141단계 1: 인증 요청(authentication Request) 연결 보안 규칙 생성 ....................................................... 143Specifying the IPsec algorithms to use ..................................................................................................... 143Firewall and Connection Security integration ........................................................................................ 145단계 2: 연결 보안 규칙 배포 및 테스팅 .......................................................................................................... 151단계 3: 인증 요구(Authentication Require)를 위한 Isolation 규칙 변경 .......................................... 156단계 4: Domain Isolation 규칙을 적용 받지 않는 컴퓨터의 Isolation 테스트 .............................. 160단계 5: 도메인 멤버가 아닌 컴퓨터를 위한 Exemption 규칙 생성 .................................................... 163페이지 2 / 232

암호화 및 그룹 멤버쉽 요구를 통한 Server Isolation ......................................................................................... 170단계 1: 보안 그룹 생성 ............................................................................................................................................. 171단계 2: 암호화 및 그룹 멤버쉽 요구를 위한 서버 인바운드 방화벽 규칙 수정 ......................... 173단계 3: 암호화 지원을 위한 클라이언트 컴퓨터의 아웃바운드 방화벽 규칙 생성 ..................... 178단계 4: 그룹 구성원이 아닌 사용자의 규칙 테스트 ................................................................................... 185단계 5: 보안 그룹에 사용자 추가 후, 테스트 ................................................................................................ 188IPsec-보호된 네트워크 트래픽 허용을 위한 방화벽 규칙 생성 (Authenticated Bypass).................... 193단계 1: 표준 Telnet 트래픽 차단 방화벽 규칙 추가 및 테스트 ........................................................... 194단계 2: 차단 규칙을 Override하는 Telnet 방화벽 허용 규칙 수정 ..................................................... 199터널 모드 IPsec 규칙 생성 ............................................................................................................................................... 205단계 1: IPsec Client-to-Gateway 시나리오 지원을 위한 랩 컴퓨터 재구성 .................................... 206단계 2: 원격 클라이언트 및 IPsec 게이트웨이를 위한 보안 연결 규칙 생성 ............................... 216단계 3: 터널 모드 규칙 테스트 ............................................................................................................................. 227요약 ............................................................................................................................................................................................... 231참조 자료 ................................................................................................................................................................................... 232페이지 3 / 232

데모 환경아래는 고급 보안이 포함된 Windows 방화벽 데모 환경입니다.고급 방화벽이 포함된 Windows 방화벽데모 환경Secure(Trusted) ZoneDC1.CORP.DONGCLEE.com10.0.0.1Windows Server 2012WFASSVR1.CORP.DONGCLEE.com10.0.0.91Windows Server 2012CLIENT1W8.CORP.DONGCLEE.comWindows 810.0.0.xCORP.DONGCLEE.com페이지 4 / 232

Windows Firewall with Advanced Security 적용을 위한 기술 리뷰고급 보안이 포함된 Windows 방화벽은 호스트-기반 방화벽과 IPsec 구현이 결합된 신규기능입니다. 호스트-기반 방화벽으로써, 고급 보안이 포함된 Windows 방화벽은 네트워크공격으로부터 로컬 보안을 제공하기 위하여 Windows Vista 및 이후 운영체제에서 제공됩니다.또한, 고급 보안이 포함된 Windows 방화벽은 IPsec 기반의 연결 보안 규칙을 생성할 수 있는신규 기능도 제공합니다. IPsec 기반의 연결 보안 규칙은 컴퓨터 인증, 데이터 무결 및 데이터기밀과 같은 중요 보안 기능을 제공합니다. 물론, 고급 보안이 포함된 Windows 방화벽은 IPv4및 IPv6 양쪽 모두 지원합니다. 고급 보안이 포함된 Windows 방화벽 구현을 위해 기본적으로필요한 지식은 아래와 같습니다.• Network Location Awareness• Host Firewall• 연결 보안 및 IPsec• 그룹 정책페이지 5 / 232

트워크 위치 형태의 종류입니다. 개인 네트워크 위치 형태로 지정된 무선 네트워크는Wi-Fi Protected Access(WPA) 또는 WPAv2와 같은 암호화 프로토콜을 사용함으로써 보호되어야만 합니다. 어떠한 네트워크도 자동적으로 개인 네트워크 위치 형태로 지정되지않습니다. 반드시, 관리자에 의해 수동으로 개인 네트워크 위치 형태로 지정될 수 있습니다. Windows 운영체제는 한 번 지정된 개인 네트워크 위치 형태를 기억하고, 다음 번에해당 네트워크가 다시 연결할 때, Windows 운영체제는 해당 네트워크를 자동적으로 다시 개인 네트워크 위치 형태로 지정합니다. 개인 네트워크 위치 형태는 통상적으로 공용네트워크 위치 형태보다 보안 및 고립의 수준이 높기 때문에, 개인 프로파일 방화벽 규칙은 전형적으로 공용 프로파일 방화벽 규칙보다 더 많은 네트워크 행위가 허용됩니다.• 도메인 (Domain) : 로컬 컴퓨터가 Active Directory 도메인의 멤버이고, 로컬 컴퓨터 내의네트워크 연결 중의 하나를 통해 해당 도메인의 도메인 컨트롤러에 인증되었을 때, 도메인 네트워크 위치 형태가 할당됩니다. 도메인 네트워크 위치 형태는 관리자에 의해 수동으로 지정될 수 없습니다. 도메인 네트워크 위치 형태는 통상적으로 공용 또는 개인 네트워크 위치 형태보다 보안 및 고립의 수준이 높기 때문에, 도메인 프로필 방화벽 규칙은 전형적으로 공용 및 개인 프로필 방화벽 규칙보다 더 많은 네트워크 행위가 허용됩니다. Windows 7 또는 Windows Server 2008 R2 以 上 의 컴퓨터에 여러 개의 네트워크 연결이 존재한다고 假 定 하고, 도메인 컨트롤러에 연결 가능한 임의의 네트워크 연결이 존재한다면, 해당 네트워크 연결에만 도메인 네트워크 위치 형태가 할당됩니다. 반면에,Windows Vista 또는 Windows Server 2008 以 下 의 컴퓨터에 여러 개의 네트워크 연결이 존재한다고 假 定 하고, 모든 네트워크 연결에서 도메인 컨트롤러에 연결 가능해야만,도메인 네트워크 위치 형태가 할당됩니다.고급 보안이 포함된 Windows 방화벽은 프로필에 방화벽 규칙 및 설정을 저장하고, 각 네트워크위치 형태에 해당하는 프로필을 각각 지원합니다. 현재 검출된 네트워크 위치 형태에 연관된 프로필이 컴퓨터에 적용되는 프로필입니다. 네트워크에 할당된 네트워크 위치 형태가 변경된다면,자동적으로 신규 네트워크 위치 형태에 연관된 프로필의 규칙이 적용됩니다.특정 컴퓨터에 다중 네트워크 어댑터가 설치되어 있을 때, 네트워크 어댑터 별로 다양한 네트워크 위치 형태가 할당될 수 있습니다. Windows 7 및 Windows Server 2008 R2 以 上 의 컴퓨터는 다양한 네트워크 위치 형태를 지원하고, 동시에 각 네트워크 어댑터의 네트워크 위치 형태에 따라프로필이 별도로 할당됩니다. 즉, 각 네트워크 어댑터는 연결 상황에 맞게 적절한 네트워크 위치가 할당됩니다. Windows Firewall은 해당 네트워크 위치 형태에 맞는 방화벽 프로필이 적용되도록구성합니다. 이러한 경우에, 공용 네트워크에 연결된 네트워크 어댑터로부터 트래픽이 引 入 될 때,공용 방화벽 프로필에 의해 특정 종류의 트래픽이 차단될 수 있으나, 동일 트래픽이 개인 및 도메인 네트워크으로부터 들어올 때, 공용 및 도메인 방화벽 프로필에 의해 허용될 수도 있습니다.중요)Windows Vista, Windows Server 2008, Windows XP 및 Windows Server 2003은 오로지 특페이지 7 / 232

정 시점에 하나의 활성 네트워크 위치만 지원됩니다. Windows 운영체제는 여러 개의 네트워크연결 중에서 보안 위험이 최대인 네트워크 위치 형태를 자동적으로 선택합니다. 이렇게 보안위험이 최대인 네트워크 위치를 자동으로 선택함으로써, 가장 강력한 방화벽 프로파일을 적용할 수 있습니다. 예를 들어, 특정 컴퓨터가 2개의 활성 네트워크 연결이 존재하고, 하나는 공용네트워크에 연결되어 있고, 다른 하나는 개인 네트워크 위치에 연결되어 있다면, Windows 자동적으로 공용 네트워크 위치를 할당하고, 공용 네트워크 위치에 연관된 가장 강력한 공용 방화벽 프로파일이 공용 및 개인 네트워크 어댑터에 동시에 적용됩니다.Windows XP 및 Windows Server 2003의 Windows Firewall은 앞서 언급한 도메인 방화벽 프로필과 동일한 도메인 방화벽 프로필을 지원합니다, 그러나, 개인 및 공용 방화벽 프로파일 대신에,Windows 초기 버전은 오로지 “표준” 프로필만 지원합니다. 그래서, 관리자가 그룹 정책 편집기의 “Administrative Templates 영역의 Windows Firewall 노드 (Computer Configuration ->Policies -> Administrative Templates -> Network -> Network Connections -> WindowsFirewall)”를 사용하여 방화벽 규칙을 생성한다면, 관리자는 오로지 도메인 및 표준 프로필 만을정의할 수 있습니다. 만약, 관리자가 표준 프로필 내에서 방화벽 규칙을 생성하고, 이러한 규칙을Windows Vista 以 後 의 운영체제에 적용한다면, Windows Vista 이후 컴퓨터의 네트워크 위치 형태가 개인 및 공용에 상관없이 표준 프로파일이 적용됩니다. 반면에, 도메인 프로파일은 네트워크위치 형태가 도메인일 경우에만 적용됩니다.페이지 8 / 232

Host Firewall고급 보안이 포함된 Windows 방화벽은 로컬 컴퓨터를 위한 보호를 위한 호스트-기반 방화벽 구성요소를 포함하고 있습니다. 그리고, 고급 보안이 포함된 Windows 방화벽은 컴퓨터 사이 또는인터넷 사이를 통과하는 정보를 제한하고 모니터링 할 수 있습니다. 고급 보안이 포함된Windows 방화벽은 허가 없이 자신의 컴퓨터에 접근을 시도하는 해커에 대해서 방어할 수 있는중요한 방법을 제공합니다.Windows Vista 및 이후의 운영체제에서, 고급 보안이 포함된 Windows 방화벽 내의 호스트 방화벽은 기본적으로 활성화되어 있고, 허가되지 않은 인바운드 트래픽은 차단되고, 모든 아웃바운드트래픽은 허용됩니다. 특정 컴퓨터가 인바운드 네트워크 트래픽을 받아야 하는 서비스 또는 프로그램을 호스트 한다면, 관리자는 해당 인바운드 트래픽을 허용할 수 있는 방화벽 규칙을 생성해야 합니다. 아웃바운드 네트워크 트래픽의 외부 전송을 제어하기 위하여, 관리자는 원하지 않는네트워크 트래픽의 외부 유출을 예방하기 위하여 아웃바운드 차단 규칙을 생성할 수 있습니다.반면에, 관리자는 모든 아웃바운드 트래픽을 차단하도록 기본 구성을 한 후, 관리자가 외부 유출이 필요한 트래픽 만을 위한 아웃바운드 방화벽 규칙을 생성할 수도 있습니다.호스트 방화벽 동작 방식컴퓨터의 인/아웃 네트워크 트래픽은 아래 그림으로 간략하게 설명할 수 있습니다.네트워크 트래픽은 특정 컴퓨터의 원본 포트로부터 다른 컴퓨터의 대상 포트로 보내지는 패킷의스트림 또는 패킷으로 구성됩니다. 포트는 네트워크 연결의 전송 또는 수신 종점 상의 프로그램을 구분하는 단순 번호 값입니다. 통상적으로, 특정 프로그램은 오로지 특정 시점에 하나의 포트에 응답합니다. 포트에 응답하기 위하여, 프로그램은 운영체제 상에 응답해야 할 포트 번호 및 자신 프로그램을 등록합니다. 클라이언트 컴퓨터에서 패킷이 서버 컴퓨터에 도착했을 때, 운영체제는 대상 포트 번호를 조사한 후, 해당 포트를 사용하도록 등록된 프로그램에 패킷 내용을 전달합니다. TCP/IP 프로토콜을 사용할 때, 컴퓨터는 TCP 또는 UDP와 같은 특정 전송 프로토콜을 사용하고, 이러한 전송 프로토콜에 추가적으로 1 부터 65,535 사이의 포트 번호를 사용하여 네트워크트래픽을 전송합니다. 대부분의 낮은 번호의 포트는 이미 잘 알려진 서비스를 위해 예약되어 있습니다. 대표적으로, HTTP를 사용하는 웹 서버는 TCP 포트 80을 사용하고, Telnet은 TCP 포트 23을 사용하거나 SMTP는 TCP 포트 25를 사용합니다.페이지 9 / 232

고급 보안이 포함된 Windows 방화벽은 원본 및 대상 주소, 원본 및 대상 포트 및 패킷의 프로토콜 번호를 검증하는 작업을 수행한 후, 해당 컴퓨터의 관리자에 의해 정의된 규칙과 비교하는 작업을 수행합니다. 규칙이 네트워크 패킷과 일치했을 때, 규칙에 정의된 행위(차단 또는 허용)가 수행됩니다. 또한, 고급 보안이 포함된 Windows 방화벽은 IPsec 인증 또는 암호화 기능을 제공함으로써, 네트워크 패킷의 허용 또는 차단할 수 있는 방법도 제공합니다.페이지 10 / 232

연결 보안(Connection Security) 및 IPsecIPsec(Internet Protocol Security)은 암호화 보안 서비스를 사용함으로써 TCP/IP 네트워크 상의 통신 보호를 위한 표준 개방형 프레임워크입니다. IPsec은 네트워크 수준 피어 인증, 데이터 원본 인증, 데이터 무결성, 데이터 기밀(암호) 기능을 지원합니다. 마이크로소프트는 표준 IPsec에 기반한IPsec 기능을 지원합니다.Windows Vista 및 그 이후의 운영체제에 포함된 IPsec은 OSI 네트워크 참조 모델의 Layer3(Network 계층)에 완전히 통합되어 있습니다. Layer 3에 통합된 IPsec은 컴퓨터 상에 운영되는 프로그램과는 독립적으로 임의의 IP 기반 프로토콜에 보호 기능을 제공할 수 있다는 것을 의미합니다. IPsec은 또한 IPv4 및 IPv6 모두 지원합니다. IPsec은 全 社 차원의 네트워크 자원을 보호하기위한 defense-in-depth 전략에서 중요한 방법 중의 하나입니다.IPsec 동작 방식IPsec은 네트워크 트래픽에 다양한 연결 보안 서비스를 지원합니다. 보안이 필요한 네트워크 트래픽을 구분할 수 있도록 WFAS에서 연결 보안 규칙을 생성하여, 특정 네트워크 트래픽을 보호할수 있습니다.• 원본 인증 (Source Authentication) : 네트워크 연결에 참여하는 각 컴퓨터가 원격 컴퓨터의 실체 여부 검증을 수신하는 기능이 원본 인증입니다. 각 컴퓨터는 상호 간에 서로의 신분을 인증할 수 있는 특정 양식의 자격 증명이 필요합니다. 도메인 컨트롤러에서발급되는 Kerberos 토큰 또는 신뢰할 수 있는 인증 기관으로부터 발급된 사용자 및 컴퓨터 인증서가 통상적으로 사용되는 인증 방법입니다.• 데이터 무결 (Data Integrity) : 데이터 무결은 수신된 패킷과 전송되었던 패킷이 동일함을 확인할 수 있는 기능입니다. 즉, 전송 중에 네트워크 패킷이 손상되거나 수정되지 않았음을 확인하는 기능입니다. IPsec 보호 연결을 통해 전송되는 네트워크 패킷은 패킷 내에 암호화 해시를 포함합니다. 해시는 전송 컴퓨터에 의해 계산되고, 암호화된 후, 전송네트워크 패킷 내에 포함됩니다. 수신 컴퓨터는 수신된 네트워크 패킷 상에서 자신의 해시를 계산하고, 포함된 해시를 복호화 한 후, 2개의 값을 비교합니다. 이 2개의 값이 동일하다면, 패킷은 정상적으로 처리됩니다. 만약, 2개의 값이 동일하지 않다면, 전송 중의 패킷이 손상되거나 수정된 것으로 판단하고, 해당 네트워크 패킷은 전송 처리되지 않습니다.• 데이터 기밀 (Data Confidentiality) : 데이터 기밀은 네트워크 연결 내에 포함된 정보가허가되지 않은 컴퓨터 또는 사용자에 의해 접근할 수 없도록 하는 기능입니다. 데이터기밀 기능이 활성화되면, 연결 보안에 통해 전송되는 모든 네트워크 패킷은 암호화된 자신의 데이터 페이로드가 추가됩니다. 패킷 암호화를 위해 다양하고 강력한 암호화 프로토콜이 사용 가능합니다. 통상적으로, 좀 더 강한 암호화 수준을 지원하는 프로토콜은 암호화 알고리즘을 처리하기 위해 더 많은 컴퓨터 자원을 필요로 합니다.페이지 11 / 232

트랜스포트 vs. 터널 모드IPsec은 트랜스포트 또는 터널 모드로 운영됩니다.트랜스포트 모드 (Transport Mode)트랜스포트 모드에서, 네트워크 트래픽은 원본 컴퓨터에 의해 IPsec으로 보호됩니다. 그리고, 대상컴퓨터로 전송되는 네트워크 트래픽의 모든 경로는 IPsec으로 보호됩니다. IPsec-보호된 패킷은 라우터와 같은 표준 IP 데이터그램을 통해 대상 컴퓨터에 라우팅됩니다. 트랜스포트 모드는 end-toend보안을 제공합니다. 트랜스포트 모드 연결 보안 규칙은 오로지 2개의 IP 주소만 필요합니다.이 2개의 IP 주소는 원본 및 대상 컴퓨터의 IP 주소입니다. 추후 이 가이드에서 소개하는 Domain및 Server 고립은 트랜스포트 모드 IPsec 규칙을 사용합니다. 다음 그림은 트랜스포트 모드에 대한 소개입니다. 트랜스포트 모드는 각 컴퓨터로부터 원격 컴퓨터 사이에 IPsec 보호 연결을 구축합니다.터널 모드 (Tunnel Mode)터널 모드에서, 네트워크 트래픽은 원본과 대상 컴퓨터 사이의 일부 구간에서만 IPsec-보호 됩니다. 즉, 네트워크 트래픽은 일부 구간은 신뢰되지 않은 네트워크에서 전송 및 수신됩니다. 예를들어, 인터넷으로 분리된 2개 지역의 사설 인트라넷을 가진 조직은 2개 사설 인트라넷을 하나의논리 네트워크로 구성하기 위해 IPsec 터널 모드를 사용합니다. 이러한 구성을 위하여, 각 인트라넷 상의 특정 컴퓨터는 “IPsec 게이트웨이” 또는 “터널 끝점 (Tunnel Endpoint)”으로 구성해야 합니다. 각 인트라넷에 존재하는 서버 및 클라이언트 컴퓨터들은 자신의 라우터로써 IPsec 게이트웨이 또는 터널 끝점으로 설정합니다. 그러나, 전형적인 라우터와 같이 인터넷 상에 패킷을 라우팅하는 대신에, 게이트웨이는 IPsec-보호된 연결 또는 터널을 생성한 후, 터널을 통해 패킷을 전송한다. 네트워크 트래픽은 클라이언트와 로컬 게이트웨이 사이에는 암호화되지 않은 平 文 (plain text)페이지 12 / 232

으로 전송되고, 로컬 게이트웨이와 원격 게이트웨이 사이에는 IPsec-보호된 트래픽이 전송된 후,마지막으로 원격 게이트웨이와 대상 컴퓨터 사이에는 다시 암호화되지 않은 平 文 으로 전송됩니다.트랜스포트 모드 규칙과는 다르게, 터널 모드 규칙은 총 4개의 주소가 요구됩니다: the twotunnel endpoints, or gateway computers, and the two sets of computers that are accessibleto each other through the tunnel, referred to as endpoints. 끝점은 전형적으로 서브넷 주소(ex,194.168.0.0/24)의 일부분입니다. 다음 그림은 앞서 설명한 터널 모드의 한 예입니다. 2개 게이트웨이 사이의 IPsec 터널을 통해 패킷을 라우팅 함으로써, 각 인트라넷의 컴퓨터들은 다른 인트라넷의 컴퓨터들과 통신할 수 있습니다.Tunnel mode IPsec between two gateways또한, 터널 모드는 원본 컴퓨터가 로컬 게이트웨이 역할을 수행하는 시나리오에서도 사용 가능합니다. 이러한 시나리오는 전형적인 VPN 시나리오입니다. 즉, 클라이언트 컴퓨터는 신뢰되지 않은네트워크 상에 존재하지만, 원격 게이트웨이에 구축된 IPsec 터널을 통해 개인 인트라넷 상의 컴퓨터에 안전하게 연결할 수 있습니다. 아래 그림은 이러한 시나리오를 설명한 그림입니다.Tunnel mode IPsec between a client and a gateway페이지 13 / 232

또한, 터널 모드와 트랜스포트 모드를 혼용하여 안전한 네트워크 환경을 구성할 수도 있습니다,예를 들어, 클라이언트 컴퓨터는 원격 사이트에 터널 모드로 연결한 후, 원격 사이트 내의 서버들과는 트랜스포트 모드를 사용하여 end-to-end IPsec-보호된 네트워크 환경을 구성할 수 있습니다.페이지 14 / 232

그룹 정책그룹 정책을 사용하면, 컴퓨터 및 사용자 관리를 중앙화할 수 있습니다. 네트워크 상의 컴퓨터 및사용자의 구성 설정을 중앙 관리함으로써 IT 인프라 차원에서 TCO를 절감할 수 있습니다. 앞서살펴본 고급 보안이 포함된 Windows 방화벽 및 Windows Firewall 역시 그룹 정책을 사용하여,필요한 컴퓨터에 적절한 방화벽 프로파일 및 규칙을 설정할 수 있습니다.그룹 정책 동작 방식그룹 정책은 AD DS(Active Directory Domain Services) 구현의 일부분으로써 가용한 기술입니다.도메인 멤버 컴퓨터들이 Active Directory 도메인에 연결되었을 때, 도메인 멤버 컴퓨터들은 자동적으로 도메인 컨트롤러로부터 “그룹 정책 개체(Group Policy Object)”를 적용 받습니다.GPO는 도메인 관리자에 의해 생성되는 설정 집합이고, 조직 내의 컴퓨터 또는 사용자 그룹에 적용됩니다. 조직 내의 컴퓨터에 적용할 구성 설정 및 규칙은 Active Directory 도메인의 도메인 컨트롤러에 유지되는 GPO에 저장됩니다. 적용 대상 컴퓨터가 도메인에 연결할 때, GPO는 자동적으로 적용 대상 컴퓨터에 다운로드 됩니다. GPO 내의 구성 설정 및 규칙은 컴퓨터 내에 저장된 로컬 GPO와 함께 병합된 후, 실제 컴퓨터의 활성 구성이 적용됩니다. 그룹 정책은 손 쉬운 중앙 관리를 제공하고, 특정 GPO를 적용 받을 특정 컴퓨터의 상세한 제어 기능도 제공합니다.Windows Vista 및 以 後 운영체제에서, 방화벽 규칙 기능 및 IPsec 구현 방법의 중요한 기능 향상이 있었기 때문에, Windows Vista 以 前 운영체제의 방화벽 설정이 포함된 기존 GPO를 유지하고,Windows Vista 以 後 운영체제에서 사용 가능한 고급 보안이 포함된 Windows 방화벽의 방화벽설정을 위한 신규 GPO를 생성합니다.예전 GPO 설정을 적용했던 동일 컨테이너(ex, OU)에 신규 GPO를 적용함으로써, 그리고 본 가이드에 설명했던 각 GPO에 WMI 필터를 사용함으로써, 관리자는 조직 내에서 각 컴퓨터에 가장 적합한 설정을 적용할 수 있습니다. 예를 들어, Windows XP 및 Windows Server 2003 컴퓨터를 위한 방화벽 및 IPsec 정책 구성을 포함하는 “하나의 GPO(또는 GPO 집합)”를 생성합니다. 신규로생성된 GPO를 Windows XP 및 Windows Server 2003 컴퓨터들에 적용하기 위해 WMI 필터를 사용합니다. Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2및 Windows Server 2012 컴퓨터를 위한 방화벽 및 연결 보안 규칙 구성을 포함하는 “또 다른GPO(또는 GPO 집합)”를 생성합니다. 별도로 생성된 GPO를 앞선 컴퓨터들에 적용하기 위해 WMI필터를 사용합니다. 위와 같이 구성하면, 동일 컨테이너에 2개의 GPO를 생성한 후, WMI 필터를사용하여 컴퓨터 별로 적합한 방화벽, IPsec 정책 및 연결 보안 규칙을 적용할 수 있습니다.페이지 15 / 232

실습 서버 및 컴퓨터WFAS 실습을 위해 아래와 같이 총 3대의 컴퓨터를 준비합니다.서버 이름 역할 운영체제 IP 주소DC1.CORP.DONGCLEE.com Domain Controller Windows Server 2012 10.0.0.1WFASSVR1.CORP.DOGNCLEE.com Domain Member ServerTelnet ServerWindows Server 2012 10.0.0.91131.107.0.200(공용 네트워크에 할당된 IP)CLIENT1W8.CORP.DOGNCLEE.com Domain Member ClientTelnet ClientWindows 8 10.0.0.100131.107.0.201(공용 네트워크에 할당된 IP)페이지 16 / 232

페이지 17 / 232

클라이언트 및 서버의 기본 방화벽 설정 확인WFAS에서 제공되는 기능을 확인하기 위해 아래와 같이 3가지의 다른 사용자 인터페이스를 사용할 수 있습니다:• 제어판의 Windows 방화벽 : 이 인터페이스는 오로지 기본 호스트 방화벽 설정만을 접근할 수 있는 방법을 제공하고, 관리되지 않는 환경에서의 고객을 위해 제공되는 기본적인도구입니다. 제어판 내의 Windows 방화벽 아이콘은 제한된 기능을 제공하고, 단일 컴퓨터의 초보 사용자 용도의 도구입니다. 즉, 다수의 컴퓨터를 위한 중앙 집중적인 방화벽관리를 위한 도구는 아닙니다.• 명령어 창의 Netsh Advfirewall : Netsh 명령어는 명령어 창에서 스크립트 방식으로 컴퓨터의 네트워크 구성을 다양하게 수정할 수 있는 기능을 제공합니다. 그러므로, Netsh 명령어는 단일 컴퓨터 또는 다수의 컴퓨터에 적용할 수 있는 GPO를 위한 WFAS 설정 및규칙을 구성할 수 있는 방법을 제공합니다.페이지 18 / 232

• 고급 보안이 포함된 Windows 방화벽 MMC 스냅-인 : 이 인터페이스는 방화벽 및 IPsec기능을 구성할 수 있는 방법을 제공합니다. 이 인터페이스는 개개의 컴퓨터 및 GPO를통한 다수의 컴퓨터를 관리하기 위한 가장 중요한 도구입니다. 이 MMC 스냅-인은 개인사용자가 아닌 엔터프라이즈 관리자를 위한 도구입니다.페이지 19 / 232

이 3가지 인터페이스는 각기 약간씩 다른 기능을 제공합니다. 제어판의 Windows Firewall 아이콘은 가장 제한적인 기능을 제공하고, 이 도구의 사용자는 기본적으로 개인 소비자 용도입니다.WFAS MMC 스냅-인 및 Netsh 명령어 도구는 매우 유사한 기능을 제공하지만, 약간 다른 기능도제공합니다. 이 부분은 추후에 설명 드립니다.본 단계에서, 앞서 살펴본 3가지 도구에서 가용한 기능을 살펴봅니다. 이러한 도구를 사용하여,Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 및Windows Server 2012에서 사용 가능한 WFAS의 기본 및 현재 구성 사항을 확인할 수 있습니다.본 문서에서는 Windows 8 및 Windows Server 2012 운영체제를 기준으로 살펴봅니다. Windows 8및 Windows Server 2012의 WFAS는 Windows 7 및 Windows Server 2008 R2와 거의 유사합니다.다만, Window Vista 및 Windows Server 2008의 UI는 약간 相 異 함이 존재함을 유의해야 합니다.페이지 20 / 232

단계 1: 제어판의 Windows Firewall 시작도메인 멤버 컴퓨터에서 제어판의 Windows Firewall 아이콘을 실행하여 기본 구성을 확인합니다.Windows 8 도메인 클라이언트 제어판의 Windows Firewall1. CLIENT1W8 도메인 클라이언트에 관리자 권한으로 로그인합니다.2. 시작 화면에서, “제어판”을 입력 한 후, “제어판”을 선택하여, 제어판을 수행합니다.Windows 7 및 8 에서, 기본 제어판 보기는 “보기 기준: 범주” 입니다. 반면에, WindowsVista 에서, 기본 제어판 보기는 “Control Panel Home” 입니다. 이 단계에서는, 기본 제어판 보기를 기준으로 진행합니다. (서버 관리자가 자동으로 시작될 것 입니다. 만약, 서버 관리자가 자동으로 시작되지 않는다면, Start를 클릭한 후, servermanager.exe를 입력하고, 서버 관리자를 클릭합니다.)3. 시스템 및 보안을 클릭한 후, Windows 방화벽을 클릭합니다.4. Windows 방화벽 페이지에서, 아래와 같은 도메인 클라이언트 컴퓨터의 Windows 방화벽 기본 설정을 확인합니다:• Windows Firewall이 모든 프로필에서 활성화되어 있습니다.• 예외 사항으로 처리하지 않은 unsolicited 인바운드 연결이 차단되어 있습니다.• Windows 8 컴퓨터가 Active Directory 도메인에 합류하고 인증되었기 때문에, 현재설정은 도메인 네트워크 위치 프로파일이 할당되어 있음을 확인할 수 있습니다.• Windows Firewall이 새로운 프로그램을 차단할 때, Notification으로 사용자에게 알려줍니다.페이지 21 / 232

참고로, Windows Vista의 Windows Firewall의 기본 설정은 아래와 같은 화면입니다.Windows Server 2012 도메인 멤버 서버 제어판의 Windows Firewall1. WFASSVR1 도메인 멤버 서버에 관리자 권한으로 로그인합니다.2. 시작 화면에서, “제어판”을 클릭합니다. Windows Server 2012 또는 Windows Server 2008R2 에서, 기본 제어판 보기는 “보기 기준: 범주” 입니다. 반면에, Windows Server 2008 에서, 기본 제어판 보기는 “Classic View” 입니다. 이 단계에서는, 기본 제어판 보기를 기준으로 진행합니다.3. 시스템 및 보안을 클릭한 후, Windows 방화벽을 클릭합니다.페이지 22 / 232

4. Windows 방화벽 페이지에서, 아래와 같은 도메인 멤버 서버의 Windows 방화벽 기본설정을 확인합니다:• Windows Firewall이 모든 프로필에서 활성화되어 있습니다.• 예외 사항으로 처리하지 않은 unsolicited 인바운드 연결이 차단되어 있습니다.• Windows 8 컴퓨터가 Active Directory 도메인에 합류하고 인증되었기 때문에, 현재설정은 도메인 네트워크 위치 프로필이 할당되어 있음을 확인할 수 있습니다.• Windows Firewall이 새로운 프로그램을 차단할 때, Notification으로 사용자에게 알려주지 않습니다. (이 부분의 기본 설정이 도메인 클라이언트 컴퓨터의 기본 설정과다른 부분입니다.)페이지 23 / 232

단계 2: 제어판 인터페이스 내에서 가용한 기본 옵션 확인이번 단계에서, 제어판의 Windows 방화벽 아이콘을 사용하여 구성할 수 있는 옵션을 확인합니다.또한, Windows 방화벽 아이콘의 클라이언트와 서버 버전의 차이점도 확인합니다.제어판의 Windows 방화벽 아이콘의 가용한 옵션 확인1. 아래 단계를 CLIENT1W8 및 WFASSVR1 컴퓨터 각각에서 수행합니다.• Windows 7, Windows 8, Windows Server 2008 R2 또는 Windows Server 2012를 수행하는 컴퓨터라면, Windows 방화벽 태스크 왼쪽 창에서, Windows 방화벽 설정 또는해제 (Turn Windows Firewall on or off) 를 클릭합니다. Customize Settings 페이지에서, 관리자는 각 네트워크 위치 프로파일을 위한 방화벽을 활성화 또는 비활성화할 수 있습니다. 게다가, 허용되는 프로그램 항목을 포함하는 예외 규칙을 포함하여,관리자는 모든 引 入 (incoming) 연결을 차단하도록 선택할 수 있습니다. 또한, 각 프로파일 별로, Windows 방화벽이 새 프로그램을 차단할 때, 알림 여부를 선택할 수있습니다. 또한, 프로그램 허용 여부도 선택할 수 있습니다.페이지 24 / 232

주의) Windows 방화벽 (Mspsvc) 서비스를 중지하는 방법으로 방화벽을 비활성화 하지않도록 합니다. Windows 방화벽 서비스는 또한 Windows 서비스 하드닝을 구현하기 때문에, Microsoft는 Windows 방화벽 서비스를 비활성 함으로써 발생하는 현상에 대해서지원하지 않습니다. 대신에, 제어판의 Windows 방화벽 아이콘 또는 고급 보안이 포함된Windows 방화벽 MMS 스냅-인을 사용하여, Windows 방화벽 서비스를 비활성화 방법을사용해야 합니다. 즉, Windows 방화벽 설정 페이지 내의 Off 설정으로 방화벽을 비활성화는 방법은 절대 Windows 방화벽 (Mspsvc) 서비스를 중지하는 것이 아님을 유의해야합니다.2. 아래 단계를 CLIENT1W8 및 WFASSVR1 컴퓨터 각각에서 수행합니다.• Windows 7, Windows 8, Windows Server 2008 R2 또는 Windows Server 2012를 수행하는 컴퓨터라면, Windows 방화벽 태스크 왼쪽 창에서, Windows 방화벽을 앱 또는기능 허용 (Allow a program or feature through Windows Firewall) 를 클릭합니다.허용되는 앱 및 기능 페이지에서, 관리자는 해당 컴퓨터에서 응답 대기가 허용된 프로그램 또는 항목을 수정 및 확인할 수 있다. 또한 예외에 관한 자세한 정보를 확인하기 위해서, 규칙 이름을 클릭하여 행(row)을 선택한 후, 자세히 를 클릭합니다. 관리자는 도메인, 개인 및 공용 체크 박스를 선택 및 해제함으로써, 각 네트워크 위치프로파일에서 특정 프로그램의 예외 사항 여부를 결정할 수 있습니다.페이지 25 / 232

도메인 컨트롤러와 같은 네트워크 서버 역할을 수행하는 Window 서버 컴퓨터는 자신에 설치되는 각종 서비스에 대해서 자동적으로 Windows 방화벽 예외 항목을 설정합니다. 반면에,Windows 클라이언트 컴퓨터는 설치되는 네트워크 서비스에 대해서 수동으로 예외 사항을 설정해야 합니다. 예를 들어, WFASSVR1 컴퓨터에 앞서 Telnet 서버 서비스를 설치했으므로, 아래와 같이 자동적으로 Telnet 서비스에 대해서 도메인, 개인 및 공용 프로파일 모두에 예외 사항이 설정되어 있음을 확인할 수 있습니다.페이지 26 / 232

페이지 27 / 232

단계 3: Netsh 명령어 라인 도구 내에서 가용한 기본 옵션 확인이번 단계에서, 관리자는 Netsh 명령어 도구를 사용함으로써 기본 방화벽 구성 옵션을 점검할 수있는 대체 방법을 확인합니다.Netsh 사용함으로써 기본 방화벽 옵션 점검1. WFASSVR1 컴퓨터에, 관리자를 로그인 한 후, 명령 창을 관리자 계정으로 수행합니다.2. 명령 창에서, netsh advfirewall show currentprofile 를 수행합니다.중요) firewall 또는 ipsec 구문 대신에 반드시 advfirewall 구문을 사용해야 합니다.Advfirewall는 Windows Vista 以 後 운영체제부터 추가되었습니다. firewall 또는 ipsec 구문은 아직까지 제공되지만, Windows 예전 운영 체제를 사용하여 생성된 그룹 정책 설정의 호환성 만을 위해 제공되는 구문입니다. Windows 7 또는 Windows Server 2008 R2 이후의 운영체제에서, firewall 또는 ipsec 구문을 사용했을 때, 경고 메시지가 보여집니다.3. 제어판의 Windows 방화벽 아이콘에서 확인했던 항목과 아래 결과를 비교해 봅니다.상태, 방화벽 정책 및 InboundUserNotification 항목은 앞서 제어판의 Windows 방화벽아이콘에서 확인했던 기본 설정과 일치합니다. Netsh 결과에서 보여진 위 3가지 항목 외의 다른 항목은 Windows 방화벽 아이콘에서 구성할 수 없는 것입니다. 즉, 3가지 항목이외의 다른 항목은 netsh 명령어 도구 및 고급 보안이 포함된 Windows 방화벽 MMC스냅-인 도구를 사용하여 구성할 수 있습니다.중요) Windows 7, Windows 8, Windows Server 2008 R2 또는 Windows Server 2012에서,다중 네트워크 프로파일이 컴퓨터에서 활성화되어 있다면, show currentprofile 결과는각 활성 프로파일 별로 확인할 수 있습니다.4. 명령어 창에서, netsh advfirewall show global 을 수행합니다. 이 결과는 방화벽 및페이지 28 / 232

IPsec 을 위한 전역(non-profile 및 non-rule 규격) 구성 설정의 일부분을 보여줍니다. 아래 각 항목에 대한 설정 및 변경은 netsh advfirewall set global 명령어를 사용합니다.주 모드 (Main Mode) 설정은 고급 보안이 포함된 Windows 방화벽 MMC 스냅-인 도구의 IPsec 설정 -> IPsec 기본값 탭에서 구성할 수 있습니다.페이지 29 / 232

페이지 30 / 232

5. 명령어 창을 닫습니다.페이지 31 / 232

단계 4: WFAS MMC 스냅-인 내에서 가용한 기본 옵션 확인이번 단계에서, 가용한 기본 옵션을 확인하기 위하여, 고급 보안이 포함된 Windows 방화벽MMC 스냅-인을 사용합니다.WFAS MMC 스냅-인을 사용하여 기본 옵션 점검1. WFASSVR1 컴퓨터에, 관리자를 로그인 한 후, 고급 보안이 포함된 Windows 방화벽MMC 스냅-인을 수행합니다.2. 고급 보안이 포함된 Windows 방화벽 스냅-인의 3가지 창을 확인합니다.• Navigation 창에서, 주요 기능을 활성화할 수 있습니다.• Result 창에서, 현재 선택된 기능에 관한 정보를 확인할 수 있습니다.• Action 창에서, 현재 선택된 기능에서 가용한 작업 항목을 확인할 수 있습니다.3. Navigation 창에서, 로컬 컴퓨터의 고급 보안이 포함된 Windows 방화벽 노드를 선택합니다. Result 창에 각 네트워크 위치 프로필을 위한 기본 상태 정보가 보여집니다.WFASSVR1 서버가 도메인에 연결되어 있기 때문에, 도메인 프로필이 활성 상태임을 확인할 수 있습니다.중요) Windows 7 및 Windows Server 2008 R2 이상의 운영체제에서, 다중 네트워크가 구성되어 있다면, 하나 이상의 프로파일이 활성 상태일 수 있습니다.4. Navigation 창에서, 로컬 컴퓨터의 고급 보안이 포함된 Windows 방화벽을 오른쪽 마우스 클릭한 후, 속성을 클릭합니다.페이지 32 / 232

5. 각 프로필 별로 상태, 설정 및 로깅을 별도로 설정할 수 있고, “IPsec 설정” 탭에서, 고급보안이 포함된 Windows 방화벽의 IPsec 구성을 확인할 수 있습니다.페이지 33 / 232

이상으로 Windows 방화벽의 구성을 위한 3가지 도구를 확인해 보았습니다.페이지 34 / 232

그룹 정책을 사용한 기본 설정 배포관리자는 사용자 및 컴퓨터 그룹을 위한 특정 고급 보안이 포함된 Windows 방화벽 구성의 배포및 정의를 위해 그룹 정책을 사용할 수 있습니다. 그룹 정책 구성은 Group Policy ManagementEditor를 사용함으로써 생성될 수 있고, Active Directory 내에 저장된 하나 또는 그 이상의 GroupPolicy Object(GPO)에 포함됩니다. 해당 설정을 배포하기 위하여, 특정 설정을 포함하는 GPO는 사이트, 도메인 및 OU와 같은 Active Directory 컨테이너에 연결시킵니다. GPO는 앞서 연결한Active Directory 컨테이너에 포함되어 있는 사용자 및 컴퓨터들에 자동적으로 적용됩니다. 즉, 고급 보안이 포함된 Windows 방화벽 특정 구성을 특정 컴퓨터 및 사용자에 적용하기 위해, 가장효율적인 방법은 GPO를 활용하는 것입니다. 본 문서의 데모 환경을 위해 이번 단계에서는 아래와 같이 총 8단계를 수행하여, WFAS의 특정 설정을 적용하기 위한 기본적인 그룹 정책 인프라를구성합니다.페이지 35 / 232

단계 1: OU 생성 및 컴퓨터 계정 이동단계 1에서, 관리자는 Active Directory Users and Computers 도구를 사용하여,CORP.DONGCLEE.com 도메인 하위에 총 2개의 OU (Organizational Unit)를 생성합니다. 하나의OU는 도메인 멤버 서버를 포함하는 컨테이너이고, 다른 하나는 도메인 클라이언트 컴퓨터를 포함하는 컨테이너입니다. 2개의 OU를 생성한 후, 앞서 데모 환경에서 생성한 CLIENT1W8 및WFASSVR1 컴퓨터를 각각의 OU로 이동시킵니다. 상세 절차는 아래 step-by-step을 참조합니다.1. DC1 컴퓨터에서, 관리자로 로그인한 후, 시작 화면에서, Active Directory Users andComputers 도구를 수행합니다.2. CORP.DONGCLEE.com 도메인 하위에 아래와 같이 총 2 개의 OU 를 생성합니다.• MyMemberServers• MyClientComputers3. Computers 컨테이너에 존재하는 WFASSVR1 컴퓨터를 MyMemberServers OU 쪽으로이동시킵니다.페이지 36 / 232

4. Computers 컨테이너에 존재하는 CLIENT1W8 컴퓨터를 MyClientComputers OU 쪽으로이동시킵니다.5. 위와 같이 데모 환경을 위한 총 2 개의 OU 를 생성하고, 멤버 서버 및 클라이언트컴퓨터를 각각의 OU 로 이동하는 작업까지 완료한 후, Active Directory Users andComputers 도구를 닫습니다.페이지 37 / 232

단계 2: 설정 저장을 위한 GPO 생성단계 2 에서, 신규 GPO를 생성합니다. 신규로 생성된 GPO는 아직 임의의 OU에 연결되지 않았기때문에, 관리자가 구성하는 설정은 임의의 컴퓨터에 아직 적용되지 않습니다.1. DC1 컴퓨터에서, 관리자로 로그인한 후, 시작 화면에서, Group Policy Management도구를 수행합니다.2. 왼쪽 창에서, Group Policy Management -> Forest: CORP.DONGLCEE.com -> Domains-> CORP.DOGNCLEE.com -> Group Policy Objects 순서로 클릭합니다.3. 아래와 같이 총 2 개의 GPO (Group Policy Object)를 생성합니다. Group PolicyObjects 를 오른쪽 마우스 클릭한 후, New 를 클릭하여 총 2 개의 OU 를 생성합니다.• Firewall Settings for Windows Servers• Firewall Settings for Windows Clients페이지 38 / 232

4. 2 개의 OU 를 생성 후에, Group Policy Objects 폴더에 아래와 같이 총 2 개의 신규GPO 가 생성되어 있음을 확인합니다.5. 위 작업을 완료한 후, 다음 단계에서 그룹 정책 설정을 위해 Group Policy Management도구를 닫지 않고 그대로 유지합니다.페이지 39 / 232

단계 3: 도메인 클라이언트 컴퓨터의 방화벽 활성화를 위한 GPO 설정 추가앞서 생성한 Firewall Settings for Windows Clients GPO 설정 중에서, Windows 방화벽을 활성화 설정을 구성하는 작업을 진행합니다. 추후, 이 GPO를 적용 받는 클라이언트 컴퓨터는 강제적으로 Windows 방화벽이 활성화됩니다.1. DC1 컴퓨터에서, 관리자로 로그인한 후, 시작 화면에서, Group Policy Management 도구를 수행합니다.2. 왼쪽 창에서, Group Policy Management -> Forest: CORP.DONGLCEE.com -> Domains-> CORP.DOGNCLEE.com -> Group Policy Objects -> Firewall Settings for WindowsClients 순서로 클릭합니다.3. Firewall Settings for Windows Clients 를 오른쪽 마우스 클릭한 후, GPO Status ->User Configuration Settings Disabled 를 클릭합니다. 본 GPO는 컴퓨터에 대한 설정만구성하므로, 클라이언트 컴퓨터에 빠른 그룹 정책을 적용하기 위해, 사용자 구성 설정을비활성화 처리합니다.4. Firewall Settings for Windows Clients 를 오른쪽 마우스 클릭한 후, Edit 를 클릭합니다.본 GPO 설정 구성을 위한 Group Policy Management Editor 도구가 수행됩니다.5. Group Policy Management Editor 도구에서, Firewall Settings for Windows Clients ->Computer Configuration -> Policies -> Windows Settings -> Security Settings ->Windows Firewall with Advanced Security -> Windows Firewall with AdvancedSecurity-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com순서로 클릭합니다.페이지 40 / 232

6. Overview 영역에서, 각 네트워크위치 프로파일의 상태가, “Windows Firewall state isnot configured” 임을 확인한 후, Windows Firewall Properties 링크를 클릭합니다.7. Domain Profile 탭에서, “Firewall state” 항목의 값을 “On (recommended)”로 변경합니다. (주의) 도메인 클라이언트 컴퓨터의 Windows 방화벽 기본 설정이 활성 상태이므로,이 단계는 불필요한 작업일 수 있습니다. 그러나, GPO에서 Windows 방화벽을 활성 상태로 지정하지 않으면, 로컬 관리자로 로그인하여 Windows 방화벽을 비활성화 상태로 변경할 수 있습니다. 이 GPO 설정을 구성하면, 로컬 관리자가 Windows 방화벽의 상태를비활성화로 변경하는 것을 예방할 수 있습니다.페이지 41 / 232

8. 위 설정을 완료한 후, OK를 클릭하여, Domain Profile 상태가 이제 “Windows Firewall ison”으로 변경되어 있음을 확인할 수 있습니다.9. Group Policy Management Editor 도구를 닫습니다.페이지 42 / 232

단계 4: 테스트 방화벽 설정을 포함한 초기 GPO 배포이제 앞서 생성한 Firewall Settings for Windows Clients GPO를 MyClientComputers OU에 연결하여, MyClientComputers OU에 포함된 CLIENT1W8 컴퓨터의 Windows 방화벽을 활성화하도록구성합니다.방화벽 설정 배포1. DC1 컴퓨터에서, 관리자로 로그인한 후, 시작 화면에서, Group Policy Management 도구를 수행합니다.2. 왼쪽 창에서, Group Policy Management -> Forest: CORP.DONGLCEE.com -> Domains-> CORP.DOGNCLEE.com -> MyClientComputers 순서로 클릭합니다.3. MyClientComputers를 오른쪽 마우스 클릭한 후, Link an Existing GPO 메뉴를 클릭합니다.4. Select GPO 대화 상자의 Group Policy Objects 부분에서, 연결할 Firewall Settings forWindows Clients를 선택한 후, OK를 클릭합니다.페이지 43 / 232

5. 아래와 같이 MyClientComputers OU에 Firewall Settings for Windows Clients GPO가정상적으로 연결되어 있음을 확인합니다.6. 또한, Group Policy Management 도구의 오른쪽 창에서, Firewall Settings for WindowsClients GPO의 Settings 탭을 클릭한 후, Domain Profile Settings 부분에서 FirewallState 정책의 설정 값이 On임을 확인합니다.방화벽 설정 GPO 테스트1. CLIENT1W8 클라이언트 컴퓨터에서, CORP\User1 관리자 계정으로 로그인 한 후, 관리자 권한으로 명령어 창을 수행합니다.페이지 44 / 232

2. 명령어 창에서, 방화벽 설정 GPO를 적용하기 위하여, gpupdate /force 를 수행합니다.GPO가 성공적으로 적용되었음을 확인합니다.3. GPO가 정상적으로 적용되었음을 검증하기 위하여, 명령어 창에서, gpresult /r /scopecomputer를 수행합니다. 출력에서, Applied Group Policy Objects 부분을 점검합니다.Firewall Settings for Windows Clients 및 Default Domain Policy GPO가 포함되어 있음을 확인합니다.4. 고급 보안이 포함된 Windows 방화벽 스냅-인 도구를 수행합니다.5. 로컬 컴퓨터의 고급 보안이 포함된 Windows 방화벽을 오른쪽 마우스 클릭한 후, 속성(Properties) 를 클릭합니다.페이지 45 / 232

6. 방화벽 상태(Firewall State) 설정이 “사용 (권장) (On (recommended))”임을 확인하고, 제어 리스트가 비활성화입니다. 즉, 제어 리스트가 그룹 정책에 의해 제어되고, 로컬에서 변경할 수 없음을 확인합니다.7. 속성 대화 상자를 닫습니다.즉, 방화벽 설정 GPO가 CLIENT1W8 컴퓨터에 정상적으로 적용되었음을 확인합니다.페이지 46 / 232

단계 5: 로컬 관리자 그룹에 충돌 규칙 적용을 예방하기 위한 설정 추가이번 단계에서, 로컬 관리자에 의해 생성된 방화벽 규칙이 로컬 컴퓨터에 적용되는 것을 방지하고, GPO에 의해 배포된 방화벽 규칙과 잠재적인 충돌을 방지하기 위한 설정을 구성하고 테스트합니다. 기본적으로, 로컬 컴퓨터의 로컬 관리자 그룹의 구성원은 WFAS를 사용하여 방화벽 및 연결보안 규칙을 생성 및 활성화할 수 있습니다. 이러한 로컬 규칙은 그룹 정책에 의해 배포된 규칙과 병합된 후, 컴퓨터의 활성 규칙에 적용됩니다. 이 단계에서 설명된 설정은 배포된 GPO에 포함된 규칙과 로컬 규칙이 병합되는 것을 방지합니다.(중요) 이 설정이 로컬 관리자의 생성 규칙이 적용되는 것을 방지 할지라도, 고급 보안이 포함된Windows 방화벽 도구에서 신규 프로그램 허용에 관하여 사용자에게 승격하는 것을 방지하고, 사용자가 프로그램 허용을 승인할 때, 인바운드 규칙이 생성되는 것을 방지할 수 있습니다. 관리자가 이 설정을 활성화한다면, 방화벽 규칙이 요구되는 모든 프로그램은 GPO에서 정확하게 정의된규칙이 필요함을 관리자는 반드시 확인해야 합니다.로컬 관리자가 충돌 규칙을 생성할 수 있음을 확인1. CLIENT1W8 컴퓨터에 관리자로 로그인 한 후, 명령어 창에서, ping dc1을 수행합니다.DC1과 정상적으로 네트워크 통신이 됨을 확인합니다.2. “고급 보안이 포함된 Windows 방화벽” 스냅-인을 시작합니다.3. “고급 보안이 포함된 Windows 방화벽” 하위의, 아웃바운드 규칙을 오른쪽 마우스 클릭한 후, 새 규칙을 클릭합니다.페이지 47 / 232

4. 새 아웃바운드 규칙 마법사의 규칙 종류 페이지에서, 사용자 지정을 클릭한 후, 다음을클릭합니다.5. 프로그램 페이지에서, 모든 프로그램을 선택한 후, 다음을 클릭합니다.6. 프로토콜 및 포트 페이지에서, 기본 설정을 그대로 유지한 후, 다음을 클릭합니다.페이지 48 / 232

7. 범위 페이지에서, 기본 설정을 그대로 유지한 후, 다음을 클릭합니다.8. 작업 페이지에서, 기본 설정을 그대로 유지한 후, 다음을 클릭합니다.페이지 49 / 232

9. 프로필 페이지에서, 개인 및 공용을 선택하지 않고, 도메인을 선택한 후, 다음을 클릭합니다.10. 이름 페이지에서, A Test Rule을 입력한 후, 마침을 클릭합니다. 이 규칙은 모든 네트워크트래픽이 차단되는 것입니다.페이지 50 / 232

11. 이제 다시 명령어 창에서, ping dc1을 수행합니다. 이 명령어의 수행 결과는 실패입니다.즉, 앞서 생성한 로컬 방화벽 규칙이 모든 아웃바운드 통신을 차단하기 때문에, ping 결과가 실패입니다.12. “고급 보안이 포함된 Windows 방화벽” 스냅-인에서, 아웃바운드 규칙을 클릭한 후, ATest Rule을 오른쪽 마우스 클릭한 후, 규칙 사용 안 함을 클릭합니다. 즉, 해당 규칙을비활성화함으로써 이제 정상적으로 다시 네트워크 통신이 가능합니다.13. 명령어 창 및 “고급 보안이 포함된 Windows 방화벽” 스냅-인을 닫지 말고, 그대로 유지합니다.다음 절차에서, 로컬 컴퓨터에서 정의된 규칙이 활성 방화벽 구성에 적용 및 병합되는 것을 방지하기 위하여, 클라이언트 컴퓨터에 할당되는 GPO를 수정합니다. 또한, 특정 프로그램이 허용되는어떠한 방화벽 규칙도 없을 경우, 이 프로그램의 허용 규칙 여부를 사용자에게 noti. 하는 것을비활성화합니다.로컬 관리자에 의해 정의된 규칙 및 설정이 컴퓨터에 적용되는 것을 방지1. WFASSVR1 서버에 관리자로 로그인 한 후, 시작 화면에서, 그룹 정책 관리 도구를 수행한 후, 그룹 정책 관리 -> 포리스트: CORP.DONGLCEE.com -> 도메인 ->CORP.DOGNCLEE.com -> 그룹 정책 개체 순서로 클릭한 후, Firewall Settings forWindows Clients 를 오른쪽 마우스 클릭 한 후, 편집을 클릭합니다.페이지 51 / 232

2. 그룹 정책 관리 편집기에서, Firewall Settings for Windows Clients -> 컴퓨터 구성 ->정책 -> Windows 설정 -> 보안 설정 -> 고급 보안이 포함된 Windows 방화벽 -> 고급보안이 포함된 Window 방화벽-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com 순서로클릭합니다.3. 고급 보안이 포함된 Window 방화벽-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com 를 오른쪽 마우스 클릭한 후, 속성을 클릭합니다.4. 도메인 프로필 탭의 설정 부분에서, 사용자 지정을 클릭합니다.페이지 52 / 232

5. 방화벽 설정 부분의 알림 표시를 아니요로 변경합니다. 이 설정 값은 특정 프로그램이 차단되었을 때, 어떠한 알림도 보여주지 않는 것입니다.6. 규칙 병합 부분에서, 로컬 방화벽 규칙 적용을 아니요로 변경합니다.7. 규칙 병합 부분에서, 로컬 연결 보안 규칙 적용을 아니요로 변경합니다.8. 그룹 정책 관리 편집기로 돌아가기 위해 확인을 2번 연속 클릭합니다.페이지 53 / 232

다음 절차에서, CLIENT1W8 컴퓨터에서 변경된 그룹 정책을 적용한 후, 로컬에서 정의된 규칙이네트워크 통신을 차단할 수 없음을 확인합니다. 즉, 로컬에서 정의된 규칙이 더 이상 활성 방화벽규칙이 아님을 확인합니다.로컬 관리자에 의해 정의된 규칙 및 설정이 적용되는 것을 방지하는 테스트1. CLIENT1W8 컴퓨터에 관리자로 로그인 한 후, 관리자 권한으로 명령어 창을 수행한 후,gpupdate /force를 수행합니다. DC1과 정상적으로 네트워크 통신이 됨을 확인합니다.2. “고급 보안이 포함된 Windows 방화벽” 스냅-인에서, 아웃바운드 규칙을 클릭한 후, ATest Rule을 오른쪽 마우스 클릭한 후, 규칙 사용을 클릭합니다.3. 명령어 창에서 다시 ping dc1을 수행합니다. 앞서 구성한 A Test Rule 이라는 로컬 보안규칙이 작동함으로써 ping 결과가 실패해야 합니다. 그러나, Firewall Settings forWindows Clients 그룹 정책의 도메인 프로필 방화벽 규칙에서 “로컬 보안 방화벽 규칙적용”을 “아니요”로 설정했기 때문에, “A Test Rule” 로컬 보안 규칙이 실제 유효한 방화벽 규칙에 병합되지 않습니다. 그러나, 여전히 ping 결과는 성공적입니다.페이지 54 / 232

4. “고급 보안이 포함된 Windows 방화벽”의 왼쪽 창에서 모니터링 -> 방화벽 순서로 클릭합니다. 이 부분은 현재 로컬 컴퓨터에서 활성 상태의 방화벽 규칙을 보여줍니다. 아직GPO에서 생성된 방화벽 규칙이 없으므로, 이 항목에는 어떠한 방화벽 규칙도 존재하지않습니다. 즉, GPO에서 정의한 바와 같이, 어떠한 로컬 방화벽 규칙이 작동하지 않음을확인할 수 있습니다.5. 이제 다음 단계 구성을 위해 “A Test Rule” 로컬 방화벽 규칙을 삭제합니다.6. 관리자 권한으로 수행한 명령어 창과 “고급 보안이 포함된 Windows 방화벽” 스냅-인 도구를 닫지 않고 유지합니다.페이지 55 / 232

단계 6: 추가적인 컴퓨터 방화벽 설정 구성앞서 단계 5까지 완료하게 되면, 도메인 관리자는 GPO를 통해 CLIENT1W8 도메인 클라이언트 컴퓨터에 방화벽을 구성할 수 있지만, 로컬 관리자 그룹은 CLIENT1W8 컴퓨터에 방화벽 규칙을 구성할 수 없습니다. 이 단계에서, Windows 7 또는 Windows 8 컴퓨터의 방화벽 구성의 좀 더 상세한 제어를 위해 자주 사용되는 설정을 GPO에 추가하는 작업을 수행합니다.“구성되지 않음” 기본 값이 설정된 GPO의 임의의 설정은 로컬 관리자에 의해 구성될 수 있습니다. 본 단계에서, 로컬 관리자가 임의의 방화벽 설정 값을 변경할 수 없도록, 도메인 관리자가 다른 공통 설정을 구성하는 방법을 확인합니다.로컬 관리자가 GPO에 의해 강제되지 않는 설정을 수정하는 방법 확인1. CLIENT1W8 컴퓨터에서, 로컬 컴퓨터의 고급 보안이 포함된 Windows 방화벽을 오른쪽마우스 클릭한 후, 속성 (Properties) 를 클릭합니다.2. 도메인 프로필 탭에서, 상태 부분의 아웃바운드 연결 값을 차단으로 변경한 후, 확인을클릭합니다.페이지 56 / 232

3. 관리자 권한으로 수행한 명령어 창에서, ping dc1을 수행합니다. 모든 아웃바운드 네트워크 트래픽이 고급 보안이 포함된 Windows 방화벽에 의해 차단되기 때문에, Ping 명령어가 실패함을 확인합니다.4. CLIENT1W8 컴퓨터에서, 로컬 컴퓨터의 고급 보안이 포함된 Windows 방화벽 을 오른쪽 마우스 클릭한 후, 속성 (Properties) 를 클릭합니다.5. 원래 방화벽 동작으로 변경하기 위해, 도메인 프로필 탭에서, 상태 부분의 아웃바운드 연결 값을 허용 (기본값)으로 변경한 후, 확인을 클릭합니다.다음 절차에서, 도메인 관리자는 로컬 관리자가 설정을 변경 또는 비활성화할 수 없도록 그룹 정책을 구성합니다.그룹 정책에서 다른 공통 방화벽 설정 구성1. WFASSVR1 컴퓨터의, 그룹 정책 관리 편집기에서, Firewall Settings for WindowsClients -> 컴퓨터 구성 -> 정책 -> Windows 설정 -> 보안 설정 -> 고급 보안이 포함된 Windows 방화벽 -> 고급 보안이 포함된 Window 방화벽-페이지 57 / 232

LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com 순서로클릭한 후, 고급 보안이 포함된 Window 방화벽-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com 오른쪽마우스 클릭한 후, 속성을 클릭합니다.2. 도메인 프로필 탭의 상태 부분에서, 인바운드 연결 값은 차단(기본값)으로 설정하고, 아웃바운드 연결 값은 허용(기본값)으로 설정합니다. 물론, 이 값은 클라이언트 컴퓨터에이미 설정된 값과 동일합니다. 그러나, GPO에 의해 로컬 관리자가 이러한 설정을 변경하는 것을 예방할 수 있습니다.3. 설정을 저장하기 위해 확인을 클릭한 후, 그룹 정책 관리 편집기 도구로 돌아옵니다.페이지 58 / 232

다음 절차에서, 도메인 관리자는 클라이언트 컴퓨터에서 그룹 정책을 업데이트 한 후, 로컬 컴퓨터에 정의된 규칙 및 설정이 네트워크 통신을 차단할 수 없도록 설정된 값을 확인합니다.로컬 관리자 상에서 신규 제약 사항 테스트1. CLIENT1W8 컴퓨터에 관리자로 로그인 한 후, 관리자 권한으로 명령어 창을 수행한 후,gpupdate /force를 수행합니다.2. 로컬 컴퓨터의 고급 보안이 포함된 Windows 방화벽을 오른쪽 마우스 클릭한 후, 속성(Properties) 를 클릭합니다.3. 도메인 프로필 탭에서, “보안을 위해 일부 설정은 그룹 정책에 의해 제어됩니다” 라는 알림을 확인할 수 있습니다. 즉, 이것은 로컬 관리자도 특정 설정 값을 수정할 수 없음을의미합니다. (주의) 인바운드 연결 값은 여전히 수정할 수 있습니다. 이것은 malware 위협에 대해서 신속하게 대처하기 위한 보안 기능입니다. 이 값은 그룹 정책에 의해 차단될 수 없습니다.4. 설정 부분의 사용자 지정을 클릭한 후, 역시 “보안을 위해 일부 설정은 그룹 정책에 의해제어됩니다” 라는 알림을 확인할 수 있습니다.페이지 59 / 232

5. “고급 보안이 포함된 Windows 방화벽” 스냅-인으로 복귀하기 위해 취소를 2번 클릭합니다.6. “고급 보안이 포함된 Windows 방화벽” 스냅-인을 닫습니다.페이지 60 / 232

단계 7: WMI 및 그룹 필터 생성실제 네트워크 환경에서 다양한 Windows 운영 체제 클라이언트 컴퓨터가 존재할 때, 동일 OU내의 2개 컴퓨터가 동일 설정을 구성하기 위해 다른 설정이 필요할 수도 있습니다. 예를 들어,Windows XP 컴퓨터는 Windows 7 또는 Windows 8 컴퓨터와 다른 설정을 요구합니다. 이러한 경우에 Windows XP 컴퓨터를 위한 GPO 및 Windows 7 또는 8 컴퓨터를 위한 GPO등 총 2개 GPO가 필요합니다.동일 OU내에 존재하는 Windows XP 와 Windows7 컴퓨터가 존재하고, OS 종류 별로 특정 그룹정책을 적용하고자 할 때, Windows XP 용 그룹 정책 및 Windows 7 용 그룹 정책을 각각 동일OU에 연결합니다. 그런 다음, Windows 용 그룹 정책은 Windows XP 컴퓨터에만 적용하도록 그룹정책의 권한을 수정합니다. 또한, Windows 7 용 그룹 정책도 Windows 7 컴퓨터에만 적용하도록그룹 정책의 권한을 수정합니다.이러한 그룹 정책의 적용 권한을 구현하는 방법은 “WMI 필터” 방식과 “그룹 필터” 방식 등 총 2가지가 존재합니다. 본 데모 환경에서는 “WMI 필터” 방식을 소개합니다. 특히, 본 데모 환경에서는, Windows Vista 以 上 의 컴퓨터와 以 下 의 컴퓨터를 구분하여, 그룹 정책을 적용하는 WMI 필터를 생성하고 테스트합니다. “고급 보안이 포함된 Windows 방화벽” 도구가 Windows Vista 이상의운영체제에서 사용 가능하기 때문에, WMI 필터를 Windows Vista 以 上 의 운영체제를 구분하도록구성합니다.WMI 필터 생성1. WFASSVR1 서버에 관리자로 로그인 한 후, 시작 화면에서, 그룹 정책 관리 도구를 수행한 후, 그룹 정책 관리 -> 포리스트: CORP.DONGLCEE.com -> 도메인 ->CORP.DOGNCLEE.com -> WMI 필터 순서로 클릭합니다.페이지 61 / 232

2. WMI 필터를 오른쪽 마우스 클릭한 후, 새로 만들기를 클릭합니다.3. 이름 부분에, Apply only to Windows Vista or Later 를 입력합니다.4. Windows Vista 이상의 컴퓨터를 구분하기 위하여 쿼리를 추가하는 작업을 수행합니다.추가 버튼을 클릭합니다.5. 쿼리 상자에 다음 쿼리를 입력합니다: select * from Win32_OperatingSystem whereVersion like "6.%" and ProductType = "1"위 쿼리는 제품 버전 숫자 와 제품 타입에 기반하여 필터링합니다.• Version 속성은 다음 문자로 시작하는 값을 반환합니다 (% 기호는 와일드카드 문자입니다. 예를 들어, 6.% 는 Windows Server 2008 또는 Windows Vista 이상의 컴퓨터를 의미합니다.):Windows Server 2012 or Windows 8 6.2%Windows Server 2008 R2 or Windows 7 6.1%페이지 62 / 232

Windows Server 2008 or Windows Vista 6.0%Windows Server 2003 5.2%Windows XP 5.1%Windows 2000 5.0%• ProductType 속성은 다음 값을 반환합니다:Client versions of Windows 1Server versions of Windows that are opera 2ting as a domain controllerServer versions of Windows that are not 3operating as a domain controller (typicallyreferred to as member servers)6. 확인을 클릭한 후, 저장을 클릭합니다.7. 그룹 정책 개체에서, Firewall Settings for Windows Clients를 클릭합니다.페이지 63 / 232

8. 영역 탭의 WMI 필터링 부분에서, 항목 중의 Apply Only to Windows Vista or Later 를선택합니다.9. 그룹 정책 관리 확인 대화 상자에서, 예를 클릭합니다.페이지 64 / 232

이제 Firewall Settings for Windows Clients 정책은 클라이언트 운영체제의 Version 속성 값이 6으로 시작하는 컴퓨터에만 적용됩니다. 즉, Windows Server 2008 또는Windows Vista 이상의 운영체제에만 적용됩니다. 또한, ProductType 속성 값이 1인 클라이언트 운영체제에만 적용되므로, 최종적으로 Windows Vista, Windows 7 및 Windows8 컴퓨터에만 적용됩니다.10. 그룹 정책 관리 스냅-인을 열린 상태로 유지합니다.WMI 필터 배포 및 테스트1. CLIENT1W8 클라이언트 컴퓨터에서, CORP\User1 관리자 계정으로 로그인 한 후, 관리자 권한으로 명령어 창을 수행합니다.2. 명령어 창에서, 방화벽 설정 GPO를 적용하기 위하여, gpupdate /force 를 수행합니다.GPO가 성공적으로 적용되었음을 확인합니다.페이지 65 / 232

3. GPO가 정상적으로 적용되었음을 검증하기 위하여, 명령어 창에서, gpresult /r /scopecomputer를 수행합니다. 출력에서, Applied Group Policy Objects 부분을 점검합니다.Firewall Settings for Windows Clients GPO가 여전히 포함되어 있음을 확인합니다.다음 절차에서, 보안 ACL을 사용하여 그룹 필터링을 테스트합니다. WMI 필터링과 그룹 필터링을함께 적용하면, WMI 필터에 맞는 컴퓨터 중에서 그룹의 구성원인 컴퓨터만 그룹 정책을 적용할수 있습니다.컴퓨터 그룹 생성1. DC1 컴퓨터에 CORP\Administrator 관리자 계정으로 로그인 한 후, Active DirectoryUsers and Computer 도구를 수행합니다.2. Computers 컨테이너를 오른쪽 마우스 클릭한 후, New -> Group 순서로 클릭합니다..3. Group Name 부분에, Windows Client Computers 를 입력한 후, OK를 클릭합니다.페이지 66 / 232

다음 절차에서, 앞서 생성한 신규 컴퓨터 그룹의 구성원에만 그룹 정책이 적용되도록, 그룹 정책에 권한을 설정합니다.GPO의 ACL 권한 설정1. WFASSVR1 서버에 관리자로 로그인 한 후, 시작 화면에서, 그룹 정책 관리 도구를 수행한 후, 그룹 정책 관리 -> 포리스트: CORP.DONGLCEE.com -> 도메인 ->CORP.DOGNCLEE.com -> 그룹 정책 개체 -> Firewall Settings for Windows Clients 순서로 클릭합니다.2. 영역 탭의 보안 필터링 부분에서 “Authenticated Users” 를 제거한 후, “Windows ClientComputers” 그룹을 추가합니다.GPO가 CLIENT1W8 컴퓨터에 적용되지 않음을 검증1. CLIENT1W8 클라이언트 컴퓨터에서, CORP\User1 관리자 계정으로 로그인 한 후, 관리자 권한으로 명령어 창을 수행합니다.2. 명령어 창에서, 방화벽 설정 GPO를 적용하기 위하여, gpupdate /force 를 수행합니다.GPO가 성공적으로 적용되었음을 확인합니다.3. GPO가 정상적으로 적용되었음을 검증하기 위하여, 명령어 창에서, gpresult /r /scopecomputer를 수행합니다. 출력에서, Applied Group Policy Objects 부분을 점검합니다.Default Domain Policy GPO만 존재함을 확인할 수 있습니다. 또한, “다음 그룹 정책 개체(GPO)는 필터되었기 때문에 적용되지 않았습니다” 부분에 “Firewall Settings forWindows Clients” 항목이 존재함을 확인할 수 있습니다.페이지 67 / 232

4. 고급 보안이 포함된 Windows 방화벽 도구를 재 시작합니다.5. 로컬 컴퓨터의 고급 보안이 포함된 Windows 방화벽을 오른쪽 마우스 클릭한 후, 속성(Properties) 를 클릭합니다.6. Firewall Settings for Windows Clients 그룹 정책이 더 이상 적용되지 않기 때문에, 모든설정 값이 활성 상태임을 확인할 수 있습니다.7. 속성 페이지를 취소하여 닫습니다.신규 그룹에 CLIENT1W8 컴퓨터 추가1. DC1 컴퓨터에 CORP\Administrator 관리자 계정으로 로그인 한 후, Active Directory페이지 68 / 232

Users and Computer 도구를 수행합니다.2. Computers 컨테이너를 클릭한 후, Windows Client Computers 그룹을 더블 클릭합니다.3. Members 탭을 선택한 후, Add 를 클릭합니다.4. Object Types을 클릭합니다.5. Computers를 제외한 나머지 모든 항목을 선택하지 않은 후, OK를 클릭합니다.6. CLIENT1W8 컴퓨터를 추가한 후, OK를 클릭합니다.GPO가 다시 CLIENT1W8 컴퓨터에 적용됨을 검증1. CLIENT1W8 컴퓨터를 반드시 재 시작합니다. 클라이언트 컴퓨터의 그룹 구성원 정보가변경되었기 때문에, 로컬 컴퓨터의 보안 토큰을 반드시 업데이트해야 합니다. 보안 토큰을 업데이트하기 위한 방법은 오로지 클라이언트 컴퓨터를 재 시작하는 것임을 유념해야합니다.2. CLIENT1W8 클라이언트 컴퓨터에서, CORP\User1 관리자 계정으로 로그인 한 후, 관리자 권한으로 명령어 창을 수행합니다.3. GPO가 정상적으로 적용되었음을 검증하기 위하여, 명령어 창에서, gpresult /r /scopecomputer를 수행합니다.4. 출력에서, Applied Group Policy Objects 부분을 점검합니다. Firewall Settings forWindows Clients GPO가 다시 포함되어 있음을 확인합니다.페이지 69 / 232

5. 고급 보안이 포함된 Windows 방화벽 도구를 시작합니다.6. 로컬 컴퓨터의 고급 보안이 포함된 Windows 방화벽을 오른쪽 마우스 클릭한 후, 속성(Properties) 를 클릭합니다.7. Firewall Settings for Windows Clients 그룹 정책이 다시 적용되었기 때문에, 모든 설정값이 비활성 상태임을 확인할 수 있습니다.8. 속성 페이지를 취소하여 닫습니다.페이지 70 / 232

단계 8: 방화벽 로깅 활성화관리자가 방화벽 규칙을 수정 또는 생성했을 때, 관리자는 종종 원하지 않는 트래픽이 허용되거나, 필요한 트래픽이 차단되는 경험을 하게 됩니다. 이러한 종류의 문제점을 해결하기 위하여, 고급 보안이 포함된 Windows 방화벽은 이러한 연결에 대한 진단을 위해 다양한 방법으로 상세 정보를 제공합니다.• Windows 7 및 Windows Server 2008 2 이상의 고급 보안이 포함된 Windows 방화벽은 다음과 같은 로깅/추적 도구가 제공됩니다:• 방화벽 그룹 정책 설정에 의해 구성된 바와 같이 허용 또는 차단된 네트워크 패킷을기록하는 방화벽 로그 파일• 이벤트 뷰어에서 볼 수 있는 고급 보안이 포함된 Windows 방화벽 operational 이벤트 로그. 이 이벤트 로그에는 고급 보안이 포함된 Windows 방화벽의 운영 상태및 구성 변경 사항을 확인할 수 있습니다• Windows Vista와 같이, Windows 7은 고급 보안이 포함된 Windows 방화벽 내의 특정 증상 및 오류를 추적할 수 있는 감사 이벤트를 지원합니다. 감사 이벤트는 事 前에 활성화되어 있어야 합니다.• netsh wfp capture 명령어는 컴퓨터 상의 네트워크 운영에 관한 상세 진단 정보를수집합니다• netsh trace 명령어는 선택된 시나리오에 연관된 네트워크 트래픽을 수집하는 네트워크 추적을 활성화하는 명령어입니다. 예를 들어, WFP-IPsec 시나리오는 WindowsFiltering Platform 및 IPsec의 운영에 관련된 특별한 정보를 수집할 수 있습니다.위에서 소개한 총 5가지 정보를 문제 해결 방법을 순서대로 소개합니다.먼저, 허용된 패킷 및 차단된 패킷 모두 로깅 할 수 있는 로컬 파일을 생성하는 그룹 정책을 구성 및 생성합니다. 본 문서의 후반부에, 관리자는 특정 방화벽 규칙을 생성하고 테스트 한 후에,로그 파일에 기록된 사항을 점검합니다.WFASSVR1 서버에 방화벽 로그 파일 생성을 위한 GPO 구성1. WFASSVR1 서버에 관리자로 로그인 한 후, 시작 화면에서, 그룹 정책 관리 도구를 수행한 후, 그룹 정책 관리 -> 포리스트: CORP.DONGLCEE.com -> 도메인 ->CORP.DOGNCLEE.com -> 그룹 정책 개체 순서로 클릭한 후, Firewall Settings forWindows Servers 를 오른쪽 마우스 클릭 한 후, 편집을 클릭합니다. 지금 편집하는 GPO는 도메인 멤버 서버를 위한 것이지, 절대 도메인 클라이언트 컴퓨터를 위한 GPO가 아님을 유념해야 합니다.페이지 71 / 232

2. 그룹 정책 관리 편집기에서, Firewall Settings for Windows Servers [Domain Controller이름]을 오른쪽 마우스 클릭한 후, 속성을 클릭합니다.3. 사용자 구성 설정 사용 안 함을 선택한 후, 확인 대화 상자에서 예를 클릭한 후, 확인을클릭합니다.페이지 72 / 232

4. 그룹 정책 관리 편집기의 왼쪽 창에서, Firewall Settings for Windows Servers -> 컴퓨터구성 -> 정책 -> Windows 설정 -> 보안 설정 -> 고급 보안이 포함된 Windows 방화벽-> 고급 보안이 포함된 Window 방화벽-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com 순서로클릭한 후, 고급 보안이 포함된 Window 방화벽-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com 오른쪽마우스 클릭한 후, 속성을 클릭합니다.5. 도메인 프로필 탭의 로깅 부분에서, 사용자 지정을 클릭합니다.페이지 73 / 232

6. 구성되지 않음 체크 상자를 모두 해제합니다. 경로 및 최대 크기는 기본 값을 사용합니다.7. 손실된 패킷 로그에 기록 값을 예로 변경합니다.8. 성공적인 연결 로그에 기록 값을 예로 변경합니다.페이지 74 / 232

9. GPO를 저장하기 위해 확인을 2번 클릭합니다.10. 그룹 정책 관리 편집기를 닫습니다.이제 방금 구성한 서버의 GPO를 적용합니다.방화벽 로그 파일 생성을 위한 GPO 배포 및 테스트1. WFASSVR1 컴퓨터에서, 관리자로 로그인한 후, 시작 화면에서, 그룹 정책 관리 도구를수행합니다.2. 왼쪽 창에서, 그룹 정책 관리 -> 포리스트: CORP.DONGLCEE.com -> 도메인 ->CORP.DOGNCLEE.com -> MyMemberServers 순서로 클릭합니다.3. MyMemberServers를 오른쪽 마우스 클릭한 후, Link an Existing GPO 메뉴를 클릭합니다.4. GPO 선택 대화 상자의 그룹 정책 개체 부분에서, 연결할 Firewall Settings for페이지 75 / 232

Windows Servers를 선택한 후, 확인을 클릭합니다.5. WFASSVR1 서버에서 관리자 권한으로 명령어 창을 수행한 후, gpupdate /force 를 수행합니다.페이지 76 / 232

6. 고급 보안이 포함된 Windows 방화벽 스냅-인 도구를 수행합니다.7. 로컬 컴퓨터의 고급 보안이 포함된 Windows 방화벽을 오른쪽 마우스 클릭한 후, 속성(Properties) 를 클릭합니다.8. 도메인 프로필 탭의 로깅 부분에서 사용자 지정을 클릭합니다.9. 앞서 Firewall Settings for Windows Servers GPO에서 설정한 로깅 값이 그대로 활성 상태임을 확인할 수 있습니다.페이지 77 / 232

10. 모든 대화 상자를 닫기 위하여, 확인을 2번 클릭합니다.11. 관리자 권한의 명령어 창과 고급 보안이 포함된 Windows 방화벽 스냅-인 도구를 닫지않고 그대로 유지합니다.Windows는 또한 이벤트 뷰어에 의해 확인할 수 있는 이벤트 로그를 운영 이벤트에 기록합니다.Windows 초기 버전에서, 관리자의 관심 정보는 대부분 시스템 로그 및 어플리케이션 로그에 기록됩니다. Windows Vista 및 이후의 운영체제에서, 이벤트 뷰어는 다양한 미리 정의된 필터링 뷰를 포함합니다. 고유의 필터링 되지 않은 시스템 및 어플리케이션 로그는 Windows Log 밑에서확인할 수 있습니다. 고급 보안이 포함된 Windows 방화벽에 관련된 필터된 로그는 Applicationand Services Logs -> Microsoft -> Windows, Windows Firewall with Advanced Security 에서확인할 수 있습니다.방화벽 운영 이벤트 로그 점검1. WFASSVR1 컴퓨터에서, 관리자로 로그인한 후, 시작 화면에서, 이벤트 뷰어 도구를 수행합니다.2. 이벤트 뷰어 도구의 왼쪽 창에서, 응용 프로그램 및 서비스 로그 -> 마이크로소프트 ->Windows -> Windows Firewall with Advanced Security 순서로 확장합니다.3. Windows Firewall with Advanced Security 노드 하위에 총 4개 범주가 있음을 확인합니다. 고급 보안이 포함된 Windows 방화벽의 주요 2대 기능인 IPsec 및 호스트-기반 방화벽은 Connection Security 및 Firewall 노드 하위에 그들의 관련 이벤트를 저장합니다.ConnectionSecurityVerbose 및 FirewallVerbose 노드는 기본적으로 비활성화되어 있습니다.4. 왼쪽 창에서, Firewall 노드를 선택합니다.• 이미 다양한 이벤트가 존재함을 확인할 수 있습니다. 이러한 이벤트는 방화벽의 운영 상태를 기록한 것입니다. 이러한 이벤트들은 Event ID 2002, 2003, 2004, 2008,2010, 2011 및 2012 등이 있습니다. CLIENT1W8 클라이언트 컴퓨터의 이벤트 뷰어를페이지 78 / 232

확인해 보면, Event ID 2005 및 2006 존재함을 알 수 있습니다. Event ID 2005 및2006은 “A Test Rule” 규칙의 삭제에 관한 내용입니다.5. 가장 상위에 존재하는 Event ID 2003을 선택합니다. 본 문서의 앞선 단계에서, 도메인 프로필의 로그 파일 경로 설정을 변경하는 작업을 수행했으므로, Event ID 2003이 기록됩니다.페이지 79 / 232

6. Verbose 로그를 활성화하기 위해, ConnectionSecurityVerbose 및 FirewallVerbose 을 오른쪽 마우스 클릭한 후, 로그 사용을 선택합니다.netsh WFP 진단 세션 수집netsh WFP 구문은 Windows Filtering Platform의 행동에 대한 진단 추적 세션을 수집하기 위한명령어입니다. 수집 세션을 시작하고, 문제를 재현한 후, 수집 세션을 중단합니다. 수집의 결과로써 로그 파일을 분석합니다.1. WFASSVR1 컴퓨터에서, 관리자로 로그인한 후, 관리자 권한으로 명령어 창을 수행합니다.2. 명령어 창에서, 아래 명령어를 사용하여 현재 폴더를 로그인한 사용자의 데스크톱으로변경합니다: cd %userprofile%\desktop3. 수집을 시작하기 위하여, 다음 명령어를 수행합니다: netsh wfp capture start4. 실제 트러블슈팅 상황에서, 관리자는 문제를 재현합니다. 이러한 문제 재현을 위해, 수초동안 기다립니다.5. 수집을 완료하기 위하여, 다음 명령어를 수행합니다: netsh wfp capture stop 결과 파일은 현재 폴더에 저장됩니다.6. 데스크톱에 존재하는 .cab 파일을 더블-클릭합니다.페이지 80 / 232

7. .cab 파일은 .xml 파일 및 .etl 파일을 포함합니다. .etl 파일은 마이크로소프트 기술 지원부서에서 사용하는 바이너리 파일입니다. 이 프로세스에 의해 생성된 .xml 파일의 크기때문에, XML 전용 리더 프로그램을 사용하여 .xml 파일을 열어보는 것을 권장합니다.8. Wfpdiag.xml 파일을 데스크톱에 드래그합니다.9. Wfpdiag.xml 파일의 아래 4가지 주요 부분을 확인합니다:• sysInfo – 이 부분은 추적을 수집했던 컴퓨터에 관한 정보를 포함합니다.• initialState – 문제가 재현되기 전에, 이 부분은 WFP 및 현재 구성된 규칙의 상태에관한 정보를 포함합니다.• Events – 수집 세션이 운영되는 동안 발생하는 사건에 관한 정보를 포함합니다.• finalState – ?netsh trace 진단 세션 수집유사하게, netsh trace 및 netsh trace stop 명령어는 wfp-ipsec와 같은 특정 시나리오에 연관된다양한 진단 정보를 수집하기 위하여 사용됩니다. 이 단계의 초기에 설명된 여러 가지의 로깅 기술을 사용함으로써, 관리자는 특정 연결의 작동 여부에 관한 많은 정보를 습득할 수 있습니다.1. 관리자 권한으로 수행된 명령어 창에서 다음 명령어를 수행합니다. netsh trace start페이지 81 / 232

scenario=wfp-ipsec tracefile=%userprofile%\desktop\SampleTrace.cab• 명령어의 결과는 추적이 수행되고, 추적 데이터가 파일에 쓰여지고, 다른 가능한 인자의 상세 정보가 보여집니다.2. 실제 트러블슈팅 환경에서, 문제 재현을 시도합니다.3. 예제에서, 수 초 후에, netsh trace stop 명령어를 수행하여 추적을 중단합니다. 컴퓨터는수집된 추적 데이터를 .cab 파일로 컴파일 합니다.4. 데스크톱에서, SampleTrace 파일을 더블-클릭합니다. 이 파일에는 다양한 텍스트 파일, .xml 파일, 이벤트 로그 파일 및 다양한 형식이 포함되어 있습니다.페이지 82 / 232

요구된(Required) 인바운드 네트워크 트래픽 허용 규칙 생성기본적으로, 고급 보안이 포함된 Windows 방화벽은 모든 unsolicited 인바운드 네트워크 트래픽을 차단합니다. SQL 서비스와 같은 네트워크 트래픽이 정확하게 동작하기 위해서, 관리자는 SQL서비스를 위한 방화벽 규칙을 생성해야만 합니다.(주의) IPsec 및 Windows 방화벽이 통합된 “고급 보안이 포함된 Windows 방화벽”의 가장 중요하게 향상된 기능은 허가된 그룹의 구성원인 사용자 또는 컴퓨터를 인증(Authenticate), 암호(Encrypt) 및 허가(Authorize)된 트래픽만 허용하는 인바운드 방화벽 규칙을 생성할 수 있는 것이다. 이러한 향상된 인바운드 규칙은 추후 “Server Isolation” 부분에서 좀 더 확인합니다. 또한, 네트워크 트래픽이 IPsec에 의해 보호되고, 방화벽 규칙에 부합되었을 때, 관리자는 네트워크 트래픽을 차단하는 차단 규칙을 override하기 위한 인바운드 규칙을 구성할 수도 있습니다.페이지 83 / 232

단계 1: 그룹 정책을 사용한 사전( 事 前 ) 정의된 규칙 구성대부분의 시나리오에서, 관리자는 특정 ICMP 응답 형식과 같이 통상적으로 요구되는 네트워크 트래픽 허용 방화벽 규칙을 구성하고자 합니다. 특정 ICMP와 같은 네트워크 트래픽은 서비스에 연관된 것이 아니라, 특정 네트워크 트러블슈팅(ex. PING 테스트)을 위해 필요합니다. 클라이언트 및서버에 의해 가장 공통적으로 사용되는 네트워크 트래픽(ex, PING 또는 Telnet)은 事 前 에 방화벽규칙 집합으로 “고급 보안이 포함된 Windows 방화벽”에 정의합니다. 이러한 공통된 사전 방화벽규칙은 차후 방화벽 구성 및 배포를 용이하게 합니다. 본 가이드 문서에서는 하나의 사전 정의된방화벽 그룹을 생성합니다. 실제 환경에서는 조직의 네트워크 환경에 적합한 사전 정의된 방화벽그룹을 생성해야 합니다. 본 단계에서는, 이러한 사전 정의된 방화벽 규칙을 그룹 정책 관리 도구를 사용하여 생성 및 배포할 것입니다. 본 단계에서 생성하는 사전 정의된 방화벽 규칙은 CoreNetworking 그룹의 일부분으로써 항상 활성화되어 있어야 합니다. 아래 그림은 단계 1의 개략적인 구성도입니다.Firewall Settings for Windows Clients 그룹 정책인바운드 규칙미리 정의된 규칙 : 핵심 네트워킹Firewall Settings for Windows Clients 그룹 정책Secure(Trusted) ZoneDC1.CORP.DONGCLEE.com10.0.0.1Windows Server 2012WFASSVR1.CORP.DONGCLEE.com10.0.0.91Windows Server 2012Firewall Settings for Windows Clients그룹 정책인바운드 규칙미리 정의된 규칙 : 핵심 네트워킹CLIENT1W8.CORP.DONGCLEE.comWindows 810.0.0.xCORP.DONGCLEE.com방화벽 규칙 그룹 구성1. WFASSVR1 컴퓨터에서, 관리자로 로그인한 후, 시작 화면에서, 그룹 정책 관리 도구를수행합니다. 왼쪽 창에서, 그룹 정책 관리 -> 포리스트: CORP.DONGLCEE.com -> 도메페이지 84 / 232

인 -> CORP.DOGNCLEE.com -> 그룹 정책 개체 -> Firewall Settings for WindowsClients 순서로 클릭합니다. Firewall Settings for Windows Clients 를 오른쪽 마우스 클릭한 후, 편집을 클릭합니다.2. 그룹 정책 관리 편집기에서, Firewall Settings for Windows Clients -> 컴퓨터 구성 ->정책 -> Windows 설정 -> 보안 설정 -> 고급 보안이 포함된 Windows 방화벽 -> 고급 보안이 포함된 Window 방화벽-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com 순서로클릭합니다.페이지 85 / 232

3. 인바운드 규칙을 클릭합니다.• 기본적으로, 해당 GPO에는 어떠한 인바운드 방화벽 규칙이 존재하지 않습니다.4. 인바운드 규칙을 오른쪽 마우스 클릭한 후, 새 규칙을 클릭합니다.페이지 86 / 232

5. 새 인바운드 규칙 마법사의 규칙 종류 페이지에서, 미리 정의됨을 클릭한 후, 항목 중에서 “핵심 네트워킹 (Core Networking)”을 선택 한 후, 다음을 클릭합니다.6. 미리 정의된 규칙 페이지에서, 규칙 항목을 점검하고, 모든 항목이 선택되었음을 확인 한후, 다음을 클릭합니다.페이지 87 / 232

7. 작업 페이지에서, 기본적으로 차단되는 트래픽을 위한 예외 사항을 생성해야 하기 때문에, 연결 허용을 선택한 후, 마침을 클릭합니다.• 활성화된 규칙 항목은 인바운드 규칙 부분에 나타납니다.8. 클라이언트 GPO를 위한 그룹 정책 관리 편집기를 닫습니다.클라이언트 컴퓨터에서 규칙 테스트1. CLIENT1W8 컴퓨터에 관리자로 로그인 한 후, 관리자 권한으로 명령어 창을 수행한 후,gpupdate /force를 수행합니다.페이지 88 / 232

2. 고급 보안이 포함된 Windows 방화벽 스냅-인에서, 모니터링 항목을 확장한 후, 방화벽을 클릭합니다.• 방화벽 항목에는 현재 로컬 컴퓨터에서 활성화된 규칙이 존재합니다. 전체 활성 규칙이 보여지기까지 수 초를 기다려야 합니다.3. 보기를 클릭한 후, 열 추가/제거를 클릭합니다.4. 규칙 원본 컬럼이 보여지지 않는다면, 사용 가능한 열 항목에서 규칙 원본을 클릭한 후,추가를 클릭합니다.페이지 89 / 232

5. 이름 이후에 바로 규칙 원본이 위치하도록 위로 이동을 클릭한 후, 확인을 클릭합니다.6. 모든 규칙이 규칙 원본으로써 Firewall Settings for Windows Clients 그룹 정책임을 확인할 수 있습니다. 로컬 컴퓨터의 고급 보안이 포함된 Windows 방화벽 -> 인바운드 규칙 밑의 핵심 네트워킹을 비활성화할지라도, GPO내의 이 규칙들은 여전히 로컬 컴퓨터에적용됩니다.페이지 90 / 232

페이지 91 / 232

단계 2: 특정 프로그램을 위한 Unsolicited 인바운드 네트워크 트래픽 허용관리자가 unsolicited 인바운드 네트워크 트래픽을 받을 수 있는 프로그램을 사용하고자 할 때, 관리자는 방화벽을 통해 트래픽이 통과할 수 있도록 규칙을 생성해야만 합니다. Incoming 네트워크패킷은 以 前 outgoing 요청에 반응하기 때문에, 전형적으로, 클라이언트 컴퓨터는 이러한 필요성이 없습니다. 그러나, 관리자가 네트워크 서비스를 설치한다면, 관리자 컴퓨터는 클라이언트로부터 네트워크 서비스 쪽으로 unsolicited 네트워크 트래픽을 받을 것입니다. 물론, 서버들은 서버에호스트된 네트워크 서비스를 위한 unsolicited 인바운드 트래픽을 기대합니다.기본적으로, Windows 8, Windows 7 및 Windows Vista에서, 관리자가 특정 프로그램을 시작하고,Windows는 특정 프로그램이 사용하는 특정 TCP 또는 UDP 포트를 자신의 운영체제에 등록하려고 할 때, Windows는 일차적으로 요청을 차단하고, 특정 프로그램의 사용 포트 등록 여부를 질의하는 대화 상자가 보여집니다. 관리자가가 특정 프로그램을 허용한다면, Windows는 특정 프로그램을 위해 필요한 모든 네트워크 트래픽을 허용하는 방화벽 규칙을 자동적으로 생성합니다. 또한,유사한 규칙을 관리자는 수동으로 생성할 수도 있습니다. 관리자가 특정 규칙을 생성하고, 이 규칙을 GPO를 통해 배포하면, 사용자는 특정 규칙 허용 여부를 질의하는 대화 상자를 볼 수 없습니다.기본적으로, Windows Server 2012, Windows Server 2008 R2 및 Windows Server 2008에서, 특정프로그램의 허용 여부를 질의하는 알림 대화 상자는 더 이상 나타나지 않지만, 특정 프로그램은여전히 차단됩니다. 차단된 패킷의 방화벽 로깅이 활성화되어 있다면, 로그 파일에 이러한 도착패킷 및 차단된 패킷이 기록되어 있습니다. Windows Server를 운영하는 컴퓨터에서, unsolicited인바운드 네트워크 트래픽을 요구하는 각 프로그램 또는 서비스를 위한 규칙을 관리자는 반드시생성해야 합니다. 이러한 규칙을 수동으로 생성하는 다른 장점은 특정 프로그램에 의해 요구되는특정 트래픽 만을 제한하도록 규칙을 customize 할 수 있습니다.(주의) 이 가이드에서 데모로 제공되지 않지만, 관리자가 인지해야 할 다른 옵션이 있습니다.Teredo라는 IPv6 변환 기술은 UDP 헤더를 이용하여 IPv4 패킷 내에서 터널링하여 IPv6 통신을가능하게 합니다. UDP는 NAT(Network Address Translator)에 의해 변환될 수 있기 때문에, 클라이언트가 하나 또는 그 이상의 IPv4 NAT 背 後 에 위치할지라도 Teredo는 IPv6 클라이언트와 통신이가능하게 해 줍니다. IPv4 트래픽 내에 포함된 Teredo와 같은 IPv6 트래픽을 정확하게 처리하기위해서, 방화벽 규칙은 “Edge Traversal” 옵션을 지원해야 합니다. 특정 방화벽 규칙이 원격 컴퓨컴퓨터로 부터 Teredo 터널 上 의 인바운드 트래픽을 받는 클라이언트 컴퓨터를 위한 것이라면,해당 방화벽 규칙에는 반드시 Allow edge traversal 옵션을 지정해야 합니다. 방화벽 규칙 속성페이지에서, Advanced 탭의 Edge Traversal 밑의 Allow edge traversal 를 선택합니다.페이지 92 / 232

단계 2의 WFASSVR1 서버에 Telnet 인바운드 트래픽을 허용하는 개략적인 구성도는 아래와 같습니다.Firewall Settings for Windows Servers 그룹 정책인바운드 규칙Allow Inbound TelnetFirewall Settings for Windows Servers 그룹 정책DC1.CORP.DONGCLEE.com10.0.0.1Windows Server 2012Secure(Trusted) ZoneFirewall Settings for Windows Servers그룹 정책인바운드 규칙Allow Inbound Telnet%systemroot%\system32\tlntsvr.exeCLIENT1W8.CORP.DONGCLEE.comWindows 810.0.0.xTelnet WFASSVR1성공WFASSVR1.CORP.DONGCLEE.com10.0.0.91Windows Server 2012Telnet ServerCORP.DONGCLEE.com페이지 93 / 232

본 단계에서, 첫 번째 예제로써, 관리자는 Telnet 서비스를 위한 인바운드 트래픽을 허용하는 방화벽 규칙을 생성한 후, 그룹 정책을 사용하여 WFASSVR1 서버에 규칙을 배포합니다.Telnet 서버를 위한 인바운드 트래픽을 허용하는 방화벽 규칙 생성1. WFASSVR1 컴퓨터에서, 관리자로 로그인한 후, 시작 화면에서, 그룹 정책 관리 도구를수행합니다. 왼쪽 창에서, 그룹 정책 관리 -> 포리스트: CORP.DONGLCEE.com -> 도메인 -> CORP.DOGNCLEE.com -> 그룹 정책 개체 -> Firewall Settings for WindowsServers (not Clients) 순서로 클릭합니다. Firewall Settings for Windows Servers (notClients) 를 오른쪽 마우스 클릭한 후, 편집을 클릭합니다.2. 그룹 정책 관리 편집기에서, Firewall Settings for Windows Servers -> 컴퓨터 구성 ->정책 -> Windows 설정 -> 보안 설정 -> 고급 보안이 포함된 Windows 방화벽 -> 고급 보안이 포함된 Window 방화벽-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com 순서로클릭합니다.페이지 94 / 232

3. 인바운드 규칙을 오른쪽 마우스 클릭한 후, 새 규칙을 클릭합니다.4. 새 인바운드 규칙 마법사의 규칙 종류 페이지에서, 사용자 지정을 클릭한 후, 다음을 클릭합니다.페이지 95 / 232

5. 프로그램 페이지에서, 다음 프로그램 경로 부분에 %systemroot%\system32\tlntsvr.exe 를 입력한 후, 다음을 클릭합니다.6. 프로그램이 다중 서비스를 호스트하기 때문에, 관리자가 원하는 특정 서비스에 해당 규칙을 적용되도록 구성할 것을 권장합니다. 서비스 부분의 사용자 지정을 클릭합니다.7. 다음 서비스에 적용을 클릭하고, Telnet을 선택한 한 후, 확인을 클릭한 후, 다음을 클릭합니다. (주의) 다음 서비스에 적용 옵션을 사용할 때, 나열되는 서비스 항목은 GPO를 편집하는 컴퓨터에 설치된 서비스입니다. 만약, 이 컴퓨터에 설치되지 않은 서비스를 지정하기 위해서는, “다음 짧은 이름이 지정된 서비스에 적용” 옵션을 사용할 수 있고, 이 텍스트 상자에 서비스 이름을 입력합니다. 서비스 이름을 확인하기 위해서, 서비스가 설치된 컴퓨터의 서비스 스냅-인에서 확인합니다.페이지 96 / 232

8. 프로토콜 및 포트 페이지에서, 다음을 클릭합니다. 다음 단계에서 특정 포트에 해당 규칙이 적용되도록 구성할 것입니다.9. 범위 페이지에서, 다음을 클릭합니다.10. 작업 페이지에서, 연결 허용을 선택한 후, 다음을 클릭합니다.페이지 97 / 232

11. 프로필 페이지에서, 개인 및 공용 체크 상자를 해제하고, 도메인이 선택되었음을 확인 한후, 다음을 클릭합니다.12. 이름 페이지에서, Allow Inbound Telnet을 입력한 후, 마침을 클릭합니다.페이지 98 / 232

페이지 99 / 232

다음 단계에서, 그룹 정책을 배포하기 前 에, WFASSVR1 컴퓨터 상에 로컬 정의된 규칙이 도메인에서 배포된 규칙이 방해되지 않도록 몇 가지 설정을 추가로 그룹 정책에 구성합니다. 즉, 로컬방화벽 정책이 도메인 프로필 방화벽 정책에 병합되지 않도록, 그룹 정책에 추가적인 구성을 합니다.WFASSVR1 서버를 위한 방화벽 규칙 구성 완료1. WFASSVR1 컴퓨터에서, 그룹 정책 관리 편집기에서, Firewall Settings for WindowsServers -> 컴퓨터 구성 -> 정책 -> Windows 설정 -> 보안 설정 -> 고급 보안이 포함된 Windows 방화벽 -> 고급 보안이 포함된 Window 방화벽-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com 순서로클릭한 후, 고급 보안이 포함된 Window 방화벽-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com를 오른쪽 마우스 클릭한 후, 속성을 클릭합니다.2. 도메인 프로필 탭에서, 상태 부분에서 아래와 같이 값을 설정합니다. 다음 단계에서 아웃바운드 규칙을 점검할 것입니다.• 방화벽 상태 : 사용(권장)• 인바운드 연결 : 차단(기본값)• 아웃바운드 연결 : 허용(기본값)페이지 100 / 232

3. 도메인 프로필 탭에서, 설정 부분에서 사용자 지정을 클릭합니다.4. 도메인 프로필 설정 사용자 지정 대화 상자에서, 아래와 같이 값을 설정합니다.• 알림 표시 : 아니요• 로컬 방화벽 규칙 적용 : 아니요• 로컬 연결 보안 규칙 적용 : 아니요5. Firewall Settings for Windows Servers 그룹 정책을 저장하기 위해 확인을 2번 클릭합니다.페이지 101 / 232

다음 단계에서, WFASSVR1 서버에 그룹 정책을 배포합니다.WFASSVR1 서버에서 그룹 정책 업데이트1. WFASSVR1 컴퓨터에서, 관리자 권한으로 명령어 창을 수행한 후, gpupdate /force를 수행합니다.2. 고급 보안이 포함된 Windows 방화벽 스냅-인을 수행합니다.3. 모니터링 -> 방화벽 부분에서, “Allow Inbound Telnet” 항목이 WFASSVR1 컴퓨터의 유효한 방화벽 규칙임을 확인할 수 있습니다.다음 단계에서, 배포된 방화벽 규칙을 테스트합니다.Telnet 방화벽 규칙 테스트1. CLIENT1W8 컴퓨터에 관리자로 로그인 한 후, 관리자 권한으로 명령어 창을 수행한 후,telnet WFASSVR1을 수행합니다.• 수 초 후에 다음과 같은 스크린이 나타나고, Telnet 방화벽 규칙이 정상적으로 적용됨을 확인할 수 있습니다.2. Telnet 세션을 닫기 위하여, exit을 입력한 후, ENTER를 누릅니다.페이지 102 / 232

다음 단계에서, 앞선 Telnet 서비스의 연결 성공이 WFASSVR1 서버에 설치되었을 때 생성된 로컬방화벽 허용 규칙 때문이 아님을 확인합니다. 로컬 Telnet 방화벽 규칙을 비활성화하더라도, 도메인에서 적용된 Allow Inbound Telnet 방화벽 규칙이 여전히 활성임을 확인합니다.Allow Inbound Telnet 도메인 방화벽 규칙 적용 확인1. WFASSVR1 컴퓨터에서, 고급 보안이 포함된 Windows 방화벽 스냅-인을 수행합니다. 인바운드 규칙을 클릭합니다. GPO 기반의 Telnet 방화벽 규칙이 가장 상위에 존재함을 확인할 수 있습니다.2. 텔넷 서버 라는 방화벽 규칙을 오른쪽 마우스 클릭한 후, 규칙 사용 안 함을 클릭합니다.텔넷 서버 라는 로컬 방화벽 규칙은 앞서 WFASSVR1 서버에 Telnet 서비스를 설치하면서,자동적으로 구성된 로컬 방화벽입니다.페이지 103 / 232

3. CLIENT1W8 컴퓨터에 관리자로 로그인 한 후, 관리자 권한으로 명령어 창을 수행한 후,telnet WFASSVR1을 수행합니다. 아직까지 Telnet이 정상적으로 동작함을 확인합니다.4. Telnet 세션을 닫기 위하여, exit을 입력한 후, ENTER를 누릅니다.기본 포트가 아닌 특정 포트에 Telnet 네트워크 트래픽을 허용하는 방화벽 규칙 확인1. WFASSVR1 컴퓨터에 관리자로 로그인 한 후, 관리자 권한으로 명령어 창을 수행한 후,tlntadmn config port=25을 수행하여 WFASSVR1 서버의 Telnet 포트를 기본 포트인 23인 아닌 25로 변경합니다.2. CLIENT1W8 컴퓨터에 관리자로 로그인 한 후, 관리자 권한으로 명령어 창을 수행한 후,telnet WFASSVR1 25를 수행합니다. 여전히, 연결이 성공적임을 확인할 수 있습니다.페이지 104 / 232

다음 단계 3에서, 관리자가 지정한 포트에만 트래픽이 허용되도록 방화벽 규칙을 구성합니다. 이러한 구성은 보안을 향상시킬 수 있는 방법입니다.페이지 105 / 232

단계 3: 특정 TCP 또는 UDP 포트에 대한 인바운드 트래픽 허용단계 2에서, Telnet 서버 서비스에만 unsolicited 인바운드 네트워크 트래픽을 허용하도록 방화벽규칙을 생성했습니다. 그러나, 특정 서비스에서 실제로 사용하는 TCP 또는 UDP 포트에만 트래픽이 허용되도록 구성하는 것이 보안적으로 가장 좋은 방법입니다. 표준 Telnet 배포의 경우에, 오로지 TCP 포트 23이 사용됩니다.이번 3단계에서, TCP 포트 23에만 인바운드 네트워크 트래픽이 허용되도록 제한하는 Telnet 예외규칙을 재구성합니다. 단계 3의 개략적인 구성도는 아래와 같습니다.Firewall Settings for Windows Servers 그룹 정책인바운드 규칙Allow Inbound Telnet (로컬 포트 : 23)Firewall Settings for Windows Servers 그룹 정책DC1.CORP.DONGCLEE.com10.0.0.1Windows Server 2012Secure(Trusted) ZoneFirewall Settings for Windows Servers그룹 정책인바운드 규칙Allow Inbound Telnet%systemroot%\system32\tlntsvr.exe로컬 포트 : 23 지정CLIENT1W8.CORP.DONGCLEE.comWindows 810.0.0.xTelnet WFASSVR1성공Telnet WFASSVR1 25실패CORP.DONGCLEE.comWFASSVR1.CORP.DONGCLEE.com10.0.0.91Windows Server 2012Telnet ServerTelnet 서비스가 특정 포트 만을 사용하도록 규칙 구성1. WFASSVR1 컴퓨터의, 그룹 정책 관리 편집기에서, Firewall Settings for WindowsServers -> 컴퓨터 구성 -> 정책 -> Windows 설정 -> 보안 설정 -> 고급 보안이 포함된 Windows 방화벽 -> 고급 보안이 포함된 Window 방화벽-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com -> 인바운드 규칙 순서로 클릭합니다.2. Allow Inbound Telnet 규칙을 오른쪽 마우스 클릭한 후, 속성을 클릭합니다.페이지 106 / 232

3. 프로토콜 및 포트 탭을 클릭합니다.4. 프로토콜 종류에서, TCP를 클릭합니다. 프로토콜 번호가 자동적으로 6으로 변경됨을 유념해야 합니다.5. 로컬 포트 항목에서, 특정 포트를 클릭합니다.6. 로컬 포트 부분에서 텍스트 상자에 직접 23을 입력합니다.7. 변경 사항을 저장하기 위해 확인을 클릭합니다.수정된 방화벽 규칙 테스트페이지 107 / 232

1. WFASSVR1 컴퓨터에서, 관리자 권한으로 명령어 창을 수행한 후, gpupdate /force를 수행합니다.• WFASSVR1 컴퓨터는 아직 25 포트에 응답하도록 구성되어 있기 때문에, 서비스는임의의 트래픽을 받을 수 없습니다. 본 데모 환경에서 netstat –ano | find “:25” 명령어를 수행하면, 현재 1956 프로세스 ID가 응답 중임을 알 수 있고, 1956 프로세스ID는 Telnet 서비스임을 알 수 있습니다.2. CLIENT1W8 컴퓨터에 관리자로 로그인 한 후, 관리자 권한으로 명령어 창을 수행한 후,telnet WFASSVR1 25를 수행합니다.• WFASSVR1 컴퓨터의 방화벽 규칙이 Telnet 서비스가 23 포트를 제외한 나머지 포트에서는 모든 인바운드 트래픽을 차단하도록 구성되어 있기 때문에, 위 명령어 결과는 실패합니다.3. WFASSVR1 컴퓨터에 관리자로 로그인 한 후, 관리자 권한으로 명령어 창을 수행한 후,tlntadmn config port=23을 수행하여 WFASSVR1 서버의 Telnet 포트를 기본 포트인 23으로 다시 복구합니다.4. CLIENT1W8 컴퓨터에 관리자로 로그인 한 후, 관리자 권한으로 명령어 창을 수행한 후,telnet WFASSVR1을 수행합니다.• Telnet 서비스는 포트 23에만 인바운드 네트워크 트래픽이 허용하도록 방화벽이 구성되어 있기 때문에, 명령어가 성공합니다.페이지 108 / 232

5. Telnet 세션을 닫기 위하여, exit을 입력한 후, ENTER를 누릅니다.페이지 109 / 232

단계 4: 동적 RPC를 사용하는 인바운드 네트워크 트래픽 허용네트워크 상의 통신이 필요한 모든 프로그램 및 서비스에 자신의 전용 포트 번호가 할당된다면, 2개 이상의 프로그램이 동일한 포트를 사용하는 오류가 발생할 수도 있음을 쉽게 상상할 수 있습니다. 이러한 문제를 해결하기 위해, 대부분의 프로그램은 동적으로 할당되는 포트 번호를 이용하는 RPC(Remote Procedure Protocol) 프로토콜을 사용합니다. 서버에서 서비스가 시작할 때, RPC서비스가 등록되고, 하나 또는 그 이상의 동적 포트 번호 할당을 요구합니다. 원격 클라이언트가이러한 서비스와 통신이 필요할 때, 원격 클라이언트는 서버 서비스에 할당된 동적 포트를 알 수없습니다. 동적 포트를 확인하기 위해, 클라이언트 컴퓨터는 서버 상의 “TCP 포트 135 (RPCEndpoint Mapper Service를 위한 well-known 포트)”에 연결하고, 연결하고자 하는 서비스의 포트를 질의합니다. RPC Endpoint Mapper Service는 원격 클라이언트가 연결하고자 하는 서비스의 동적 포트를 원격 클라이언트에 반환합니다. 서버의 RPC Endpoint Mapper Service에 의해 확인된동적 포트에 원격 클라이언트는 다시 연결하고, 이제 원격 클라이언트는 원하는 서비스와 통신이가능합니다.Windows Vista 이전의 운영체제에서, 동적으로 할당된 포트는 방화벽 관리자에게 큰 문제점을 유발합니다. 즉, 동적으로 할당되는 포트의 넓은 범위(ex, 1024이상의 모든 포트)에 대한 방화벽 규칙을 생성함으로써, 보안이 취약할 수 있습니다. 반면에, 특정 서비스가 실제 사용해야 하는 동적포트보다 훨씬 적은 범위의 포트를 사용하도록 방화벽 규칙을 구성함으로써, 서비스 자체의 기능이 제약되는 단점이 있을 수 있습니다. 현재 활성 상태로 사용되지 않는 많은 포트를 open하는규칙을 생성하는 것은 컴퓨터 보안의 취약성을 고스란히 드러내는 것입니다.Windows Vista에서 제공되는 고급 보안이 포함된 Windows 방화벽은 RPC에 의해 사용되는 동적으로 할당된 포트 번호의 stateful 필터링 기능이 제공됩니다. 활성 서비스에 의해 실제 사용되는동적 포트만이 open되고, 서버의 RPC Endpoint Mapper Service는 실제 사용되는 동적 포트 번호를 원격 클라이언트에게 반환합니다. 원격 클라이언트는 서버에게 받은 동적 포트를 사용하여 원하는 서비스에 연결합니다.Windows Vista 이후의 운영체제에서, 위 문제점을 해결하기 위해, RPC 요구사항을 처리할 수 있는 인바운드 규칙을 관리자는 생성해야 합니다. RPC 요구사항을 처리하기 위하여, 관리자는 다음규칙을 생성해야만 합니다:• RPC Endpoint Mapper를 위한 인바운드 네트워크 트래픽을 허용하는 인바운드 규칙. 이규칙은 컴퓨터가 포트 135로 연결을 시도하는 트래픽을 허용하도록 합니다. 또한, 이 규칙은 반드시 Allow 동작으로 구성되어야 하고, RPC Endpoint Mapper 서비스를 위한 프로그램 경로도 구성합니다.• 포트 번호를 위한 Dynamic RPC를 지정하는 인바운드 규칙. 원격 컴퓨터로 들어오는 요청이 서버 상의 포트 135(RPC Endpoint Mapper)에 연결할 때, RPC Endpoint Mapper 서비스는 해당 요청에 동적 포트 번호를 할당하고, 해당 포트 번호를 사용하여 원격 컴퓨터에 응답합니다. 원격 컴퓨터의 IP 주소와 동적 포트 번호는 내부 테이블에 저장됩니다.RPC 내 임의의 포트는 해당 포트를 명백하게 open 하는 규칙 없이도 사용할 수 있는 장점이 있페이지 110 / 232

습니다. Endpoint Mapper 서비스에 의해 할당된 포트만이 특정 프로그램이 사용합니다. 즉, 사용되는 포트 이외에 다른 포트는 여전히 사용 가능 하므로 서버의 취약성을 감소시킬 수 있습니다.(중요) RPC 네트워크 트래픽을 허용하는 규칙을 생성하면, 모든 RPC 네트워크 트래픽은 허용됩니다. Windows 방화벽은 대상 프로그램의 UUID에 기반하여 네트워크 트래픽을 필터링 할 수없습니다.이번 단계에서, Dynamic RPC를 사용하는 Remote Event Log 서비스를 위한 방화벽 규칙을 생성합니다. Windows 컴퓨터에 이러한 기능을 제공하는 사전 정의된 방화벽 규칙이 구성되어 있더라도,관리자는 이번 단계에서 수동으로 관련 방화벽 규칙을 생성합니다.먼저, WFASSVR1 방화벽 규칙이 Remote Event Log 트래픽을 차단하기 때문에, Remote Event Log서비스가 원격 클라이언트로부터 정상 동작하지 않음을 확인합니다.원격에서 Remote Event Log 서비스가 사용 가능하지 않음을 확인1. CLIENT1W8 컴퓨터에서, 관리자로 로그인한 후, 시작 화면에서, 이벤트 뷰어 도구를 수행합니다.2. 이벤트 뷰어(로컬) 를 오른쪽 마우스 클릭한 후, 다른 컴퓨터에 연결을 클릭합니다.3. 컴퓨터 선택 대화 상자에서, 다른 컴퓨터 부분에 WFASSVR1을 입력한 후, 확인을 클릭합니다.4. 수 초가 지난 후에, 연결이 종료되고 아래 그림과 같이 연결이 실패합니다. WFASSVR1컴퓨터의 고급 보안이 포함된 Window 방화벽이 현재 연결에 요구되는 네트워크 트래픽을 차단하기 때문에, 연결이 실패합니다.페이지 111 / 232

이러한 원격 이벤트 로그 연결 서비스가 정상 동작하기 위해, RPC Endpoint Mapper 서비스에 대한 인바운드 트래픽을 허용하는 규칙을 생성해야 합니다. 많은 서비스를 호스트하는 서비스 컨테이너가 오로지 하나의 서비스만을 호스트하도록 제한하는 방화벽 규칙을 생성하는 방법을 소개합니다. 그런 후에, 해당 서비스가 오로지 하나의 TCP 포트만을 사용하도록 제한하는 방화벽 규칙을생성합니다. 다음 그림은 RPC Endpoint Mapper 서비스의 허용을 위한 개략적인 구성도입니다.Firewall Settings for Windows Servers 그룹 정책인바운드 규칙Allow RPC Endpoint Mapper (로컬 포트 : RPC 끝점 매퍼)Firewall Settings for Windows Servers 그룹 정책DC1.CORP.DONGCLEE.com10.0.0.1Windows Server 2012Secure(Trusted) ZoneFirewall Settings for Windows Servers그룹 정책인바운드 규칙Allow RPC Ednpoint Mapper%systemroot%\system32\svchost.exe -> RPC (RpcSs)로컬 포트 : RPC 끝점 매퍼CLIENT1W8.CORP.DONGCLEE.comWindows 810.0.0.xRemote Procedure Call성공WFASSVR1.CORP.DONGCLEE.com10.0.0.91Windows Server 2012Telnet ServerCORP.DONGCLEE.com페이지 112 / 232

RPC Endpoint Mapper 서비스를 위한 인바운드 규칙 생성1. WFASSVR1 컴퓨터의, 그룹 정책 관리 편집기에서, Firewall Settings for WindowsServers -> 컴퓨터 구성 -> 정책 -> Windows 설정 -> 보안 설정 -> 고급 보안이 포함된 Windows 방화벽 -> 고급 보안이 포함된 Window 방화벽-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com -> 인바운드 규칙 순서로 클릭한 후, 인바운드 규칙을 오른쪽 마우스 클릭한 후, 새 규칙을 클릭합니다.2. 새 인바운드 규칙 마법사의 규칙 종류 페이지에서, 사용자 지정을 클릭한 후, 다음을 클릭합니다.3. 프로그램 페이지에서, 다음 프로그램 경로 부분에 %systemroot%\system32\svchost.exe 를 입력한 후, 다음을 클릭합니다.4. 서비스 부분의 사용자 지정을 클릭합니다.5. 다음 서비스에 적용을 클릭하고, 짧은 이름으로 RpcSs로 지정된 Remote Procedure Call(RPC)을 선택한 한 후, 확인을 클릭한 후, 다음을 클릭합니다.페이지 113 / 232

6. Windows services-hardening 규칙과 충돌에 관한 경고 메시지에서, 예를 클릭합니다.7. 프로토콜 및 포트 페이지에서, 프로토콜 종류에서, TCP를 클릭합니다. 프로토콜 번호가자동적으로 6으로 변경됨을 유념해야 합니다.8. 로컬 포트 항목에서, RPC 끝점 매퍼를 클릭한 후, 다음을 클릭합니다.페이지 114 / 232

9. 범위 페이지에서, 다음을 클릭합니다.10. 작업 페이지에서, 다음을 클릭합니다.11. 프로필 페이지에서, 개인 및 공용 체크 상자를 해제하고, 도메인이 선택되었음을 확인 한후, 다음을 클릭합니다.12. 이름 페이지에서, Allow RPC Endpoint Mapper를 입력한 후, 마침을 클릭합니다.페이지 115 / 232

다음 단계에서, 원격 이벤트 로그 클라이언트로부터 인입(incoming) 트래픽을 허용하는 규칙을 생성합니다. 인입 포트 번호는 RPC Endpoint Mapper 서비스에 의해 동적으로 할당되기 때문에, 관리자는 특정 포트 번호 대신에 Dynamic RPC를 지정합니다. 아래 그림은 원격 이벤트 로그 서비스에 대한 개략적인 구성도입니다.Firewall Settings for Windows Servers 그룹 정책인바운드 규칙Allow Remote Event Log Service (로컬 포트 : RPC 동적 포트)Firewall Settings for Windows Servers 그룹 정책DC1.CORP.DONGCLEE.com10.0.0.1Windows Server 2012Secure(Trusted) ZoneFirewall Settings for Windows Servers그룹 정책인바운드 규칙Allow Remote Event Log Service%systemroot%\system32\svchost.exe -> Eventlog로컬 포트 : RPC 동적 포트CLIENT1W8.CORP.DONGCLEE.comWindows 810.0.0.x원격 이벤트 뷰어성공WFASSVR1.CORP.DONGCLEE.com10.0.0.91Windows Server 2012Telnet ServerCORP.DONGCLEE.com(주의) 예제 서비스로써 사용되는 이벤트 로그는 %systemroot%\system32\svchost.exe 프로세스에 의해 호스트됩니다. 실제 환경에서 해당 방화벽 규칙을 생성하고자 할 때, 서비스를 호스팅페이지 116 / 232

하는 실행 파일의 경로를 정확하게 확인해야 합니다.RPC-Enabled 서비스를 위한 인바운드 규칙 생성1. WFASSVR1 컴퓨터의, 그룹 정책 관리 편집기에서, Firewall Settings for WindowsServers -> 컴퓨터 구성 -> 정책 -> Windows 설정 -> 보안 설정 -> 고급 보안이 포함된 Windows 방화벽 -> 고급 보안이 포함된 Window 방화벽-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com -> 인바운드 규칙 순서로 클릭한 후, 인바운드 규칙을 오른쪽 마우스 클릭한 후, 새 규칙을 클릭합니다.2. 새 인바운드 규칙 마법사의 규칙 종류 페이지에서, 사용자 지정을 클릭한 후, 다음을 클릭합니다.3. 프로그램 페이지에서, 다음 프로그램 경로 부분에 %systemroot%\system32\svchost.exe 를 입력한 후, 다음을 클릭합니다.4. 서비스 부분의 사용자 지정을 클릭합니다.5. 다음 서비스에 적용을 클릭하고, 짧은 이름으로 eventlog로 지정된 Windows Event Log을 선택한 한 후, 확인을 클릭한 후, 다음을 클릭합니다.6. Windows services-hardening 규칙과 충돌에 관한 경고 메시지에서, 예를 클릭합니다.7. 프로토콜 및 포트 페이지에서, 프로토콜 종류에서, TCP를 클릭합니다. 프로토콜 번호가자동적으로 6으로 변경됨을 유념해야 합니다.8. 로컬 포트 항목에서, Dynamic RPC (on Windows Server 2008) 또는 RPC Dynamic Ports(on Windows Server 2008 R2 또는 Windows Server 2012)를 클릭한 후, 다음을 클릭합니페이지 117 / 232

다.9. 범위 페이지에서, 다음을 클릭합니다.10. 작업 페이지에서, 다음을 클릭합니다.11. 프로필 페이지에서, 개인 및 공용 체크 상자를 해제하고, 도메인이 선택되었음을 확인 한후, 다음을 클릭합니다.12. 이름 페이지에서, Allow Remote Event Log Service 를 입력한 후, 마침을 클릭합니다.• 이제 WFASSVR1 컴퓨터에 그룹 정책을 적용합니다.페이지 118 / 232

13. WFASSVR1 컴퓨터에서, 관리자 권한으로 명령어 창을 수행한 후, gpupdate /force를 수행합니다.14. 고급 보안이 포함된 Windows 방화벽 스냅-인을 수행합니다.15. 모니터링 -> 방화벽 부분에서, WFASSVR1 컴퓨터의 신규로 생성된 유효한 방화벽 규칙이 활성 상태임을 확인할 수 있습니다.Remote Event Log 서비스 정상 동작 확인1. CLIENT1W8 컴퓨터에서, 관리자로 로그인한 후, 시작 화면에서, 이벤트 뷰어 도구를 수행합니다.2. 이벤트 뷰어(로컬) 를 오른쪽 마우스 클릭한 후, 다른 컴퓨터에 연결을 클릭합니다.3. 컴퓨터 선택 대화 상자에서, 다른 컴퓨터 부분에 WFASSVR1을 입력한 후, 확인을 클릭합니다.4. 연결이 성공적임을 확인합니다.페이지 119 / 232

단계 5: 방화벽 로깅 보기방화벽 로깅이 활성화된 후, 서버에 대한 다양한 연결(ex, RPC 또는 Telnet)이 앞선 단계 1에서부터 단계 4까지 시도되었습니다. 또한, 이러한 연결에서 연결 성공 및 연결 차단이 방화벽 규칙에의해 발생되었습니다. 이번 단계에서, 이러한 연결 성공 및 연결 차단에 대한 로그를 확인해 보고난 후, 방화벽 로깅을 비활성화합니다.방화벽 로그 점검1. WFASSVR1 컴퓨터에서, 고급 보안이 포함된 Windows 방화벽 스냅-인을 수행합니다.2. 모니터링를 클릭한 후, 로깅 설정 부분의 파일 이름 옆에 있는 파일 경로를 클릭합니다.로그는 Notepad에서 open됩니다.3. pfirewall.log 라는 파일이 Notepad에서 open되고, 앞선 단계 1에서부터 단계 4까지 수행했던 다양한 연결 성공 및 연결 차단이 로깅 되어 있음을 확인합니다. DNS 질의 및NetBIOS 등과 같은 다양한 방화벽 연결 성공 및 연결 차단이 로그 파일에 기록되어 있음을 확인할 수 있습니다.4. 아래 예제와 유사한 항목을 로그 파일에서 찾습니다. Notepad에서, CTRL-F를 활용하여,“찾기” 메뉴에서, [space] 23 [space] 를 입력한 후 “다음 찾기” 메뉴로 항목을 검색합니다. 23이 포함된 다른 번호를 검색하지 않기 위해, 반드시 위와 같은 공백을 포함해서 검색해야 합니다.• Telnet 연결에서 23 및 25 포트로 연결 성공임을 아래와 같이 확인합니다:2009-06-09 10:10:48 ALLOW TCP 192.168.0.101 192.168.0.100 52174 23페이지 120 / 232

2009-06-09 10:15:54 ALLOW TCP 192.168.0.101 192.168.0.100 52175 25• Telnet 연결에서 25 포트로 연결 차단임을 아래와 같이 확인합니다:2009-06-09 10:28:28 DROP TCP 192.168.0.101 192.168.0.100 52180 25• Remote Event Log 연결 성공임을 아래와 같이 확인합니다:2009-06-09 10:49:59 ALLOW TCP 192.168.0.101 192.168.0.100 52191 1352009-06-09 10:50:00 ALLOW TCP 192.168.0.101 192.168.0.100 52192 491535. Notepad를 닫습니다.트러블슈팅이 필요한 경우에만, 방화벽 로깅을 활성화합니다. 다음 단계에서, 먼저 방화벽 로깅을해제하는 그룹 정책을 구성합니다.방화벽 로깅 해제1. WFASSVR1 컴퓨터에서, 그룹 정책 관리 편집기에서, Firewall Settings for WindowsServers -> 컴퓨터 구성 -> 정책 -> Windows 설정 -> 보안 설정 -> 고급 보안이 포함된 Windows 방화벽 -> 고급 보안이 포함된 Window 방화벽-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com 순서로클릭합니다.2. 고급 보안이 포함된 Window 방화벽-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com 를 오른쪽 마우스 클릭한 후, 속성을 클릭합니다..3. 도메인 프로필 탭의 로깅 부분에서 사용자 지정을 클릭합니다.페이지 121 / 232

4. 손실된 패킷 로그에 기록 부분의 값을 아니요(기본값) 으로 변경합니다.5. 성공적인 연결 로그에 기록 부분의 값을 아니요(기본값) 으로 변경합니다.6. 구성 사항을 저장하기 위하여 확인을 2번 클릭합니다.7. WFASSVR1 컴퓨터에서, 관리자 권한으로 명령어 창을 수행한 후, gpupdate /force를 수행합니다.페이지 122 / 232

Unwanted 아웃바운드 네트워크 트래픽 차단 규칙 생성기본적으로, 고급 보안이 포함된 Windows 방화벽은 모든 아웃바운드 네트워크 트래픽을 허용합니다. 특정 조직은 조직 내의 컴퓨터에서 특정 네트워크 프로그램(ex, FTP 또는 Messenger)의 사용을 금지하고 싶다면, 이러한 특정 네트워크 프로그램의 네트워크 트래픽을 차단함으로써, 사용을 금지할 수 있습니다.기본적으로, 규칙에 맞지 않는 인바운드 네트워크 트래픽은 컴퓨터에서 차단되지만, 컴퓨터에서외부로 향하는 아웃바운드 트래픽은 차단되지 않습니다. 즉, 기본적으로 모든 아웃바운드 네트워크 트래픽은 허용됩니다. 사용 금지된 프로그램의 네트워크 트래픽을 차단하기 위하여, 관리자는아웃바운드 규칙을 생성해야 합니다. 다른 방법으로, 관리자는 기본 아웃바운드 작업을 차단으로변경한 후, 특정 아웃바운드 네트워크 트래픽 허용이 필요한 특정 아웃바운드 규칙을 생성합니다.이번 단계에서, 특정 아웃바운드 규칙을 생성하는 과정을 확인합니다.페이지 123 / 232

단계 1: 기본 아웃바운드 방화벽 규칙 변경(Configuring the Default Outbound Firewall Behavior toBlock)이번 단계 1에서, 관리자는 방화벽의 기본 아웃바운드 동작을 변경합니다. 기본적으로, Windows방화벽은 모든 아웃바운드 트래픽을 허용합니다. 아웃바운드 트래픽을 제한하기 위해, 관리자는아웃바운드 허용 규칙에 맞지 않는 모든 아웃바운드 트래픽을 차단하도록 고급 보안이 포함된Windows 방화벽의 설정을 변경합니다.(중요) 실제 환경에서, 아웃바운드 트래픽 제한은 조직 내의 아웃바운드 트래픽의 요구사항을사전에 철저하게 파악한 후에 적용해야 합니다. 먼저, 파악된 아웃바운드 트래픽 요구사항을 허용하는 아웃바운드 허용 규칙을 생성해야만 합니다. 아웃바운드 트래픽 허용이 필요한 추가적인 어플리케이션을 위한 규칙을 추가적으로 생성 및 배포합니다. 또한, 이러한 아웃바운드 허용규칙을 배포하기 前 에, 반드시 事 前 테스트가 필요합니다.아래 그림은 CLIENT1W8의 기본 아웃바운드 동작을 차단으로 변경한 후, 필요한 4가지 아웃바운드 트래픽만을 허용하는 그룹 정책 적용의 개략적인 구성동입니다.Firewall Settings for Windows Clients 그룹 정책아웃바운드 규칙미리 정의된 규칙 : 핵심 네트워킹미리 정의된 규칙 : 파일 및 프린터 공유Allow Outbound lsass.exeAllow Outbound 389 from WMI Client (원격 포트 : 389)DC1.CORP.DONGCLEE.com10.0.0.1Firewall Settings for Windows Clients 그룹 정책 Windows Server 2012Secure(Trusted) ZoneFirewall Settings for Windows Clients그룹 정책아웃바운드 규칙• 미리 정의된 규칙 : 핵심 네트워킹• 미리 정의된 규칙 : 파일 및 공유프린터• %windir%\system32\lsass.exe• %windir%\system32\wbem\wmiprvse.exeCLIENT1W8.CORP.DONGCLEE.comWindows 810.0.0.xWFASSVR1.CORP.DONGCLEE.com10.0.0.91Windows Server 2012Telnet ServerCORP.DONGCLEE.com모든 아웃바운드 트래픽을 차단하도록 그룹 정책 구성페이지 124 / 232

1. WFASSVR1 컴퓨터의, 그룹 정책 관리 편집기가 수행되어 있다면, 닫습니다.2. WFASSVR1 컴퓨터에서 관리자 계정으로 로그인 한 후, 시작 화면에서, 그룹 정책 관리도구를 수행합니다.3. 왼쪽 창에서, 그룹 정책 관리 -> 포리스트: CORP.DONGLCEE.com -> 도메인 ->CORP.DOGNCLEE.com -> 그룹 정책 관리 -> Firewall Settings for Windows Clients 순서로 클릭한 후, Firewall Settings for Windows Clients를 오른쪽 마우스 클릭한 후, 편집을 클릭합니다.4. 그룹 정책 관리 편집기에서, Firewall Settings for Windows Clients -> 컴퓨터 구성 ->정책 -> Windows 설정 -> 보안 설정 -> 고급 보안이 포함된 Windows 방화벽 -> 고급 보안이 포함된 Window 방화벽-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com 순서로클릭합니다.5. 기본 아웃바운드 차단을 활성화하기 前 에, 도메인 그룹 정책을 클라이언트가 지속적으로받을 수 있도록, Core Networking 및 File and Printer Sharing 아웃바운드 규칙을 반드시 먼저 활성화해야 합니다. 로컬 방화벽 규칙이 사용되는 것을 금지하였기 때문에, 관리자는 그룹 정책에 반드시 Core Networking 및 File and Printer Sharing 아웃바운드 규칙을 포함해야만 합니다. 아웃바운드 규칙을 오른쪽 마우스 클릭한 후, 새 규칙을 클릭합니다.(경고) 실제 환경에서 이번 단계의 아웃바운드 방화벽 규칙을 적용하기 前 에, 랩 환경에서 충분히아웃바운드 방화벽 규칙을 테스트해야 합니다. 도메인 컴퓨터에서 반드시 요구되는 아웃바운드트래픽이 허용되지 않는다면, 클라이언트는 도메인 컨트롤러에 연결할 수 없어, 결과적으로 업데이트된 그룹 정책을 받을 수 없는 상황이 발생할 수 있습니다. 이러한 문제 상황을 해결하기 위한 유일한 방법은 클라이언트 컴퓨터를 도메인에서 제거하는 것입니다.페이지 125 / 232

6. 새 아웃바운드 규칙 마법사의 규칙 종류 페이지에서, 미리 정의됨을 클릭한 후, 항목 중에서 “핵심 네트워킹 (Core Networking)”을 선택 한 후, 다음을 클릭합니다.7. 미리 정의된 규칙 페이지에서, 규칙 항목을 점검하고, 모든 항목이 선택되었음을 확인 한페이지 126 / 232

후, 다음을 클릭합니다.8. 작업 페이지에서, “핵심 네트워킹 (Core Networking)” 아웃바운드 트래픽을 허용하기 위해, 연결 허용을 선택한 후, 마침을 클릭합니다.페이지 127 / 232

9. 5부터 8까지의 과정을 반복하여, File and Printer Sharing 아웃바운드 허용 규칙을 생성합니다.10. 다음으로, 방화벽을 통해 도메인 인증을 처리하기 위해 lsass.exe를 위한 아웃바운드 허용 규칙을 생성해야 합니다. 아웃바운드 규칙을 오른쪽 마우스 클릭한 후, 새 규칙을 클릭합니다.페이지 128 / 232

11. 새 아웃바운드 규칙 마법사의 규칙 종류 페이지에서, 프로그램을 클릭한 후, 다음을 클릭합니다.12. 프로그램 페이지에서, 다음 프로그램 경로 부분에 %windir%\system32\lsass.exe 를 입력한 후, 다음을 클릭합니다. %windir% 은 클라이언트 운영체제의 Windows 경로이고, %SystemRoot% 는 서버 운영체제의 Windows 경로임을 알려 드립니다.13. 작업 페이지에서, 연결 허용을 선택한 후, 다음을 클릭합니다.페이지 129 / 232

14. 프로필 페이지에서, 개인 및 공용 체크 상자를 해제하고, 도메인이 선택되었음을 확인 한후, 다음을 클릭합니다.15. 이름 페이지에서, Allow Outbound lsass.exe 를 입력한 후, 마침을 클릭합니다.16. 현재 운영 중인 그룹 정책 개체에 WMI 필터를 사용했다면, WMI 필터에 관한 정보를도메인 컨트롤러에 질의할 수 있도록, 클라이언트 WMIPrvSE.exe 프로그램의 아웃바운드트래픽을 허용하는 아웃바운드 규칙을 반드시 생성해야 합니다. 아웃바운드 규칙을 오른쪽 마우스 클릭한 후, 새 규칙을 클릭합니다.17. 새 아웃바운드 규칙 마법사의 규칙 종류 페이지에서, 사용자 지정을 클릭한 후, 다음을클릭합니다.페이지 130 / 232

18. 프로그램 페이지에서, 다음 프로그램 경로 부분에 %windir%\system32\wbem\wmiprvse.exe 를 입력한 후, 다음을 클릭합니다. 본프로그램의 경우에 어떠한 customize가 필요하지 않다.19. 프로토콜 및 포트 페이지에서, 프로토콜 종류에서, TCP를 클릭합니다. 프로토콜 번호가자동적으로 6으로 변경됨을 유념해야 합니다. 원격 포트 항목에서, 특정 포트 클릭한 후,389를 입력한 후, 다음을 클릭합니다.페이지 131 / 232

20. 범위 페이지에서, 다음을 클릭합니다.21. 작업 페이지에서, 연결 허용을 선택한 후, 다음을 클릭합니다.22. 프로필 페이지에서, 개인 및 공용 체크 상자를 해제하고, 도메인이 선택되었음을 확인 한후, 다음을 클릭합니다.23. 이름 페이지에서, Allow Outbound 389 from WMI Client 를 입력한 후, 마침을 클릭합니다.24. 앞서 총 4종류(ex, 핵심 네트워킹, 파일 및 프린터 공유, lsass.exe 및 WmiPrvSE.exe)의 필요한 아웃바운드 허용 규칙을 생성했으므로, 이제 기본 아웃바운드 차단 규칙을 활성화해야 합니다. 그룹 정책 관리 편집기에서, Firewall Settings for Windows Clients -> 컴퓨터 구성 -> 정책 -> Windows 설정 -> 보안 설정 -> 고급 보안이 포함된 Windows페이지 132 / 232

방화벽 -> 고급 보안이 포함된 Window 방화벽-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com 순서로클릭한 후, Windows 방화벽 속성을 클릭합니다.25. 도메인 프로필 탭에서, 아웃바운드 연결 값을 차단으로 변경한 후, 확인을 클릭합니다.페이지 133 / 232

수정된 그룹 정책 배포 및 테스트1. CLIENT1W8 컴퓨터에 관리자로 로그인 한 후, 관리자 권한으로 명령어 창을 수행한 후,gpupdate /force 를 수행합니다.2. 관리자 권한으로 명령어 창을 수행한 후, telnet WFASSVR1를 수행합니다.페이지 134 / 232

3. Core Networking 및 File and Printer Sharing 네트워크 트래픽을 제외한 모든 아웃바운드 트래픽이 차단되기 때문에, 위 명령어 결과는 실패합니다.페이지 135 / 232

단계 2: 아웃바운드 규칙을 사용하여 특정 프로그램의 아웃바운드 네트워크 트래픽 허용앞선 단계 1에서, 핵심 네트워킹, 파일 및 프린터 공유, lsass.exe 및 WmiPrvSE.exe 를 제외한 모든 아웃바운드 네트워크 트래픽을 허용하지 않았기 때문에, CLIENT1W8 컴퓨터는 Telnet 아웃바운드 트래픽이 차단되었습니다. 이제 CLIENT1W8 컴퓨터에서 Telnet 클라이언트 프로그램을 다시사용할 수 있도록, TCP 포트 23에 대한 아웃바운드 허용 규칙을 생성합니다. 아래 그림은CLIENT1W8 클라이언트 컴퓨터에서 앞서 생성한 총 4가지 아웃바운드 규칙 이외에, Telnet과 같은특정 프로그램의 아웃바운드 트래픽을 허용하는 규칙에 대한 개략적인 구성도입니다.Firewall Settings for Windows Clients 그룹 정책아웃바운드 규칙미리 정의된 규칙 : 핵심 네트워킹미리 정의된 규칙 : 파일 및 프린터 공유Allow Outbound lsass.exeAllow Outbound 389 from WMI Client (원격 포트 : 389)Allow Outbound Telnet TCP 23 (원격 포트 : 23)DC1.CORP.DONGCLEE.com10.0.0.1Firewall Settings for Windows Clients 그룹 정책 Windows Server 2012Secure(Trusted) ZoneCLIENT1W8.CORP.DONGCLEE.comWindows 810.0.0.xFirewall Settings for Windows Clients그룹 정책아웃바운드 규칙• 미리 정의된 규칙 : 핵심 네트워킹• 미리 정의된 규칙 : 파일 및 공유프린터• %windir%\system32\lsass.exe• %windir%\system32\wbem\wmiprvse.exe• %windir%\system32\telnet.exetelnet WFASSVR1성공CORP.DONGCLEE.comWFASSVR1.CORP.DONGCLEE.com10.0.0.91Windows Server 2012Telnet ServerTCP 포트 23에 대한 아웃바운드 허용 규칙 생성1. WFASSVR1 컴퓨터에서 관리자 계정으로 로그인 한 후, 시작 화면에서, Group PolicyManagement 도구를 수행합니다.2. 왼쪽 창에서, Group Policy Management -> Forest: CORP.DONGLCEE.com -> Domains-> CORP.DOGNCLEE.com -> Group Policy Objects -> Firewall Settings for WindowsClients 순서로 클릭한 후, Firewall Settings for Windows Clients를 오른쪽 마우스 클릭한 후, 편집을 클릭합니다.3. 그룹 정책 관리 편집기에서, Firewall Settings for Windows Clients -> 컴퓨터 구성 ->정책 -> Windows 설정 -> 보안 설정 -> 고급 보안이 포함된 Windows 방화벽 -> 고페이지 136 / 232

급 보안이 포함된 Window 방화벽-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com 순서로클릭합니다.4. 아웃바운드 규칙을 오른쪽 마우스 클릭한 후, 새 규칙을 클릭합니다.5. 새 아웃바운드 규칙 마법사의 규칙 종류 페이지에서, 사용자 지정을 클릭한 후, 다음을클릭합니다.6. 프로그램 페이지에서, 다음 프로그램 경로 부분에 %windir%\system32\telnet.exe를 입력한 후, 다음을 클릭합니다.7. 프로토콜 및 포트 페이지에서, 프로토콜 종류에서, TCP를 클릭합니다. 프로토콜 번호가자동적으로 6으로 변경됨을 유념해야 합니다. 원격 포트 항목에서, 특정 포트 클릭한 후,23를 입력한 후, 다음을 클릭합니다.페이지 137 / 232

8. 범위 페이지에서, 다음을 클릭합니다.9. 작업 페이지에서, 연결 허용을 선택한 후, 다음을 클릭합니다.10. 프로필 페이지에서, 개인 및 공용 체크 상자를 해제하고, 도메인이 선택되었음을 확인 한후, 다음을 클릭합니다.11. 이름 페이지에서, Allow Outbound Telnet TCP 23 를 입력한 후, 마침을 클릭합니다.변경된 아웃바운드 허용 규칙의 배포 및 테스트1. CLIENT1W8 컴퓨터에 관리자로 로그인 한 후, 관리자 권한으로 명령어 창을 수행한 후,gpupdate /force 를 수행합니다.2. 관리자 권한으로 명령어 창을 수행한 후, telnet WFASSVR1를 수행합니다.3. TCP 포트 23 트래픽이 클라이언트 방화벽을 통해 아웃바운드 통신이 허용되기 때문에,이 연결은 성공할 것입니다. 물론, WFASSVR1 서버 방화벽에는 Telnet 트래픽의 인바운드트래픽을 허용하는 방화벽 규칙이 구성되어 있습니다.페이지 138 / 232

4. Telnet 세션을 종료하기 위해 exit를 입력한 후, ENTER를 누릅니다.WFASSVR1 서버의 기본 아웃바운드 방화벽 동작 복구1. WFASSVR1 서버에서, 그룹 정책 관리 편집기에서, Firewall Settings for WindowsClients -> 컴퓨터 구성 -> 정책 -> Windows 설정 -> 보안 설정 -> 고급 보안이 포함된 Windows 방화벽 -> 고급 보안이 포함된 Window 방화벽-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com 순서로클릭합니다. 고급 보안이 포함된 Window 방화벽-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com 를 오른쪽 마우스 클릭한 후, 속성을 클릭합니다.2. 도메인 프로필 탭에서, 아웃바운드 연결 값을 허용(기본값)으로 변경한 후, 확인을 클릭합니다.3. CLIENT1W8 컴퓨터에 관리자로 로그인 한 후, 관리자 권한으로 명령어 창을 수행한 후,gpupdate /force 를 수행합니다.4. CLIENT1W8 컴퓨터에서, 고급 보안이 포함된 Windows 방화벽 스냅-인을 수행한 후, 로컬 컴퓨터의 고급 보안이 포함된 Windows 방화벽을 클릭한 후, 도메인 프로필 부분에서,규칙과 일치하지 않는 아웃바운드 연결이 허용됩니다 가 활성화(녹색 체크 서클)되어 있음을 확인할 수 있습니다.페이지 139 / 232

페이지 140 / 232

기본 Domain Isolation 정책 배포고급 보안이 포함된 Windows 방화벽 도구를 사용하면, 네트워크 트래픽을 IPsec 기능으로 보호할 수 있는 “연결 보안 규칙 (Connection Security Rule)”을 생성할 수 있습니다. DomainIsolation 환경에서, IPsec 인증 (Authentication) 기능을 사용하여, 원본 컴퓨터 및 대상 컴퓨터의신분을 확인한 후에, 안전하게 네트워크 연결을 할 수 있습니다. 즉, 네트워크 연결의 원본 및 대상 컴퓨터의 신분이 확인되지 않으면, 네트워크 연결을 할 수 없습니다.도메인 멤버 컴퓨터들에 의해 인증을 요구하는 연결 보안 규칙을 생성함으로써, 도메인 멤버가아닌 컴퓨터들이 도메인 멤버 컴퓨터에 연결할 수 없는 “Domain Isolation”을 효율적으로 구성할수 있습니다.Domain Isolation 환경 내의 컴퓨터들은 인바운드 연결을 위한 인증이 요구됩니다. 반면에, 아웃바운드 연결을 위해, 관리자는 전형적으로 “IPsec 보호(Protection)”를 “요구(Require)”하지 않고,“요청(Request)”하는 옵션을 사용합니다. IPsec을 사용할 수 있는 대상 컴퓨터와 통신할 때, 원본컴퓨터는 트래픽을 보호할 수 있는 IPsec 통신을 사용합니다. 반면에, IPsec을 사용할 수 없는 대상 컴퓨터와 통신할 때, 원본 컴퓨터는 트래픽이 보호되지 않는 IPsec 통신이 아닌 plaintext 통신을 사용합니다. Windows XP 및 초기 버전의 운영체제를 사용하면, IPsec 통신을 시도하고 3초가지난 후에, plaintext 통신을 사용합니다. 그러나, 어떤 서비스는 3초 보다 적은 시간에 응답 timeout이발생하여, 결과적으로 통신이 실패할 수도 있습니다. 즉, IPsec을 사용하는 컴퓨터는 3초 동안 IPsec을 사용하지 않는 컴퓨터와 IPsec 통신을 시도합니다. 3초가 지난 후에, IPsec 통신이 가능하지 않다면, plaintext 통신을 사용하여 네트워크 연결을 합니다. 그러나, 3초 내에 응답 timeout이발생하는 특정 서비스는 plaintext 통신을 사용하지도 못 하고 결국 네트워크 연결이 실패합니다. Windows 초기 버전에서, 인증할 수 없는 서비스 또는 서버를 지원하기 위한 상당히 많은아웃바운드 배제(exemption) 규칙을 생성해야 하는 부담이 발생합니다. 이러한 문제점을 해결하기위해, Microsoft는 Windows Server 2003 및 Windows XP를 위한 Simple Policy Update를 제공합니다. 이러한 업데이트는 IPsec 보호된 클라이언트 와 IPsec 비보호된 클라이언트 사이의 IPsec 통신시도 지연 시간을 1.5초 줄입니다. Windows Server 2003 및 Windows XP를 위한 Simple PolicyUpdate에 관한 정보는 “Simplifying IPsec Policy with the Simple PolicyUpdate( http://go.microsoft.com/fwlink/?LinkID=94767 )” 링크를 참조합니다.Windows Server 2003 및 Windows XP 이후의 운영체제에서, 더 이상의 업데이트가 필요하지 않습니다. 관리자가 Windows Vista 및 그 이후의 운영체제에서 요청(Request) 모드를 사용할 때,Windows 원본 및 대상 컴퓨터는 동시에 연결 시도를 보냅니다. 대상 호스트가 IPsec 통신으로응답한다면, IPsec 통신이 아닌 시도는 거절됩니다. IPsec 요청(Request)이 어떠한 응답도 생성되지않는다면, IPsec 통신이 아닌 시도는 계속 진행됩니다.이러한 기능은 대부분의 프로그램에서 발생할 수 있는 time-out 실패 문제를 줄이거나 제거합니다. 그러나, 여전히 특정 컴퓨터들 사이에서 IPsec으로 통신하지 않도록 설정할 필요가 있습니다.이러한 환경에서, 클라이언트들의 위한 “인증 배제 규칙(Authentication Exemption Rule)”을 생성합니다. 즉, 이러한 인증 배제 규칙이 컴퓨터 상에서 활성화되면, 컴퓨터들은 더 이상 IPsec 통신페이지 141 / 232

을 사용하지 않습니다.“기본 Domain Isolation 정책 배포” 단계에서, 도메인 컴퓨터들이 “인바운드 네트워크 트래픽을위한 인증 요구” 및 “아웃바운드 네트워크 트래픽을 위한 인증 요청”을 사용할 수 있도록 “연결보안 규칙”을 생성합니다.(중요) 아웃바운드 허용 규칙과 부합하지 않는 트래픽을 차단하도록 구성된 기본 아웃바운드 동작이 설정되어 있다면, 관리자는 아웃바운드 IPsec 네트워크 트래픽을 허용하는 규칙을 생성해야 합니다.페이지 142 / 232

단계 1: 인증 요청(authentication Request) 연결 보안 규칙 생성단계 1에서, CORP.DONGCLEE.com 도메인 내의 모든 도메인 멤버 컴퓨터들이 인바운드 네트워크트래픽을 시도할 때, 인증 요구를 하고, 아웃바운드 네트워크 트래픽을 시도할 때, 인증 요청하도록 연결 보안 규칙을 생성합니다. 테스트를 진행하기 위해, 먼저 인바운드 인증을 요청하도록GPO를 구성하고, 후에 인바운드 인증을 요구하도록 GPO를 업데이트 합니다.Specifying the IPsec algorithms to use단순함을 위해, 다음 절차에서 생성하는 규칙은 기본 IPsec 주(Main) 모드 및 빠른(Quick) 모드 설정을 사용합니다. 기본 IPsec 주 모드 및 빠른 모드는 IPsec 통신 협상(negotiation)에 포함되는 무결성(integrity) 및 암호화(encryption) 알고리즘의 적절한 조합을 지정합니다. 그러나, Windows는특정 네트워크 연결을 위해 사용되는 특정 주 모드 및 빠른 모드 구성을 위한 유연한 많은 방법을 제공합니다. IPsec 통신을 하고자 하는 모든 컴퓨터들은 공통적으로 적어도 하나의 알고리즘을지원합니다. 관리자가 알고리즘의 특정 조합을 사용해야 한다면, 다음 방법 중의 하나를 수행합니다:• 전역 IPsec 기본값 변경 : 특정 그룹 정책에서, 고급 보안이 포함된 Windows 방화벽의속성 페이지에서, IPsec 설정 탭의 IPsec 기본값 부분에서, 사용자 지정을 클릭합니다. 주모드(키 교환)와 빠른 모드(데이터 보호) SA(Security Association, 보안 연결)를 위한 보호협상에 사용되는 알고리즘을 구성합니다. 또한, 가용한 인증 옵션(인증 방법)도 구성합니다.페이지 143 / 232

• 특정 빠른 모드 설정을 사용한 연결 보안 규칙 생성 : netsh advfirewall consec addrule 명령어를 사용함으로써, 특정 빠른 모드 알고리즘 조합을 포함하는 연결 보안 규칙을 생성할 수 있습니다. 관리자는 연결 보안 규칙에서 알고리즘을 지정한다면, 전역IPsec 기본값 설정 대신에 지정한 로컬 알고리즘을 사용합니다. qmsecmethods 인자를사용합니다. Windows 7 및 Windows Server 2008 R2에 추가된 하나의 빠른 모드 옵션은“Null encapsulation” 입니다. 이 옵션은 네트워크 패킷 내에서 어떠한 무결성 보호 기능을 지원하지 않는 것입니다. 데이터 압축을 사용하기 위해 어떠한 AH 또는 ESP 헤더를사용하지 않습니다. 이 옵션은 AH 또는 ESP와 호환이 되지 않는 네트워크 장비 및 소프트웨어를 위해 지원됩니다. 전역 IPsec 기본 설정(권장되지 않음) 또는 연결 보안 규칙중에서 한 가지 방법을 사용하여 Null Encapsulation의 사용을 지정합니다.(주의) 고급 보안이 포함된 Windows 방화벽 스냅-인을 사용하여, 특정 빠른 모드 설정을 포함한 연결 보안 규칙을 생성할 수 없습니다. 사용자 지정 빠른 모드 설정을 사용한연결 보안 규칙을 생성하기 위해, 다음 Netsh AdvFirewall Consec Commands(http://go.microsoft.com/fwlink/?linkid=157374) 링크를 참조합니다.• 주 모드 규칙 생성 : Windows 7 및 Windows Server 2008 R2에서, 주 모드 암호화, 무결성 및 인증 설정을 지정하는 연결 보안 규칙을 생성할 수 있습니다. 주 모드 규칙에 일치하는 연결은 “연결 보안 규칙에 지정된 설정 또는 전역 IPsec 기본 설정”을 사용하는대신에, 주 모드 규칙 설정을 사용합니다. 주 모드 규칙을 생성하기 위해, netshadvfirewall mainmode add rule 명령어를 사용합니다. 더 자세한 정보는 다음 NetshAdvFirewall MainMode Commands (http://go.microsoft.com/fwlink/?linkid=147508) 링크를 참조합니다.페이지 144 / 232

Firewall and Connection Security integration방화벽 기능과 IPsec이 통합된 가장 큰 장점은 방화벽 규칙에 가용한 추가적인 옵션이 다양하다는 것입니다. Windows Vista 및 이후의 운영체제에서, 다음 범주에 기반한 네트워크 트래픽을 필터하는 방화벽 규칙을 생성할 수 있습니다:• Allow the connection if it is authenticated and integrity-protected : 이 방화벽 규칙에일치하는 네트워크 트래픽은 IPsec 연결 보안 규칙에 의해 보호됩니다. 해당 연결 내의네트워크 패킷 무결성 보호를 위해, AH 또는 ESP 알고리즘의 사용 및 연결 인증을 요구하는 IPsec 연결 보안 규칙입니다.• Require the connection to be encrypted : 이 옵션과 일치하는 네트워크 트래픽은 ESP압축 암호화로 구성된 IPsec 연결 보안 규칙을 사용하여 암호화됩니다. 또한, 이 네트워크 트래픽은 인증되고 무결성도 보장됩니다.• Allow the connection to use null encapsulation : 주 모드 협상 및 인증이 완료된 후,빠른 모드 SA는 더 이상 AH 또는 ESP 압축을 요구하지 않습니다. 그러므로, 연결을 위한 데이터 스트림은 무결성 보호 패킷을 받을 수 없습니다. 이 옵션은 AH 또는 ESP와호환되지 않는 네트워크 장비 또는 소프트웨어의 호환성을 위해 제공됩니다.아래 그림은 먼저 Domain Isolation 그룹 정책을 생성한 개략적인 구성도입니다.Domain Isolation 그룹 정책 생성연결 보안 규칙Request Inbound Request OutboundDomain Isolation 그룹 정책DC1.CORP.DONGCLEE.com10.0.0.1Windows Server 2012Secure(Trusted) ZoneDomain Isolation그룹 정책연결 보안 규칙Request Inbound Request Outbound“인바운드 및 아웃바운드 연결에 대한 인증 요청”CLIENT1W8.CORP.DONGCLEE.comWindows 810.0.0.xCORP.DONGCLEE.comWFASSVR1.CORP.DONGCLEE.com10.0.0.91Windows Server 2012Telnet Server페이지 145 / 232

Domain Isolation을 위한 신규 GPO 생성1. WFASSVR1 컴퓨터에서, 관리자로 로그인한 후, 시작 화면에서, 그룹 정책 관리 도구를수행합니다. 왼쪽 창에서, 그룹 정책 관리 -> 포리스트: CORP.DONGLCEE.com -> 도메인 -> CORP.DOGNCLEE.com -> 그룹 정책 개체 순서로 클릭합니다. 그룹 정책 개체를오른쪽 마우스 클릭한 후, 새로 만들기를 클릭합니다..2. 새 GPO 대화 상자의, 이름 부분에 Domain Isolation을 입력한 후, 확인을 클릭합니다.3. Domain Isolation 그룹 정책을 오른쪽 마우스 클릭한 후, 편집을 클릭합니다.4. 그룹 정책 관리 편집기에서, Domain Isolation [Domain Controller 이름]을 오른쪽 마우스 클릭한 후, 속성을 클릭합니다.페이지 146 / 232

5. 사용자 구성 설정 사용 안 함을 선택한 후, 확인 대화 상자에서 예를 클릭한 후, 확인을클릭합니다. 이 그룹 정책은 오로지 컴퓨터 만을 위한 설정만을 포함하기 때문에, 그룹정책의 성능 향상을 위해 필요한 설정입니다..6. 그룹 정책 관리 편집기의 왼쪽 창에서, Domain Isolation -> 컴퓨터 구성 -> 정책 ->Windows 설정 -> 보안 설정 -> 고급 보안이 포함된 Windows 방화벽 -> 고급 보안이포함된 Window 방화벽-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com -> 연결보안 규칙 순서로 클릭합니다.7. 연결 보안 규칙을 오른쪽 마우스 클릭한 후, 새 규칙을 클릭합니다.8. 새 연결 보안 규칙 마법사의 규칙 종류 페이지에서, 격리를 클릭한 후, 다음을 클릭합니다.페이지 147 / 232

9. 요구 사항 페이지에서, “인바운드 및 아웃바운드 연결을 위한 인증 요청 (Requestauthentication for inbound and outbound connections)”을 선택한 후, 다음을 클릭합니다.10. 인증 방법 페이지에서, “컴퓨터 및 사용자(Kerberos V5) (Computer and user(Kerberos V5))”을 선택한 후, 다음을 클릭합니다.페이지 148 / 232

11. 프로필 페이지에서, 개인 및 공용 체크 상자를 해제하고, 도메인이 선택되었음을 확인 한후, 다음을 클릭합니다.12. 이름 페이지에서, Request Inbound Request Outbound 를 입력한 후, 마침을 클릭합니다.페이지 149 / 232

페이지 150 / 232

단계 2: 연결 보안 규칙 배포 및 테스팅단계 2에서, 앞서 구성한 Domain Isolation 그룹 정책을 배포하고 테스트합니다. 컴퓨터 계정을포함하는 OU에 연결 보안 규칙을 포함한 Domain Isolation 그룹 정책을 연결합니다. 그룹 정책이정상적으로 연결된 후, 연결 보안 규칙을 사용한 연결성을 테스트하고, 이러한 연결에서 발생하는IPsec SA(Security Association)를 확인해 본다. 아래 그림은 Domain Isolation 그룹 정책을CLIENT1W8 및 WFASSVR1 컴퓨터에 적용한 후, Telnet 트래픽에 대한 인증 요청을 처리하는 개략적인 구성동입니다.Domain Isolation 그룹 정책 생성연결 보안 규칙Request Inbound Request OutboundDomain Isolation 그룹 정책DC1.CORP.DONGCLEE.com10.0.0.1Windows Server 2012Secure(Trusted) ZoneDomain Isolation그룹 정책연결 보안 규칙Request Inbound Request Outbound“인바운드 및 아웃바운드 연결에 대한 인증 요청”CLIENT1W8.CORP.DONGCLEE.comWindows 810.0.0.xIPsec 터널 인증 요청telnet WFASSVR1성공CORP.DONGCLEE.comWFASSVR1.CORP.DONGCLEE.com10.0.0.91Windows Server 2012Telnet ServerMyClientComputers 및 MyMemberServers OU에 Domain Isolation 그룹 정책 연결1. WFASSVR1 컴퓨터에서, 관리자로 로그인한 후, 시작 화면에서, 그룹 정책 관리 도구를수행합니다.2. 왼쪽 창에서, 그룹 정책 관리 -> 포리스트: CORP.DONGLCEE.com -> 도메인 ->CORP.DOGNCLEE.com -> MyClientComputers 순서로 클릭합니다. MyClientComputers를 오른쪽 마우스 클릭한 후, 기존 GPO 연결을 클릭합니다.3. GPO 선택 대화 상자에서, 그룹 정책 개체 항목의 Domain Isolation을 선택한 후, 확인을 클릭합니다.페이지 151 / 232

4. MyMemberServers를 오른쪽 마우스 클릭한 후, 기존 GPO 연결을 클릭합니다.5. GPO 선택 대화 상자에서, 그룹 정책 개체 항목의 Domain Isolation을 선택한 후, 확인을 클릭합니다.(중요) 도메인 컨트롤러에는 Domain Isolation 그룹 정책을 적용하지 않습니다.WFASSVR1 서버 및 CLIENT1W8 클라이언트에 그룹 정책 적용 및 테스트1. WFASSVR1 및 CLIENT1W8 컴퓨터에 관리자로 로그인 한 후, 관리자 권한으로 명령어창을 수행한 후, gpupdate /force 를 수행합니다.2. CLIENT1W8 컴퓨터에서, 관리자 권한으로 명령어 창을 수행한 후, telnet WFASSVR1를수행합니다. Telnet 연결이 성공함을 확인할 수 있습니다. 아직 Telnet 세션을 끝내지 않습니다.페이지 152 / 232

3. 고급 보안이 포함된 Windows 방화벽 스냅-인을 수행합니다.4. 모니터링 -> 보안 연결 순서로 확장한 후, 주 모드를 클릭합니다.5. 주 모드 창에서, 보여지는 보안 연결 항목을 더블-클릭합니다.6. 로컬 컴퓨터인 CLIENT1W8와 원격 컴퓨터인 WFASSVR1 서버 사이의 협상 항목의 설정을 점검합니다. 보여지는 알고리즘은 CLIENT1W8 및 WFASSVR1 컴퓨터의 운영체제에 따라 다양합니다.CLIENT1W87. 확인을 클릭합니다.8. 빠른 모드를 클릭한 후, 보여지는 보안 연결 항목을 더블-클릭합니다.페이지 153 / 232

9. 임의의 프로토콜을 사용하여 연결된 2개의 컴퓨터 사이의 임의의 트래픽은ESP(Encapsulating Security Payload) 무결성 알고리즘 SHA(Secure Hash Algorithm)-1를통하여 보호됨을 점검합니다. ESP 무결성은 암호로 보호된 checksum을 사용하여, 패킷이보내진 후, 원격 호스트에 도착할 때까지 패킷이 네트워크 상에서 변경되지 않았음을 확인할 수 있습니다. 무결성 테스트에서 실패된 임의의 패킷은 자동적으로 차단됩니다.10. Telnet 세션을 종료하기 위하여 exit를 입력합니다.페이지 154 / 232

페이지 155 / 232

단계 3: 인증 요구(Authentication Require)를 위한 Isolation 규칙 변경이번 단계 3에서, 앞서 단계 2에서 생성했던 연결 보안 규칙을 수정합니다. 인증 요청(Request)으로 구성된 연결 보안 규칙 대신에, 인증 요구(Require)로 연결 보안 규칙을 수정합니다. 인증 요구로 변경 작업을 완료 한 후, 인증되지 않거나 트래픽 인증을 위한 연결 보안 규칙이 없는 클라이언트는 도메인 멤버 컴퓨터와 더 이상 통신을 할 수 없습니다.(경고) 실제 환경에서, 먼저, 연결 보안 규칙에서 IPsec 설정이 인증 요청으로 설정하여, 모든 크클라이언트와 서버의 통신이 정상적임을 확인한 후에, IPsec 설정을 인증 요구로 변경하는 작업을 수행합니다. IPsec 설정이 인증 요청으로 구성되었을 때, 통신이 정상적이지 않음을 확인하기전에 인증 요구로 변경한다면, 의도치 않게 컴퓨터들이 네트워크 통신이 되지 않을 수도 있습니다.CLIENT1W8 및 WFASSVR1 도메인 멤버들의 Telnet 통신에 대한 “인바운드 연결 인증 요구” 및“아웃바운드 연결 인증 요청”의 개략적인 구성도입니다.Domain Isolation 그룹 정책 생성연결 보안 규칙Require Inbound Request OutboundDomain Isolation 그룹 정책DC1.CORP.DONGCLEE.com10.0.0.1Windows Server 2012Secure(Trusted) ZoneDomain Isolation그룹 정책연결 보안 규칙Require Inbound Request Outbound“인바운드 연결에 대한 인증 필요 및 아웃바운드 연결에 대한 인증 요청”아웃바운드 IPsec 터널 인증 요청CLIENT1W8.CORP.DONGCLEE.comWindows 810.0.0.xtelnet WFASSVR1성공CORP.DONGCLEE.com인바운드 IPsec 터널 인증 요구WFASSVR1.CORP.DONGCLEE.com10.0.0.91Windows Server 2012Telnet Server인증 요청에서 인증 요구로 정책 변경1. WFASSVR1 컴퓨터의 그룹 정책 관리 편집기를 수행합니다.2. 그룹 정책 관리 편집기의 왼쪽 창에서, Domain Isolation -> 컴퓨터 구성 -> 정책 ->페이지 156 / 232

Windows 설정 -> 보안 설정 -> 고급 보안이 포함된 Windows 방화벽 -> 고급 보안이포함된 Window 방화벽-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com -> 연결보안 규칙 순서로 클릭합니다. 결과 창에서, “Request Inbound Request Outbound”를 오른쪽 마우스 클릭한 후, 속성을 클릭합니다.3. “Request Inbound Request Outbound 속성” 대화 상자의 이름 부분을 “RequireInbound Request Outbound”로 변경합니다.4. 인증 탭을 클릭합니다.페이지 157 / 232

5. 요구 사항 부분에서, 인증 모드를 “인바운드 및 아웃바운드 요청 (Request InboundRequest Outbound)”에서 “인바운드 필요 및 아웃바운드 요청 (Require inbound andrequest outbound)”으로 변경한 후, 확인을 클릭합니다.(주의) Require inbound and outbound 옵션으로 본 문서에서 테스트하더라도, 실제 환경에서outbound 인증 요구는 통상적으로 사용하지 않습니다. 종종 도메인 멤버 컴퓨터는 원격지 웹 사이트와 같은 도메인 멤버가 아닌 컴퓨터와 통신이 필요할 수도 있기 때문에, outbound 인증 요구는 사용하지 않습니다,이번 테스트에서 여전히 인증이 요구되더라도, 컴퓨터가 정상적으로 통신이 됨을 확인합니다.페이지 158 / 232

수정된 인증 요구 그룹 정책 테스트1. WFASSVR1 및 CLIENT1W8 컴퓨터에 관리자로 로그인 한 후, 관리자 권한으로 명령어창을 수행한 후, gpupdate /force 를 수행합니다.2. CLIENT1W8 컴퓨터에서, 관리자 권한으로 명령어 창을 수행한 후, telnet WFASSVR1를수행합니다. Telnet 연결이 성공함을 확인할 수 있습니다.3. Telnet 세션을 종료하기 위하여 exit를 입력합니다.페이지 159 / 232

단계 4: Domain Isolation 규칙을 적용 받지 않는 컴퓨터의 Isolation 테스트도메인 멤버가 아닌 컴퓨터를 흉내내기 위해, CLIENT1W8 컴퓨터가 포함된 OU에서 DomainIsolation 그룹 정책을 제거한 후, telnet 연결을 다시 시도합니다. 아래 그림은 CLIENT1W8 도메인클라이언트에 Domain Isolation 그룹 정책을 적용하지 않음으로써, Telnet WFASSVR1 연결이 실패함을 확인하는 개략적인 구성도입니다. 즉, WFASSVR1 서버에 telnet 연결에 대한 인바운드 트래픽은 인증 요구가 필요한 그룹 정책이 적용되어 있으므로, 인증 요구 정책이 적용되지 않음CLIENT1W8 컴퓨터는 telnet 연결이 실패합니다.Domain Isolation 그룹 정책 생성연결 보안 규칙Require Inbound Request OutboundDomain Isolation 그룹 정책DC1.CORP.DONGCLEE.com10.0.0.1Windows Server 2012Secure(Trusted) ZoneDomain Isolation그룹 정책연결 보안 규칙Require Inbound Request Outbound“인바운드 연결에 대한 인증 필요 및 아웃바운드 연결에 대한 인증 요청”CLIENT1W8.CORP.DONGCLEE.comWindows 810.0.0.xtelnet WFASSVR1실패CORP.DONGCLEE.com인바운드 IPsec 터널 인증 요구WFASSVR1.CORP.DONGCLEE.com10.0.0.91Windows Server 2012Telnet ServerCLIENT1W8에서 그룹 정책 제거1. WFASSVR1 컴퓨터의 그룹 정책 관리 도구를 수행합니다.2. MyClientComputers 하위의 Domain Isolation를 오른쪽 마우스 클릭한 후, 링크를 비활성화하기 위해 “Link Enabled”를 클릭합니다.페이지 160 / 232

다음 절차에서, CLIENT1W8에서 그룹 정책을 업데이트 한 후, 다시 Telnet 서버를 연결합니다.CLEINT1W8에 변경된 그룹 정책 테스트1. CLIENT1W8 컴퓨터에 관리자로 로그인 한 후, 관리자 권한으로 명령어 창을 수행한 후,gpupdate /force 를 수행합니다.2. CLIENT1W8 컴퓨터에서, 관리자 권한으로 명령어 창을 수행한 후, telnet WFASSVR1를수행합니다. Telnet 연결이 실패함을 확인할 수 있습니다. Telnet 요청에 대해서 어떠한응답도 받지 못 했기 때문에, Telnet 연결을 실패합니다. WFASSVR1 서버는 연결을 시도하는 임의의 원격 컴퓨터의 인증을 요구하지만, CLIENT1W8 컴퓨터는 인증을 제공하지못 하기 때문에, WFASSVR1 서버에 들어오는 모든 incoming 패킷은 차단됩니다.다음 절차에서, 다음 번 테스트를 위해 CLIENT1W8 컴퓨터에 Domain Isolation 그룹 정책을 다시적용합니다.CLIENT1W8에 다시 그룹 정책 적용페이지 161 / 232

1. WFASSVR1 컴퓨터의 그룹 정책 관리 도구에서, MyClientComputers 하위의 DomainIsolation를 오른쪽 마우스 클릭한 후, 링크를 비활성화하기 위해 “Link Enabled”를 클릭합니다.2. 다시 한 번 “CLEINT1W8에 변경된 그룹 정책 테스트” 과정을 수행하면, 이제 정상적으로다시 Telnet 연결이 성공임을 확인할 수 있습니다.페이지 162 / 232

단계 5: 도메인 멤버가 아닌 컴퓨터를 위한 Exemption 규칙 생성이번 단계에서, 앞서 구성한 Domain Isolation 그룹 정책에 추가적으로 Domain Isolation 인증 요구의 예외 사항을 구성합니다. 즉, 예를 들어, 네트워크 상의 모든 DNS 서버에 대해서는 인증 요구를 하지 않도록 Domain Isolation 그룹 정책을 수정합니다. 이 DNS 배제 규칙을 생성하게 되면,이 규칙을 적용 받는 컴퓨터들의 TCP/IP 속성의 DNS 서버와 클라이언트는 인증 요구를 하지 않고, 통신할 수 있습니다.(주의) 이 단계에서 DNS 서버는 간단한 예제 대상입니다. 네트워크 상에 컴퓨터들이 WindowsVista 또는 그 이후 버전이거나 “Windows Server 2003 및 Windows XP를 위한 Simple PolicyUpdate( http://go.microsoft.com/fwlink/?LinkID=94767 )”가 수행되는 컴퓨터라면, 관리자는 실제환경에서 DNS 배제 규칙을 추가 구성할 필요가 없습니다. 최소의 배제 규칙은 관리적인 측면에서 가장 좋은 고급 방화벽 운영 규정입니다. 정확하게 필요한 배제 규칙만을 생성하는 것이관리의 중요한 점입니다.위 도메인 멤버 및 클라이언트 컴퓨터들의 자신의 로컬 DNS 서버에 대한 통신에 대해서는 IPsec인증 요구가 필요하지 않습니다. 아래 그림은 이에 대한 개략적인 구성도입니다.Domain Isolation 그룹 정책 생성연결 보안 규칙Exempt DNS servers from domain isolationDomain Isolation 그룹 정책DC1.CORP.DONGCLEE.com10.0.0.1Windows Server 2012Secure(Trusted) ZoneDomain Isolation그룹 정책연결 보안 규칙Exempt DNS servers from domain isolation“DNS 서버에 대한 인증 필요 제외”DNS 서버로의 모든 IPsec 인증이 더 이상 필요하지 않음그러나, 여전히 다른 도메인 멤버들 사이는 IPsec 인증 필요CLIENT1W8.CORP.DONGCLEE.comWindows 810.0.0.xCORP.DONGCLEE.comWFASSVR1.CORP.DONGCLEE.com10.0.0.91Windows Server 2012Telnet Server페이지 163 / 232

DNS 서버 배제를 위한 Domain Isolation 그룹 정책 수정1. WFASSVR1 컴퓨터의 그룹 정책 관리 편집기를 수행합니다.2. 그룹 정책 관리 편집기의 왼쪽 창에서, Domain Isolation -> 컴퓨터 구성 -> 정책 ->Windows 설정 -> 보안 설정 -> 고급 보안이 포함된 Windows 방화벽 -> 고급 보안이포함된 Window 방화벽-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com -> 연결보안 규칙 순서로 클릭합니다. 연결 보안 규칙을 오른쪽 마우스 클릭 한 후, 새 규칙을클릭합니다.3. 새 연결 보안 규칙 마법사의 규칙 종류 페이지에서, 인증 예외를 클릭한 후, 다음을 클릭합니다.4. 컴퓨터 제외 페이지에서, 추가를 클릭합니다.페이지 164 / 232

5. IP 주소 대화 상자에서, 미리 정의된 컴퓨터 집합을 선택합니다.6. 미리 정의된 컴퓨터 집합 부분에서, DNS 서버를 선택한 후, 확인을 클릭합니다.페이지 165 / 232

(주의) 해당 그룹 정책을 받는 클라이언트 컴퓨터 구현으로써, DNS 서버는 클라이언트 컴퓨터에 현재 구성된 DNS 서버를 의미합니다.페이지 166 / 232

7. 컴퓨터 제외 페이지에서, 다음을 클릭합니다.페이지 167 / 232

8. 프로필 페이지에서, 개인 및 공용 체크 상자를 해제하고, 도메인이 선택되었음을 확인 한후, 다음을 클릭합니다.9. 이름 페이지에서, Exempt DNS servers from domain isolation 를 입력한 후, 마침을 클릭합니다. 신규 연결 보안 규칙이 생성되었음을 확인합니다.페이지 168 / 232

(주의) 위 DNS 서버 배제 규칙을 적용하기 前 과 後 의 네트워크 패킷을 비교 분석해 보면, 클라이언트에서 DNS 서버로의 네트워크 연결이 DNS 서버 배제 규칙 적용 前 에는 IPsec 통신으로이루어지고, DNS 서버 배제 규칙 적용 後 에는 IPsec 통신이 아닌 일반 plaintext 통신으로 이루어 짐을 확인할 수 있습니다.페이지 169 / 232

암호화 및 그룹 멤버쉽 요구를 통한 Server IsolationDomain Isolation은 도메인 멤버 컴퓨터가 도메인 멤버가 아닌 컴퓨터와 통신을 할 때, 인증 요구함으로써 도메인 멤버 컴퓨터를 도메인 멤버가 아닌 컴퓨터와 논리적으로 분리시키는 기능입니다.즉, 인증되지 않은 인바운드 연결은 바로 차단되는 기능입니다. 이러한 기능은 전체 조직 수준에서 도메인 멤버 컴퓨터의 보안을 한 층 강화 시킬 수 방안 중의 하나입니다. 그러나, 특정 도메인멤버 서버들은 주의 깊게 보호해야 할 개인 데이터, 의료 기록 및 신용 카드 정보와 같은 민감한데이터를 포함할 수도 있습니다. 이러한 경우에, 이러한 데이터에 접근이 필요한 사용자들만이 데이터를 접근할 수 있도록, 보안을 강화해야 하는 것이 정부의 권고 사항입니다. Server Isolation이라는 형태로 추가적인 보안 층을 구성함으로써, 이러한 요구 사항을 수용할 수 있습니다. ServerIsolation을 사용하게 되면, 지정되지 않은 도메인 멤버 컴퓨터 및 사용자는 이러한 중요 데이터에접근할 수 없도록 제한할 수 있습니다. 반면에, 이러한 중요 데이터에 접근해야 할 도메인 멤버컴퓨터 및 사용자를 지정함으로써, 지정된 도메인 멤버 컴퓨터 및 사용자만 접근할 수 있도록 구성할 수 있습니다. 또한, 이러한 종류의 데이터는 전송 중에 도청 예방을 위하여 반드시 암호화되어야 합니다.고급 보안이 포함된 Windows 방화벽을 사용하면, 특정 네트워크 연결은 도메인 그룹 구성원에기반한 특정 사용자만이 접근할 수 있도록 구성할 수 있습니다. 또한, 특정 사용자 뿐만 아니라도메인 그룹 구성원 내의 특정 컴퓨터만이 접근할 수 있도록 구성할 수도 있습니다. 이러한 2가지 종류의 제한 방식은 앞서 구성했던 인증 방법에 기반하여 구성할 수 있습니다. 마지막으로, 이러한 네트워크 연결은 다양한 암호화 알고리즘 중의 하나를 사용하여 암호화를 할 수 있습니다.이번 단계에서, 특정 그룹의 구성원인 특정 사용자만이 WFASSVR1 서버에 접근할 수 있도록 인바운드 방화벽 규칙을 생성합니다. 또한, WFASSVR1 서버로의 모든 연결은 암호화를 반드시 요구하도록 방화벽 규칙을 구성합니다.(주의) 실제 환경에서, Domain Isolation 구성 없이 Server Isolation만을 구현하기를 원하는 고객이 있을 수 있습니다. 본 가이드는, Domain Isolation이 事 前 에 구성되어 있고, 추가적으로Server Isolation을 구현하는 것을 가정합니다. Server Isolation 만을 구축하기 위해서, 관리자는인증 요청하는 연결 보안 규칙을 생성 및 배포해야만 합니다. 그러나, 조직 내의 모든 컴퓨터에인증 요청하는 연결 보안 규칙을 배포하는 대신에, 논리적으로 분리가 필요한 서버와 이 서버에 접근해야 할 클라이언트 컴퓨터에만 연결 보안 규칙을 배포해야 합니다. 동일한 보안 그룹필터를 사용한 인증 연결 보안 규칙의 배포는 이번 단계에서 소개합니다.페이지 170 / 232

단계 1: 보안 그룹 생성본 단계 1에서, Active Directory에 보안 그룹을 생성합니다. 이 그룹은 추후 특정 서버를 접근할수 있는 사용자를 제어하기 위해 생성되는 방화벽 규칙에서 참조합니다.(주의) 본 가이드에서 특정 사용자 계정만이 서버에 접근할 수 있는 Server Isolation을 소개하지만, 유사한 단계를 거쳐 특정 허가된 컴퓨터 계정만이 서버에 접근할 수 있는 ServerIsolation을 구현할 수 있습니다. 컴퓨터 계정 및 사용자 계정 모두 제한하기 위해서, 관리자는적절한 자격 증명을 포함하는 인증 방법을 사용해야만 합니다. Domain Isolation 구현한 前 단계에서, 관리자는 Kerberos V5를 사용하는 사용자 및 컴퓨터를 인증 요청하는 방화벽 규칙을생성했습니다. Server Isolation 구현 부분에서도, 이러한 인증 방법을 선택합니다.아래 그림은 단계 1의 보안 그룹 생성에 관한 개략적인 구성도입니다.CORP\Authorized to Access WFASSVR1보안 그룹 생성CORP\Authorized to Access WFASSVR1DC1.CORP.DONGCLEE.com10.0.0.1Windows Server 2012Secure(Trusted) ZoneCLIENT1W8.CORP.DONGCLEE.comWindows 810.0.0.xCORP.DONGCLEE.comWFASSVR1.CORP.DONGCLEE.com10.0.0.91Windows Server 2012Telnet Server보안 그룹 생성1. DC1 컴퓨터에서, 관리자로 로그인한 후, 시작 화면에서, Active Directory Users andComputers 도구를 수행합니다.2. Active Directory Users and Computers -> contoso.com -> Users 순서로 클릭합니다.Users를 오른쪽 마우스 클릭한 후, New -> Group 순서로 클릭합니다.페이지 171 / 232

3. New Object – Group 대화 상자에서, Group name 부분에 Authorized to AccessWFASSVR1을 입력 한 후, OK를 클릭합니다.4. Computers 컨테이너를 선택한 후, Active Directory Users and Computers 도구를 닫지않습니다.위에서 생성한 보안 그룹에 아직 사용자를 추가하지 않습니다.페이지 172 / 232

단계 2: 암호화 및 그룹 멤버쉽 요구를 위한 서버 인바운드 방화벽 규칙 수정Server Isolation는 먼저 인증을 반드시 요구하는 보안 연결 규칙을 생성합니다. 추가적으로, 특정허가된 사용자 및 컴퓨터만이 특정 서버에 연결할 수 있도록 제한하는 방화벽 규칙을 구성합니다.즉, 보안 연결 규칙에 방화벽 규칙을 조합하여 Server Isolation을 구성합니다. 이번 단계 2에서,관리자는 앞서 구성했던 보안 그룹의 구성원인 특정 사용자만이 Telnet 트래픽을 사용할 수 있도록 Telnet 방화벽 규칙을 수정합니다. 현재 구성된 인증 방식 때문에, 관리자는 컴퓨터 제한, 사용자 제한 및 컴퓨터와 사용자 동시 제한등과 같이 제한 방식을 결정할 수 있습니다. 본 예제에서,관리자는 승인된 특정 사용자만이 특정 서버에 접근할 수 있도록 제한하는 방화벽 규칙을 구성합니다. 아래 그림은 인증된 CORP\Authorized to Access WFASSVR1 그룹만이 WFASSVR1 서버에Telnet 트래픽을 암호화하여 연결할 수 있는 개략적인 구성도입니다.Firewall Settings for Windows Servers 그룹 정책인바운드 규칙Allow Encrypted Inbound Telnet to Group Members Only (로컬 포트 : 23)Firewall Settings for Windows Servers 그룹 정책DC1.CORP.DONGCLEE.com10.0.0.1Windows Server 2012Secure(Trusted) ZoneFirewall Settings for Windows Servers 그룹 정책인바운드 규칙Allow Encrypted Inbound Telnet to Group Members Only%systemroot%\system32\tlntsvr.exe로컬 포트 : 23 지정보안 연결만 허용 : 연결 암호화 필요다음 사용자로부터의 연결만 허용 :CORP\Authorized to Access WFASSVR1CLIENT1W8.CORP.DONGCLEE.comWindows 810.0.0.xCORP.DONGCLEE.comWFASSVR1.CORP.DONGCLEE.com10.0.0.91Windows Server 2012Telnet ServerWFASSVR1 서버에서 인바운드 Telnet 방화벽 규칙 수정1. WFASSVR1 컴퓨터에서 관리자 계정으로 로그인 한 후, 시작 화면에서, Group PolicyManagement 도구를 수행합니다.2. 왼쪽 창에서, Group Policy Management -> 포리스트: CORP.DONGLCEE.com -> 도메인-> CORP.DOGNCLEE.com -> 그룹 정책 개체 -> Firewall Settings for Windows Servers페이지 173 / 232

순서로 클릭한 후, Firewall Settings for Windows Servers를 오른쪽 마우스 클릭한 후,편집을 클릭합니다.3. 그룹 정책 관리 편집기에서, Firewall Settings for Windows Servers -> 컴퓨터 구성 ->정책 -> Windows 설정 -> 보안 설정 -> 고급 보안이 포함된 Windows 방화벽 -> 고급 보안이 포함된 Window 방화벽-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com 순서로클릭한 후, 인바운드 규칙을 클릭합니다.4. 결과 창에서, Allow Inbound Telnet을 오른쪽 마우스 클릭한 후, 속성을 클릭합니다.5. 이름 부분에 Allow Encrypted Inbound Telnet to Group Members Only 을 입력합니다.페이지 174 / 232

6. 다음 중에 하나를 수행합니다:• Windows Server 2008 R2 또는 Windows Server 2012를 운영 중이라면, 일반 탭의 작업 부분에서, “보안 연결만 허용 (Allow the connection if it is secure)”을 선택한 후,사용자 지정을 클릭한 후, “연결 암호화 필요 (Require the connections to beencrypted)”를 선택합니다.• Windows Server 2008 운영 중이라면, 일반 탭의 작업 부분에서, “Allow only secureconnections”을 선택한 후, “Require encryption”를 선택합니다.7. 다음 중에 하나를 수행합니다:• Windows Server 2008 R2 또는 Windows Server 2012를 운영 중이라면, 원격 사용자탭을 클릭합니다.• Windows Server 2008 운영 중이라면, Users and Computer 탭을 클릭합니다.페이지 175 / 232

8. 원격 사용자 탭의 권한이 부여된 사용자 부분에서, “다음 사용자로부터의 연결만 허용(Only allow connections from these users)”을 클릭한 후, 추가 버튼을 클릭합니다.9. 사용자, 컴퓨터, 또는 그룹 선택 대화 상자에서, Authorized to Access WFASSVR1을 입력한 후, 이름 확인을 클릭한 후, 이름 풀이가 정상적임을 확인한 후, 확인을 클릭하여그룹 추가 작업을 완료합니다.페이지 176 / 232

10. Allow Inbound Telnet Properties 페이지를 닫기 위하여, 확인을 클릭합니다. 아래와 같이 인바운드 규칙 부분에 연결 보안 규칙이 조합된 방화벽 규칙임을 의미하는 자물쇠 아이콘이 존재하는 규칙임 하나 존재함을 확인합니다.11. 그룹 정책 관리 편집기를 닫습니다.페이지 177 / 232

단계 3: 암호화 지원을 위한 클라이언트 컴퓨터의 아웃바운드 방화벽 규칙 생성본 단계 3에서, 특정 서버에서 요구하는 연결을 성공적으로 암호화할 수 있도록, 클라이언트 컴퓨터에 적용할 신규 방화벽 규칙을 생성합니다. 아래 그림은 CLIENT1W8 컴퓨터가 원격 포트 23을사용하여 원격 IP 10.0.0.91 주소에 보안 연결하여 암호화된 트래픽을 형성하고, 그 외 모든 프로그램은 일반 plaintext 통신을 허용 하도록 인바운드 규칙을 생성하는 개략적인 구성도입니다.Firewall Settings for Windows Clients 그룹 정책아웃바운드 규칙Allow only encrypted Telnet to WFASSVR1 (원격 포트 : 23)Firewall Settings for Windows Clients 그룹 정책DC1.CORP.DONGCLEE.com10.0.0.1Windows Server 2012Secure(Trusted) ZoneFirewall Settings for Windows Clients 그룹 정책아웃바운드 규칙Allow only encrypted Telnet to WFASSVR1모든 프로그램원격 포트 : 23 지정원격 IP 주소 : 10.0.0.91 지정 (WFASSVR1)보안 연결만 허용 : 연결 암호화 필요CLIENT1W8.CORP.DONGCLEE.comWindows 810.0.0.xCORP.DONGCLEE.comWFASSVR1.CORP.DONGCLEE.com10.0.0.91Windows Server 2012Telnet Server클라이언트 인증 요구를 위한 아웃바운드 Telnet 방화벽 규칙 생성1. WFASSVR1 컴퓨터에서 관리자 계정으로 로그인 한 후, 시작 화면에서, Group PolicyManagement 도구를 수행합니다.2. 왼쪽 창에서, Group Policy Management -> 포리스트: CORP.DONGLCEE.com -> 도메인-> CORP.DOGNCLEE.com -> 그룹 정책 개체 -> Firewall Settings for Windows Clients순서로 클릭한 후, Firewall Settings for Windows Clients를 오른쪽 마우스 클릭한 후,편집을 클릭합니다.3. 그룹 정책 관리 편집기에서, Firewall Settings for Windows Clients -> 컴퓨터 구성 ->정책 -> Windows 설정 -> 보안 설정 -> 고급 보안이 포함된 Windows 방화벽 -> 고급 보안이 포함된 Window 방화벽-페이지 178 / 232

LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com 순서로클릭한 후, 아웃바운드 규칙을 오른쪽 마우스 클릭한 후, 새 규칙을 클릭합니다.4. 새 아웃바운드 규칙 마법사의 규칙 종류 페이지에서, 사용자 지정을 클릭한 후, 다음을클릭합니다.5. 프로그램 페이지에서, 모든 프로그램을 선택한 후, 다음을 클릭합니다.6. 프로토콜 및 포트 페이지에서, 프로토콜 종류에서, TCP를 클릭합니다. 프로토콜 번호가자동적으로 6으로 변경됨을 유념해야 합니다. 원격 포트 항목에서, 특정 포트 클릭한 후,23를 입력한 후, 다음을 클릭합니다.7. 범위 페이지에서, “이 규칙이 적용되는 원격 IP 주소 (Which remote IP addresses does페이지 179 / 232

this rule match)” 부분에서, “다음 IP 주소 (These IP addresses)”를 선택한 후, 원격 하위의 옵션이 선택할 수 있음을 확인할 수 있습니다.8. “이 규칙이 적용되는 원격 IP 주소 (Which remote IP addresses does this rule match)”부분의 오른쪽에 존재하는 “추가” 버튼을 클릭합니다.9. IP 주소 상자에서, 10.0.0.91 (WFASSVR1 서버의 IP임)을 입력한 후, 확인을 클릭한 후,다음을 클릭합니다.페이지 180 / 232

10. 작업 페이지에서, 다음 중에 하나를 수행합니다:• Windows Server 2008 R2 또는 Windows Server 2012를 운영 중이라면, 작업 페이지에서, “보안 연결만 허용 (Allow the connection if it is secure)”을 선택한 후, 사용자지정을 클릭한 후, “연결 암호화 필요 (Require the connections to be encrypted)”를 선택한 후, 확인을 클릭한 후, 다음을 클릭합니다.페이지 181 / 232

• Windows Server 2008 운영 중이라면, 작업 부분에서, “Allow the connection if it issecure”을 선택한 후, “Require the connections to be encrypted”를 선택한 후, 다음을 클릭합니다.11. 컴퓨터 페이지에서, 다음을 클릭합니다.페이지 182 / 232

12. 프로필 페이지에서, 개인 및 공용 체크 상자를 해제하고, 도메인이 선택되었음을 확인 한후, 다음을 클릭합니다.13. 이름 페이지에서, Allow only encrypted Telnet to WFASSVR1을 입력한 후, 마침을 클릭합니다.페이지 183 / 232

14. 관리자 권한으로 명령어 창을 수행한 후, gpupdate /force 를 수행합니다.페이지 184 / 232

단계 4: 그룹 구성원이 아닌 사용자의 규칙 테스트CLIENT1W8 컴퓨터는 WFASSVR1 서버와 통신할 수 있는 모든 요구사항을 만족하는 방화벽 규칙및 연결 보안 규칙을 적용 받았습니다. 그러나, 아직 CORP\User1 사용자 계정은 WFASSVR1 서버를 위한 인바운드 Telnet 방화벽 규칙에서 참조하는 보안 그룹의 구성원으로 포함되지 않았습니다. 이번 단계 4에서, 신규 방화벽 규칙이 Telnet 서비스 이외의 다른 서비스에 영향을 미치지않음을 검증하기 위해서, Remote Event Viewer 서비스에 연결 시도를 합니다. 또한, CORP\user1사용자 계정이 앞서 생성한 보안 그룹의 구성원이 아직 아니기 때문에, 신규 방화벽 규칙이Telnet 서비스를 허용하지 않음을 검증하기 위하여, WFASSVR1 서버의 Telnet 서비스에 연결 시도를 합니다. 아래 그림은 아직 CORP\User1 사용자가 CORP\Authorized to Access WFASSVR1 그룹의 구성원이 아닌 경우에, CLIENT1W8 컴퓨터를 CORP\User1 으로 로그인하여, “원격 이벤트뷰어” 연결은 성공하고, “Telnet WFASSVR1” 연결을 실패하는 상황의 개략적인 구성도입니다. 즉,Telnet WFASSVR1은 특정 그룹의 구성원만이 보안 연결을 성공한 후, 암호화된 Telnet 트래픽이전달됩니다.Firewall Settings for Windows Servers & Clients 그룹 정책인바운드 & 아웃바운드 규칙Allow Encrypted Inbound Telnet to Group Members Only (로컬 포트 : 23)Allow only encrypted Telnet to WFASSVR1 (원격 포트 : 23)Firewall Settings for Windows Servers & Clients 그룹 정책DC1.CORP.DONGCLEE.com10.0.0.1Windows Server 2012Secure(Trusted) ZoneFirewall Settings for Windows Clients 그룹 정책아웃바운드 규칙Allow only encrypted Telnet to WFASSVR1모든 프로그램원격 포트 : 23 지정원격 IP 주소 : 10.0.0.91 지정 (WFASSVR1)보안 연결만 허용 : 연결 암호화 필요Firewall Settings for Windows Servers 그룹 정책인바운드 규칙Allow Encrypted Inbound Telnet to Group Members Only%systemroot%\system32\tlntsvr.exe로컬 포트 : 23 지정보안 연결만 허용 : 연결 암호화 필요다음 사용자로부터의 연결만 허용 :CORP\Authorized to Access WFASSVR1원격 이벤트 뷰어성공CLIENT1W8.CORP.DONGCLEE.comWindows 810.0.0.xTelnet WFASSVR1실패CORP.DONGCLEE.comWFASSVR1.CORP.DONGCLEE.com10.0.0.91Windows Server 2012Telnet ServerCLIENT1W8 컴퓨터에서 WFASSVR1의 Remote Event Viewer 서비스에 연결 시도페이지 185 / 232

1. CLIENT1W8 컴퓨터에 CORP\User1 계정으로 로그인 한 후, 관리자 권한으로 명령어 창을 수행한 후, gpupdate /force 를 수행합니다.2. CLIENT1W8 컴퓨터에서, 시작 화면에서, 이벤트 뷰어 도구를 수행합니다.3. 이벤트 뷰어(로컬) 를 오른쪽 마우스 클릭한 후, 다른 컴퓨터에 연결을 클릭합니다.4. 컴퓨터 선택 대화 상자에서, 다른 컴퓨터 부분에 WFASSVR1을 입력한 후, 확인을 클릭합니다. 앞서 생성했던 방화벽 규칙은 이벤트 뷰어를 위한 암호화 및 그룹 구성원 조건에 일치하지 않았기 때문에, 원격 이벤트 뷰어 연결 시도는 성공합니다.다음 절차에서, 신규 방화벽 규칙의 적용을 확인하기 위해, WFASSVR1 서버의 Telnet 서비스에 연결 시도합니다.CLIENT1W8 컴퓨터에서 WFASSVR1 서버의 Telnet 연결 시도1. CLIENT1W8 컴퓨터에 CORP\User1 계정으로 로그인 한 후, 관리자 권한으로 명령어 창을 수행한 후, telnet WFASSVR1를 수행합니다. 이 명령어는 실패할 것입니다. 현재 로그인한 사용자인 CORP\User1 사용자 계정은 Authorized to Access WFASSVR1 그룹의구성원이 아니기 때문에, Telnet 명령은 실패할 것입니다. 앞서 생성한 방화벽 규칙은Authorized to Access WFASSVR1 그룹의 구성원만이 TCP 23 포트를 WFASSVR1 서버에보낼 수 있도록 구성했습니다.페이지 186 / 232

페이지 187 / 232

단계 5: 보안 그룹에 사용자 추가 후, 테스트이번 단계 5에서, 앞서 생성한 보안 그룹에 CORP\User1 사용자 계정을 그룹 구성원으로 추가한 후, WFASSVR1 서버의 Telnet 서비스에 연결 테스트를 다시 진행합니다. 보안 그룹의 구성원으로 추가된 후, CORP\User1 사용자 계정으로 CLIENT1W8 컴퓨터에 로그인 한 후, WFASSVR1 서버의 Telnet 서비스에 연결이 성공임을 확인합니다. 즉, 이 단계 5에서, CORP\Authorized toAccess WFASSVR1 그룹의 구성원인 CORP\User1 사용자가 CLIENT1W8 컴퓨터에서 로그인 한 후,원격 포트 23 및 원격 IP 10.0.0.91을 사용하여, Telnet WFASSVR1 연결을 시도합니다. CLIENT1W8컴퓨터의 아웃바운드 허용 규칙과 일치하여, 10.0.0.91 서버의 포트 23으로 IPsec을 사용하여 원격Telnet 연결을 시도합니다. 그리고, WFASSVR1 컴퓨터의 인바운드 허용 규칙과 일치하여,CLIENT1W8의 Telnet WFASSVR1 연결에 대해서 보안 연결을 허용합니다. 이러한 결과,CLIENT1W8 과 WFASSVR1 사이에 IPsec 연결이 성립되고, IPsec 내에서 Telnet 연결이 성공합니다.아래 그림은 이에 대한 개략적인 구성도입니다.Firewall Settings for Windows Servers & Clients 그룹 정책인바운드 & 아웃바운드 규칙Allow Encrypted Inbound Telnet to Group Members Only (로컬 포트 : 23)Allow only encrypted Telnet to WFASSVR1 (원격 포트 : 23)Firewall Settings for Windows Servers & Clients 그룹 정책DC1.CORP.DONGCLEE.com10.0.0.1Windows Server 2012Secure(Trusted) ZoneFirewall Settings for Windows Clients 그룹 정책아웃바운드 규칙Allow only encrypted Telnet to WFASSVR1모든 프로그램원격 포트 : 23 지정원격 IP 주소 : 10.0.0.91 지정 (WFASSVR1)보안 연결만 허용 : 연결 암호화 필요Firewall Settings for Windows Servers 그룹 정책인바운드 규칙Allow Encrypted Inbound Telnet to Group Members Only%systemroot%\system32\tlntsvr.exe로컬 포트 : 23 지정보안 연결만 허용 : 연결 암호화 필요다음 사용자로부터의 연결만 허용 :CORP\Authorized to Access WFASSVR1CLIENT1W8.CORP.DONGCLEE.comWindows 810.0.0.xtelnet WFASSVR1성공CORP.DONGCLEE.comWFASSVR1.CORP.DONGCLEE.com10.0.0.91Windows Server 2012Telnet Server보안 그룹에 CORP\User1 사용자 계정 추가1. DC1 컴퓨터에서, 관리자로 로그인한 후, 시작 화면에서, Active Directory Users and페이지 188 / 232

Computers 도구를 수행합니다. Active Directory Users and Computers -> contoso.com-> Users 순서로 클릭합니다. Authorized to Access WFASSVR1를 더블-클릭한 후,Members 탭을 클릭합니다.2. Add를 클릭합니다.3. Select Users, Contacts, Computers 대화 상자에서, User1을 입력한 후, 이름 확인을 클릭한 후, 이름 풀이가 정상적임을 확인한 후, OK를 클릭하여 그룹 추가 작업을 완료합니다.4. Authorized to Access WFASSVR1 속성 페이지를 닫기 위하여 OK를 클릭합니다.CLIENT1W8 컴퓨터에서 WFASSVR1 서버의 Telnet 연결 시도1. CORP\User1 사용자 계정의 그룹 구성원을 업데이트 하기 위해, CORP\User1 사용자를로그오프 한 후, 다시 로그인 합니다.페이지 189 / 232

2. 관리자 권한으로 명령어 창을 수행한 후, gpupdate /force 를 수행합니다. 사용자 계정의로오프 후 로그온 과정은 사용자 그룹 정책을 업데이트하지만, 컴퓨터 그룹 정책을 업데이트하기 위해 다시 한 번 gpupdate /force 명령어를 수행합니다.3. 명령어 창에서, telnet WFASSVR1를 수행합니다.앞서 생성한 클라이언트 아웃바운드 방화벽 규칙인 “Allow only encrypted Telnet toWFASSVR1”의 모든 요구 사항에 부합하기 때문에, 이 명령어는 성공합니다. 특정 그룹(CORP\Authorized to Access WFASSVR1)의 구성원으로써 인증된 사용자(CORP\User1)및 도메인의 멤버인 컴퓨터인 경우에만, WFASSVR1 서버의 Telnet 서비스를 접근할 수있습니다.4. 고급 방화벽이 포함된 Windows 방화벽 스냅-인을 수행합니다.5. 모니터링 -> 보안 연결 순서로 확장한 후, 빠른 모드를 클릭합니다.페이지 190 / 232

6. 빠른 모드의 결과 창에 보여지는 항목을 더블-클릭합니다. ESP 무결성 또는 ESP 암호화항목 옆의 프로토콜을 확인합니다. 이 연결에 사용된 암호화 알고리즘 임을 확인할 수있습니다.사용된 암호화 설정은 IPsec 기본값에 의해 결정됩니다. 로컬 컴퓨터의 고급 보안이 포함된 Windows 방화벽을 오른쪽 마우스 클릭한 후, 속성을 클릭한 후, IPsec 설정 탭을 클릭합니다. IPsec 설정 탭의 IPsec 기본값 영역에서, 사용자 지정을 클릭합니다.IPsec 기본값 사용자 지정 대화 상자에서, 데이터 보호 부분에서, 고급을 선택한 후, 사용자 지정을 클릭합니다.데이터 보호 설정 사용자 지정 대화 상자의 “데이터 무결성 및 암호화” 부분에 나열된알고리즘 중에서 원격 서버에서 사용 중인 프로토콜과 일치하는 알고리즘을 선택하여 통신을 합니다.페이지 191 / 232

7. 보안 연결을 닫기 위하여 확인을 클릭한 후, 고급 보안이 포함된 Windows 방화벽 스냅-인을 클릭합니다.8. Telnet 세션을 닫기 위하여 exit를 입력합니다.페이지 192 / 232

IPsec-보호된 네트워크 트래픽 허용을 위한 방화벽 규칙 생성(Authenticated Bypass)통상적인 네트워크 환경에서, 관리자는 실제 요구되는 트래픽을 제외하고 모든 네트워크 트래픽이 차단되도록 구성합니다. 강한 보안을 구성하기 위하여, 기본적으로 트래픽을 차단하는 규칙은트래픽을 허용하는 규칙보다 우선 순위가 높습니다. 그래서, 방화벽의 incoming 또는 outgoing트래픽이 허용 규칙 및 차단 규칙과 일치한다면, 차단 규칙이 먼저 작동하므로, 트래픽이 차단될것입니다.통상적으로 차단되는 트래픽이 몇몇 상황에서는 컴퓨터에서 허용되어야 하는 경우가 있습니다.예를 들어, 네트워크 트러블슈팅 팀은 Network Protocol Analyzer 도구를 사용할 필요성이 있습니다. 방화벽 규칙이 통상적으로 이러한 도구의 트래픽을 차단합니다. 이러한 경우에, 특정 요구사항의 특정 관리자가 유발하는 네트워크 트래픽이 존재할 때, 이 트래픽의 차단 규칙을 override하는 허용 규칙을 생성할 필요가 있습니다.이러한 규칙을 “Authenticated Bypass” 규칙이라고 합니다. 관리자가 “Authenticated Bypass” 방화벽 규칙의 Override block rules 설정을 비활성화하면, 다른 규칙이 차단될지라도, 이 규칙과 일치하는 정확하게 검증된 트래픽은 허용됩니다. The result is a set of rules that say "this traffic isblocked unless it is coming from an authorized computer."이번 단계에서, 모든 Telnet 네트워크 트래픽을 차단하는 방화벽 규칙을 생성합니다. 그런 후에,앞선 단계에서 생성한 기존 Telnet 허용 규칙에 우선해서, 차단 규칙이 먼저 적용됨을 확인합니다.이제, 기존 Telnet 허용 규칙에 Override Block Rules 설정을 활성화함으로써, 차단 규칙이 우선적으로 적용되지 않고, 승인된 컴퓨터로부터 연결이 우선적으로 허용됨을 확인합니다. 즉, 기존Telnet 허용 규칙은 차단 규칙에 우선해서 먼저 적용됩니다.페이지 193 / 232

단계 1: 표준 Telnet 트래픽 차단 방화벽 규칙 추가 및 테스트먼저 모든 Telnet 트래픽을 차단하는 방화벽 규칙을 생성합니다. Telnet 차단 방화벽 규칙이 기존Telnet 허용 규칙에 우선해서 적용됨을 확인합니다. 아래 그림은 “Block All Telnet” 인바운드 차단규칙이 “Allow Encrypted Inbound Telnet to Group Members Only” 인바운드 허용 규칙에 앞서 우선 적용되기 때문에, CLIENT1W8 컴퓨터에서 Telnet WFASSVR1 연결은 실패하는 상황의 개략적인구성도입니다.Firewall Settings for Windows Servers 그룹 정책아웃바운드 규칙Allow Encrypted Inbound Telnet to Group Members Only (로컬 포트 : 23)Block All Telnet (로컬 포트 : 23)Firewall Settings for Windows Servers 그룹 정책DC1.CORP.DONGCLEE.com10.0.0.1Windows Server 2012Secure(Trusted) ZoneCLIENT1W8.CORP.DONGCLEE.comWindows 810.0.0.xtelnet WFASSVR1실패CORP.DONGCLEE.comWFASSVR1.CORP.DONGCLEE.com10.0.0.91Windows Server 2012Telnet ServerWFASSVR1 서버에 Telnet 차단 규칙 생성1. WFASSVR1 컴퓨터에서 관리자 계정으로 로그인 한 후, 시작 화면에서, Group PolicyManagement 도구를 수행합니다.2. 왼쪽 창에서, Group Policy Management -> 포리스트: CORP.DONGLCEE.com -> 도메인-> CORP.DOGNCLEE.com -> 그룹 정책 개체 -> Firewall Settings for Windows Servers순서로 클릭한 후, Firewall Settings for Windows Servers를 오른쪽 마우스 클릭한 후,편집을 클릭합니다.3. 그룹 정책 관리 편집기에서, Firewall Settings for Windows Servers -> 컴퓨터 구성 ->정책 -> Windows 설정 -> 보안 설정 -> 고급 보안이 포함된 Windows 방화벽 -> 고페이지 194 / 232

급 보안이 포함된 Window 방화벽-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com 순서로클릭한 후, 인바운드 규칙을 클릭합니다.4. 인바운드 규칙을 오른쪽 마우스 클릭한 후, 새 규칙을 클릭합니다.5. 새 인바운드 규칙 마법사의 규칙 종류 페이지에서, 사용자 지정을 클릭한 후, 다음을 클릭합니다.6. 프로그램 페이지에서, 다음 프로그램 경로 부분에 %systemroot%\system32\tlntsvr.exe 를 입력합니다.7. 서비스 부분의 사용자 지정을 클릭한 후, 다음 서비스에 적용을 클릭하고, 짧은 이름이TlntSvr인 Telnet을 선택한 후, 확인을 클릭한 후, 다음을 클릭합니다. (주의) 다음 서비스에 적용 옵션을 사용할 때, 나열되는 서비스 항목은 GPO를 편집하는 컴퓨터에 설치된서비스입니다. 만약, 이 컴퓨터에 설치되지 않은 서비스를 지정하기 위해서는, “다음 짧은이름이 지정된 서비스에 적용” 옵션을 사용할 수 있고, 이 텍스트 상자에 서비스 이름을입력합니다. 서비스 이름을 확인하기 위해서, 서비스가 설치된 컴퓨터의 서비스 스냅-인에서 확인합니다.페이지 195 / 232

8. 프로토콜 및 포트 페이지에서, 프로토콜 종류에서, TCP를 클릭합니다. 프로토콜 번호가자동적으로 6으로 변경됨을 유념해야 합니다. 로컬 포트 항목에서, 특정 포트 클릭한 후,23를 입력한 후, 다음을 클릭합니다.9. 범위 페이지에서, 다음을 클릭합니다.10. 작업 페이지에서, 연결 차단을 선택한 후, 다음을 클릭합니다.11. 프로필 페이지에서, 개인 및 공용 체크 상자를 해제하고, 도메인이 선택되었음을 확인 한후, 다음을 클릭합니다.12. 이름 페이지에서, Block All Telnet을 입력한 후, 마침을 클릭합니다.페이지 196 / 232

Telnet 차단 규칙과 Telnet 허용 규칙이 충돌될 때, 유효한 Telnet 연결성 확인1. WFASSVR1 컴퓨터에 관리자로 로그인 한 후, 관리자 권한으로 명령어 창을 수행한 후,gpupdate /force 를 수행합니다.2. CLIENT1W8 컴퓨터에 관리자로 로그인 한 후, 관리자 권한으로 명령어 창을 수행한 후,telnet WFASSVR1 를 수행합니다. 인바운드 Telnet 허용 규칙보다 우선적으로 인바운드Telnet 차단 규칙이 적용되기 때문에, 이 명령어는 실패합니다.페이지 197 / 232

페이지 198 / 232

단계 2: 차단 규칙을 Override하는 Telnet 방화벽 허용 규칙 수정이번 단계 2에서, 기존 Telnet 허용 규칙 (Allow Encrypted Inbound Telnet to Group MembersOnly)에서 “Override Block Rule” 설정을 한 후, 변경된 규칙의 Telnet 동작을 테스트합니다. 이미기존 Telnet 허용 규칙은 모든 Telnet 트래픽을 인증하고 암호화하는 연결 보안 규칙을 포함하기때문에, Telnet 동작은 정상적으로 동작합니다. 즉, 앞서 단계 1에서 생성한 Telnet 차단 규칙에 파서 기존 Telnet 허용 규칙이 적용됨을 확인합니다. 아래 그림은 차단 규칙 무시 설정 및 다음 컴퓨터로부터의 연결만 허용 설정이 적용된 후, “Block All Telnet” 인바운드 차단 규칙을 무시하는상황에 대한 개략적인 구성도입니다.Firewall Settings for Windows Servers 그룹 정책아웃바운드 규칙Allow Encrypted Inbound Telnet to Group Members Only (로컬 포트 : 23) : 차단 규칙 무시Block All Telnet (로컬 포트 : 23)Firewall Settings for Windows Servers 그룹 정책DC1.CORP.DONGCLEE.com10.0.0.1Windows Server 2012Secure(Trusted) ZoneCLIENT1W8.CORP.DONGCLEE.comWindows 810.0.0.xtelnet WFASSVR1성공CORP.DONGCLEE.comWFASSVR1.CORP.DONGCLEE.com10.0.0.91Windows Server 2012Telnet Server기존 Telnet 허용 규칙에서 Override Block Rule 설정 추가1. WFASSVR1 컴퓨터에서 관리자 계정으로 로그인 한 후, 시작 화면에서, Group PolicyManagement 도구를 수행합니다.2. 왼쪽 창에서, Group Policy Management -> 포리스트: CORP.DONGLCEE.com -> 도메인-> CORP.DOGNCLEE.com -> 그룹 정책 개체 -> Firewall Settings for Windows Servers페이지 199 / 232

순서로 클릭한 후, Firewall Settings for Windows Servers를 오른쪽 마우스 클릭한 후,편집을 클릭합니다.3. 그룹 정책 관리 편집기에서, Firewall Settings for Windows Servers -> 컴퓨터 구성 ->정책 -> Windows 설정 -> 보안 설정 -> 고급 보안이 포함된 Windows 방화벽 -> 고급 보안이 포함된 Window 방화벽-LDAP://cn={GUID},cn=policies,cn=system,DC=CORP,DC=DONGCLEE,DC=com 순서로클릭한 후, 인바운드 규칙을 클릭합니다.4. Allow Encrypted Inbound Telnet to Group Members Only 규칙을 오른쪽 마우스 클릭한 후, 속성을 클릭합니다.5. “Authenticated Bypass” 규칙은 적어도 하나의 허가된 컴퓨터 또는 컴퓨터 그룹을 지정해야 합니다. 원격 컴퓨터 탭에서, 권한이 부여된 컴퓨터 부분에서, “다음 컴퓨터로부터의연결만 허용 (Only allow connections from these computers)”을 선택한 후, 추가를 클릭합니다.페이지 200 / 232

6. 가장 간단한 예제를 위하여, CORP\Domain Computers를 입력한 후, 확인을 클릭합니다.도메인 멤버 컴퓨터만이 접근할 수 있도록 제한하는 설정입니다. 이미 앞서 WFASSVR1서버에 접근할 수 있는 사용자 그룹(CORP\Authorized to Access WFASSVR1)을 지정했음을 주의해야 합니다.페이지 201 / 232

7. 다음 중에 하나를 수행합니다:• Windows Server 2008 R2 또는 Windows Server 2012를 운영 중이라면, 일반 탭의 작업 부분에서, “보안 연결만 허용 (Allow the connection if it is secure)”을 선택한 후,사용자 지정을 클릭합니다. “허용 조건 보안 설정 사용자 지정 (Customize Allow ifSecure Settings)” 대화 상자에서, “차단 규칙 무시 (Override block rules)”를 선택한후, 확인을 2번 연속 클릭합니다.페이지 202 / 232

페이지 203 / 232

• Windows Vista를 운영 중이라면, 일반 탭의 작업 부분에서, “Override block rules”을선택한 후, 확인을 2번 연속 클릭합니다.이제 “차단 규칙 무시” 속성이 설정된 기존 Telnet 허용 규칙과 신규 생성된 Telnet 차단 규칙이충돌하는 경우에 대한 테스트를 진행합니다.변경된 기존 Telnet 허용 규칙 테스트1. WFASSVR1 컴퓨터에 관리자로 로그인 한 후, 관리자 권한으로 명령어 창을 수행한 후,gpupdate /force 를 수행합니다.2. CLIENT1W8 컴퓨터에 관리자로 로그인 한 후, 관리자 권한으로 명령어 창을 수행한 후,telnet WFASSVR1 를 수행합니다. 이 명령어는 성공합니다. 기존 Telnet 허용 방화벽 규칙에 “차단 무시 규칙”이 설정되어 있기 때문에, 차단 규칙을 override하면서, 여전히Telnet 트래픽을 허용합니다. 신규 Telnet 차단 규칙이 적용되지 않고 bypass하는 유일한트래픽은 Authenticated Bypass Telnet 허용 규칙과 일치하는 트래픽이다. 이러한 규칙은트래픽이 또한 인증되고 암호화됩니다. “허가되지 않은 사용자 및 컴퓨터로부터의 트래픽”또는 “암호화되지 않거나 인증되지 않은 트래픽”은 차단됩니다.3. Telnet 세션을 종료하기 위해, exit를 입력합니다.페이지 204 / 232

터널 모드 IPsec 규칙 생성IPsec 터널 모드 규칙은 인터넷을 통해 사설 네트워크에 보호된 네트워크 연결을 하기 위해 사용할 수 있습니다. 또는, 인터넷 상에 분리된 2개의 사설 네트워크 사이의 보호된 네트워크 연결을위해 IPsec 터널 모드 규칙을 사용할 수 있습니다.Windows 초기 버전에서, 클라이언트-to-게이트웨이 네트워크 형식을 위한 IPsec 규칙 생성은 게이트웨이 서버에서는 손쉽게 구현할 수 있었습니다. 반면에, 클라이언트 측에 IPsec 터널 모드 규칙을 배포하는 것이 어려운 작업이었습니다. 클라이언트 측에 배포할 IPsec 규칙은 양쪽 터널의끝점 IP 주소를 명백하게 지정해야 하기 때문에, 클라이언트 측의 IP 구성이 복잡 및 어려움 작업이 될 수 있습니다. 즉, 각 클라이언트의 customized 규칙은 게이트웨이에 연결 가능해야 합니다.그러나, Windows Server 2008 R2 및 Windows 7 이상의 운영체제를 사용한다면, 로컬 끝점 및 로컬 터널 끝점에서 “Any” 핵심단어를 사용할 수 있습니다. “Any”라는 용어는 로컬 컴퓨터 자신의IP 주소를 의미합니다. (In earlier versions of Windows, creating IPsec rules for client-to-gatewaytype rules were easy to deploy on the gateway server, but difficult to deploy to the clients. Thiswas because in these IPsec rules you needed to specify both ends of the tunnel by an explicit IPaddress, and both sets of computers at either end of the tunnel that are accessible through thetunnel. This meant that you had to have a customized rule for each client that you wantedenabled to connect to the gateway. Starting with Windows Server 2008 R2 and Windows 7,however, you can use the “Any” keyword for both the local endpoint and the local tunnelendpoint. When this rule is deployed on the client, “Any” is interpreted to mean the localcomputer’s own IP address. This enables you to deploy a single rule to all of the clients that haveonly the remote tunnel endpoint computer’s IP address, and the IP addresses of the computersaccessible beyond the gateway.)(중요) 이 시나리오는 Windows Server 2008 R2 및 Windows 7 이상의 운영체제에서만 가능합니다.이번 단계에서, 먼저 다중 네트워크 원격 접근 시나리오를 테스트하기 위해서 랩 컴퓨터를 재구성해야 합니다. CLIENT1W8 컴퓨터는 테스트 “공용” 네트워크 상의 원격 클라이언트 역할을 담당하고, WFASSVR1 서버는 두 번째 네트워크 어댑터를 추가적으로 구성하여 IPsec 게이트웨이 역할을 담당합니다. 즉, WFASSVR1 서버는 앞선 단계에서 사용했던 원본 사설 네트워크 어댑터와 이번 단계에서 추가할 공용 네트워크 어댑터 등 총 2개의 네트워크 어댑터가 설치 및 구성됩니다.DC1 컴퓨터는 여전히 사설 네트워크에 위치하고, CLEINT1W8 컴퓨터에서 연결 테스트를 진행할대상 서버로 동작합니다.페이지 205 / 232

단계 1: IPsec Client-to-Gateway 시나리오 지원을 위한 랩 컴퓨터 재구성(중요) 이 시나리오는 Windows Server 2008 R2 및 Windows 7 이상의 운영체제에서만 가능합니다.앞선 시나리오에서, 총 3대의 컴퓨터는 단일 서브넷에 존재하고, 10.0.0.x IP주소로 각기 구성되어있습니다. 다음 절차에서, 공용 네트워크로 구성된 다른 네트워크 상으로 CLIENT1W8 컴퓨터를이동시킵니다. 또한, 동일 공용 네트워크에 연결된 공용 네트워크 어댑터를 추가적으로WFASSVR1 서버에 구성합니다. WFASSVR1 서버는 IPsec 게이트웨이 역할을 담당하고, CLIENT1W8컴퓨터가 10.0.0.x 사설 네트워크에 존재하는 DC1 서버에 네트워크 연결을 제공하는 게이트웨이역할을 수행합니다. 또한, 앞선 시나리오에서 CLIENT1W8 및 WFASSVR1에 적용되었던 그룹 정책개체를 제거합니다. 아래는 IPsec Client-to-Gateway 시나리오를 위한 랩 재구성의 개략적인 구성도입니다.IPsec Client-to-Gateway 시나리오를 위한 랩 재구성• Firewall Settings for Windows Servers 그룹 정책 삭제• Firewall Settings for Windows Servers 그룹 정책 삭제• Domain Isolation 그룹 정책 삭제Secure(Trusted) Zone개인 네트워크와 공용 네트워크 사이에IP Forwarding 구성DC1.CORP.DONGCLEE.com• IP : 10.0.0.1 (개인네트워크)• S/M : 255.0.0.0• DG : 10.0.0.91• DNS : 10.0.0.1Windows Server 2012CLIENT1W8.CORP.DONGCLEE.comWindows 8• IP : 131.107.0.201• S/M : 255.255.0.0• DG : 131.107.0.200• DNS : 10.0.0.1Unsecure(Untrusted) ZoneWFASSVR1.CORP.DONGCLEE.com• IP : 10.0.0.91 (개인 네트워크)• S/M : 255.0.0.0• DG : none• DNS : 10.0.0.1• IP : 131.107.0.200 (공용 네트워크)• S/M : 255.255.0.0• DG : none• DNS : noneWindows Server 2012Telnet ServerCORP.DONGCLEE.com앞선 시나리오에서 적용됐던 그룹 정책 개체 제거1. WFASSVR1 컴퓨터에서 관리자 계정으로 로그인 한 후, 시작 화면에서, 그룹 정책 관리도구를 수행합니다.페이지 206 / 232

2. 왼쪽 창에서, 그룹 정책 관리 -> 포리스트: CORP.DONGLCEE.com -> 도메인 ->CORP.DOGNCLEE.com -> MyClientComputers -> Firewall Settings for WindowsClients 순서로 클릭한 후, Firewall Settings for Windows Clients를 오른쪽 마우스 클릭한 후, 삭제를 클릭합니다.3. 그룹 정책 관리 대화 상자에서, 확인을 클릭합니다.4. 왼쪽 창에서, 그룹 정책 관리 -> 포리스트: CORP.DONGLCEE.com -> 도메인 ->CORP.DOGNCLEE.com -> MyClientComputers -> Domain Isolation 순서로 클릭한 후,Domain Isolation을 오른쪽 마우스 클릭한 후, 삭제를 클릭합니다. 동일하게, 그룹 정책관리 대화 상자에서, 확인을 클릭하여 Domain Isolation을 삭제합니다.5. 왼쪽 창에서, 그룹 정책 관리 -> 포리스트: CORP.DONGLCEE.com -> 도메인 ->CORP.DOGNCLEE.com -> MyMemberServers 순서로 클릭한 후, Firewall Settings forWindows Servers 및 Domain Isolation 그룹 정책을 2번, 3번 및 4번과 동일한 작업으로삭제합니다.6. 최종적으로, CLIENT1W8 컴퓨터 및 WFASSVR1 서버에 적용되었던 모든 그룹 정책 개체를 삭제하였습니다.페이지 207 / 232

7. CLIENT1W8 및 WFASSVR1 에서, 관리자 계정으로 로그인 한 후, 관리자 권한으로 명령어 창을 수행한 후, gpupdate /force 명령어를 수행합니다.CLIENT1W8 재구성1. CLIENT1W8 컴퓨터의 현재 연결된 네트워크는 10.0.0.x 대역의 사설 네트워크입니다. 터널 모드 IPsec 시나리오 테스트를 위해 현재 10.0.0.x 대역의 사설 네트워크를 단절하고,131.107.0.x 대역의 공용 네트워크에 연결합니다. 현재 본 가이드의 모든 구성이 Hyper-V호스트 상의 VM으로 구성되어 있습니다. 그러므로, 10.0.0.x 대역 가상 스위치에서131.107.0.x 대역 가상 스위치로 CLIENT1W8 컴퓨터의 네트워크 구성을 변경합니다.페이지 208 / 232

2. CLIENT1W8 컴퓨터의 IP 구성을 아래와 같이 변경합니다.• IP 주소 : 131.107.0.201• 서브넷 마스크 : 255.255.0.0• Default Gateway : 131.107.0.200 (WFASSVR1 컴퓨터의 131.107.0.x 공용 네트워크대역의 IP 주소)• DNS : 10.0.0.1 (기존 10.0.0.x 네트워크 대역에서 사용했던 DNS 서버를 그대로 사용함)페이지 209 / 232

WFASSVR1 재구성1. 이제 WFASSVR1 서버에 131.107.0.x 공용 네트워크 대역에 연결할 수 있는 2번째 네트워크 어댑터를 추가합니다. 추가 작업을 수행하기 위해서는 먼저 WFASSVR1 가상 서버를 셧다운 시킨 후, 2번째 네트워크 어댑터를 추가한 후, 131.107.0.x 가상 스위치에 연결한 후, 다시 WFASSVR1 서버를 시작합니다. 이번에 WFASSVR1 서버에 추가하는131.107.0.x 네트워크 대역은 앞서 CLIENT1W8 컴퓨터에 연결했던 네트워크 대역과 동일한 네트워크 대역임을 반드시 확인해야 합니다.2. WFASSVR1 컴퓨터에서 관리자 계정으로 로그인 한 후, 아래와 같이 131.107.0.x 네트워크 어댑터에 IP 구성을 합니다.• IP 주소 : 131.107.0.200• 서브넷 마스크 : 255.255.0.0• Default Gateway : none• DNS : none페이지 210 / 232

3. WFASSVR1 서버에는 아래와 같이 10.0.0.x 사설 네트워크 대역과 131.107.0.x 공용 네트워크 대역의 2개 IP 주소가 설정되어 있음을 확인합니다.DC1 재구성1. CLIENT1W8 컴퓨터가 131.107.0.x 네트워크 대역에 존재할 때, WFASSVR1 게이트웨이를거쳐 연결한 내부 서버 중에 하나인 DC1 서버의 IP 구성 중에서 기본 게이트웨이 정보를 아래와 같이 구성합니다.• IP 주소 : 10.0.0.1• 서브넷 마스크 : 255.0.0.0• Default Gateway : 10.0.0.91 (WFASSVR1 서버의 10.0.0.x 네트워크 대역의 IP 주소)• DNS : 10.0.0.1페이지 211 / 232

다음 절차에서, 터널 끝에 도착한 패킷이 10.0.0.x 사설 네트워크 쪽으로 전달되도록 또는 반대 방향으로 전달되도록, WFASSVR1 서버에 IP 패킷 전달을 구성합니다.WFASSVR1 에서 패킷 전달 활성화페이지 212 / 232

1. WFASSVR1 에서, 관리자 계정으로 로그인 한 후, 관리자 권한으로 명령어 창을 수행한후, 다음 명령어를 수행합니다:• netsh interface ipv4 set interface “local area connection” forwarding = enabled• netsh interface ipv4 set interface “local area connection 2” forwarding = enabledCLIENT1W8 및 WFASSVR1 에서 ICMP 트래픽 활성화1. WFASSVR1 에서, 관리자 계정으로 로그인 한 후, 고급 방화벽이 포함된 Windows 방화벽 스냅-인을 수행합니다.2. 인바운드 규칙을 클릭한 후, “파일 및 프린터 공유 (에코 요청 – ICMPv4-In) (File andPrinter Sharing (Echo Request – ICMPv4-In))”를 오른쪽 마우스 클릭한 후, 규칙 사용을클릭합니다.3. CLIENT1W8 컴퓨터에서 동일한 규칙을 활성화하기 위해 1번과 2번을 동일하게 수행합니다. CLIENT1W8 컴퓨터에서, 도메인 프로필 및 개인 및 공용 프로필에서 동일한 규칙을 활성화합니다.페이지 213 / 232

4. CLIENT1W8 컴퓨터에서 현재 131.107.0.x 네트워크 대역 상에 존재합니다. 즉,CLIENT1W8 컴퓨터는 131.107.0.201 IP 주소 및 131.107.0.200 기본 게이트웨이가 할당되어 있습니다. 그리고, WFASSVR1 서버는 131.107.0.x 네트워크 대역과 10.0.0.x 네트워크대역의 패킷을 전달하도록 IP 패킷 전달 구성이 활성화되어 있습니다. CLIENT1W8 컴퓨터에서 DC1 (10.0.0.1)의 IP 주소로 ping을 수행합니다. 실제 이 PING 결과는 WFASSVR1서버로부터 응답이 보내집니다.• (주의) 현재 CLIENT1W8 컴퓨터는 사설 네트워크의 DNS 서버 (10.0.0.1)와 통신할 수없기 때문에, IP 주소를 사용해서 PING을 수행합니다.페이지 214 / 232

5. 逆 으로, DC1 서버에서, 외부 CLIENT1W8의 주소인 131.107.0.201에 Ping을 수행하여 역시 성공적임을 확인합니다.페이지 215 / 232

단계 2: 원격 클라이언트 및 IPsec 게이트웨이를 위한 보안 연결 규칙 생성현재 CLIENT1W8 컴퓨터는 공용 네트워크 상에 존재합니다. WFASSVR1 서버는 2개의 네트워크어댑터가 설치되어 있고, 하나는 CLIENT1W8 컴퓨터와 연결 가능한 공용 네트워크에 연결되어 있고, 다른 하나는 DC1 서버와 연결 가능한 사설 네트워크에 연결되어 있습니다. CLIENT1W8 컴퓨터는 현재 도메인 컨트롤러와 연결할 수 없기 때문에, 그룹 정책 업데이트를 받을 수 없으므로,관리자는 수동으로 터널 모드 IPsec 규칙을 생성해야만 합니다.(중요) 다시 한 번 강조하지만, 이 단계에서 구현하는 기능은 Windows Server 2008 R2 및Windows 7 이상의 운영체제에서만 가능합니다.아래 그림은 “클라이언트에서 게이트웨이로” 보안 연결 규칙인 “Tunnel on Client” 와 “게이트웨이에서 클라이언트로” 보안 연결 규칙인 “Tunnel on Gateway”를 구현한 개략적인 구성도입니다.“클라이언트에서 게이트웨이로” 연결 보안 규칙 생성“게이트웨이에서 클라이언트로” 연결 보안 규칙 생성Secure(Trusted) ZoneDC1.CORP.DONGCLEE.com• IP : 10.0.0.1 (개인네트워크)• S/M : 255.0.0.0• DG : 10.0.0.91• DNS : 10.0.0.1Windows Server 2012Tunnel on Client 연결 보안 규칙클라이언트 : 내 IP 주소원격 터널 끝점 : 131.107.0.200원격 끝점이란(W)? : 10.0.0.0/8CLIENT1W8.CORP.DONGCLEE.comWindows 8• IP : 131.107.0.201• S/M : 255.255.0.0• DG : 131.107.0.200• DNS : 10.0.0.1Unsecure(Untrusted) ZoneTunnel on Gateway 연결 보안 규칙로컬 끝점 지점(W) : 10.0.0.0/8로컬 터널 끝점 : 131.107.0.200클라이언트 : 모든 IP 주소CORP.DONGCLEE.comWFASSVR1.CORP.DONGCLEE.com• IP : 10.0.0.91 (개인 네트워크)• S/M : 255.0.0.0• DG : none• DNS : 10.0.0.1• IP : 131.107.0.200 (공용 네트워크)• S/M : 255.255.0.0• DG : none• DNS : noneWindows Server 2012Telnet ServerCLIENT1W8에서 터널 모드 규칙 생성1. CLIENT1W8 컴퓨터에서, 관리자 계정으로 로그인 한 후, 고급 방화벽이 포함된Windows 방화벽 스냅-인을 수행합니다.2. 연결 보안 규칙을 오른쪽 마우스 클릭한 후, 새 규칙을 클릭합니다.페이지 216 / 232

3. 새 연결 보안 규칙 마법사의 규칙 종류 페이지에서, 터널을 선택한 후, 다음을 클릭합니다.4. 터널 종류 페이지에서, “클라이언트에서 게이트웨이로 (Client-to-gateway)”를 선택한 후,다음을 클릭합니다.페이지 217 / 232

5. 요구 사항 페이지에서, “인바운드 및 아웃바운드 연결에 대한 인증 필요 (Requireauthentication for inbound and outbound connections)”를 선택한 후, 다음을 클릭합니다.6. “터널 끝점(클라이언트에서 게이트웨이로) (Tunnel Endpoints (Client-to-Gateway))” 페이지에서, “원격 터널 끝점 (Remote tunnel endpoint)” 부분에 IPv4 주소 항목에131.107.0.200 (WFASSVR1 서버의 공용 네트워크 어댑터에 할당된 IP 주소)을 입력합니다.로컬 터널 끝점은 별도로 지정하지 않음을 확인할 수 있습니다. 이미 내 IP 주소로 구성되어 있음을 확인할 수 있습니다. 이러한 규칙은 게이트웨이 서버의 모든 클라이언트와일치하기 때문에, 로컬 터널 끝점 주소 자동 지정은 그룹 정책 개체 배포의 단순화를 위한 Windows Server 2008 R2 및 Windows 7 이상의 운영체제의 새로운 기능입니다. 각페이지 218 / 232

클라이언트 컴퓨터를 위한 특정 로컬 터널 끝점을 포함한 다중 규칙 배포가 더 이상 필요하지 않음을 의미합니다.7. “원격 끝점이란? (What are the remote endpoints?)” 항목에서 추가를 클릭합니다.8. 10.0.0.0/8 CIDR(Classless Inter-Domain Routing) 표현을 사용하여 게이트웨이 서버 背後 의 사설 네트워크의 서브넷 ID를 입력한 후, 확인을 클릭한 후, 다음을 클릭합니다.페이지 219 / 232

9. 인증 방법 페이지에서, 고급을 선택한 후, 사용자 지정을 클릭합니다.10. 첫 번째 인증 방법 하위의 추가를 클릭합니다.페이지 220 / 232

11. 첫 번째 인증 방법 추가 대화 상자에서, 미리 공유한 키(권장하지 않음)을 선택한 후, 입력 창에 TunnelPassword123을 입력한 후, 확인을 2번 연속 클릭한 후에, 다음을 클릭합니다.(경고) 실제 환경에서 미리 공유한 키 방식을 사용하면 안 됩니다. 미리 공유한 키 방식은 보안에취약하고, 관리도 쉽지 않습니다. 서드-파티 CA로 구매하거나, Windows Server 운영체제의 사설CA로부터 발급받은 컴퓨터 인증서를 사용하는 것이 권장 사항입니다. 본 가이드에서는 CA를 事前 에 구축하지 않았기 때문에, 미리 공유한 키 방식을 사용했음을 유의해야 합니다.페이지 221 / 232

12. 프로필 페이지에서, 다음을 클릭합니다. 아래 도메인, 개인 및 공용 프로필을 모두 선택하는 이유는 CLIENT1W8 컴퓨터가 도메인, 개인 및 공용 네트워크 위치에 모두 존재할수 있기 때문에, 모든 네트워크 위치에 해당 연결 보안 규칙을 활성화합니다.페이지 222 / 232

13. 이름 페이지에서, Tunnel on Client을 입력한 후, 마침을 클릭합니다.WFASSVR1에서 터널 모드 규칙 생성1. WFASSVR1 서버에서, 관리자 계정으로 로그인 한 후, 고급 방화벽이 포함된 Windows페이지 223 / 232

방화벽 스냅-인을 수행합니다.2. 연결 보안 규칙을 오른쪽 마우스 클릭한 후, 새 규칙을 클릭합니다.3. 새 연결 보안 규칙 마법사의 규칙 종류 페이지에서, 터널을 선택한 후, 다음을 클릭합니다.4. 터널 종류 페이지에서, “게이트웨이에서 클라이언트로 (Gateway-to-client)”를 선택한 후,다음을 클릭합니다.5. 요구 사항 페이지에서, “인바운드 및 아웃바운드 연결에 대한 인증 필요 (Requireauthentication for inbound and outbound connections)”를 선택한 후, 다음을 클릭합니다.6. “터널 끝점(게이트웨이에서 클라이언트로) (Tunnel Endpoints (Gateway-to-Client))” 페이지에서, “로컬 끝점 지점 (What are the local endpoints)” 부분에서 추가를 클릭합니다.페이지 224 / 232

10.0.0.0/8 CIDR(Classless Inter-Domain Routing) 표현을 사용하여 게이트웨이 서버 背後 의 사설 네트워크의 서브넷 ID를 입력한 후, 확인을 클릭합니다.7. “로컬 터널 끝점 (Local tunnel endpoint)” 부분에서, IPv4 주소 부분에 131.107.0.200(WFASSVR1 서버의 공용 네트워크 어댑터에 할당된 IP 주소)을 입력한 후, 다음을 클릭합니다.“터널 끝점(게이트웨이에서 클라이언트로) (Tunnel Endpoints (Gateway-to-Client))” 페이지에서 클라이언트 IP 주소를 지정하지 않고, “모든 IP 주소 (Any IP address)”로 이미 지정되어 있음을 확인할 수 있습니다. 이 규칙이 게이트웨이 서버의 모든 클라이언트와 일치하기 때문에, GPO 배포를 단순화하기 위한 Windows 7 및 Windows Server 2008 R2의신규 기능입니다. 각 클라이언트 컴퓨터를 위한 특정 로컬 터널 끝점 설정을 포함한 다중 규칙을 더 이상 배포할 필요가 없습니다.또한, “IPsec 터널 인증 적용 (Apply IPsec tunnel authorization)” 체크 상자를 유념해야합니다. 이 옵션 역시 Windows 7 및 Windows Server 2008 R2의 신규 기능입니다. 이 옵션은 게이트웨이에서 클라이언트로 및 사용자 지점 터널 형식에서 사용 가능합니다. 고급 보안이 포함된 Windows 방화벽의 속성 페이지의 IPsec 설정 탭에서, 터널을 사용하여 해당 게이트웨이에 연결할 수 있는 허가된 사용자 및 컴퓨터를 지정할 수 있습니다.8. 인증 방법 페이지에서, 고급을 선택한 후, 사용자 지정을 클릭합니다.9. 첫 번째 인증 방법 하위의 추가를 클릭합니다.10. 첫 번째 인증 방법 추가 대화 상자에서, 미리 공유한 키(권장하지 않음)을 선택한 후, 입력 창에 TunnelPassword123을 입력한 후, 확인을 2번 연속 클릭한 후에, 다음을 클릭합니다.페이지 225 / 232

11. 프로필 페이지에서, 다음을 클릭합니다.12. 이름 페이지에서, Tunnel on Gateway을 입력한 후, 마침을 클릭합니다.페이지 226 / 232

단계 3: 터널 모드 규칙 테스트터널 모드 규칙이 정의되면, 관리자는 공용 네트워크 상의 CLIENT1W8 컴퓨터에서 WFASSVR1 서버를 통하여 사설 네트워크에 존재하는 DC1 (도메인 컨트롤러)에 연결을 시도할 수 있습니다.(중요) 다시 한 번 강조하지만, 이 단계에서 테스트는 Windows Server 2008 R2 및 Windows 7이상의 운영체제에서만 가능합니다.CLIENT1W8 에서 WFASSVR1 사이는 IPsec 터널 통신을 한 후, WFASSVR1 서버와 DC1 사이는Plaintext 통신을 합니다. 즉, CLIENT1W8 컴퓨터에서 DC1 사이의 통신 중에서 공용 네트워크 상에서는 IPsec 터널 통신을 하게 되므로, 보안을 강화할 수 있습니다. 아래 그림은 본 테스트의 개략적인 구성도입니다.CLIENT1W8 에서 DC1 사이의 통신From 131.107.0.201 To 131.107.0.200 : IPsec 통신From 10.0.0.91 To 10.0.0.1 : Plaintext 통신Secure(Trusted) ZoneDC1.CORP.DONGCLEE.com• IP : 10.0.0.1 (개인네트워크)• S/M : 255.0.0.0• DG : 10.0.0.91• DNS : 10.0.0.1Windows Server 2012Ping 10.0.0.1From : 10.0.0.91To : 10.0.0.1Plaintext 통신CLIENT1W8.CORP.DONGCLEE.comWindows 8• IP : 131.107.0.201• S/M : 255.255.0.0• DG : 131.107.0.200• DNS : 10.0.0.1Unsecure(Untrusted) ZonePing 10.0.0.1From : 131.107.0.201To : 131.107.0.200IPsec 터널CORP.DONGCLEE.comWFASSVR1.CORP.DONGCLEE.com• IP : 10.0.0.91 (개인 네트워크)• S/M : 255.0.0.0• DG : none• DNS : 10.0.0.1• IP : 131.107.0.200 (공용 네트워크)• S/M : 255.255.0.0• DG : none• DNS : noneWindows Server 2012Telnet Server터널을 통한 사설 네트워크와의 통신1. CLIENT1W8 컴퓨터에서, 관리자 계정으로 로그인 한 후, 고급 방화벽이 포함된Windows 방화벽 스냅-인을 수행합니다.2. 모니터링 -> 보안 연결 순서로 확장한 후, 빠른 모드를 클릭합니다. CLIENT1W8 컴퓨터에서 사설 네트워크(10.0.0.x) 대역에 연결을 시도하기 前 까지는, QMSA(Quick ModeSecurity Association) 항목은 공백입니다.페이지 227 / 232

3. 명령어 창을 수행하고, QMSA 항목을 볼 수 있도록, 명령어 창과 고급 보안이 포함된Windows 방화벽의 위치를 조절합니다.4. 명령어 창에서, ping 10.0.0.1을 수행합니다. Ping 연결이 성공합니다. IPsec 터널 협상에의해 유발되는 지연 때문에 첫 번째 Ping 패킷은 손실될 수도 있음을 유념해야 합니다.5. 고급 보안이 포함된 Windows 방화벽 스냅-인의 동작 창에서, 새로 고침을 클릭합니다.클라이언트와 게이트웨이 사이의 QMSA 항목이 보여짐을 확인할 수 있습니다.페이지 228 / 232

6. 명령어 창에서 net view \\dc1 을 수행합니다.위 명령어는 컴퓨터의 이름을 찾기 위하여 DNS를 사용하고, 파일 서버 역할 내에서DC1으로부터 공유 폴더 정보를 요청하기 위하여 SMB 프로토콜 차단을 사용합니다. 이러한 모든 네트워크 패킷은 CLIENT1W8 과 WFASSVR1 사이의 IPsec 터널을 통하여 전달됩니다. 이러한 네트워크 패킷들은 사설 네트워크 쪽으로 전달된 후, WFASSVR1 게이트웨이에서 DC1 대상 서버까지 plaintext로 전달됩니다. DC1으로부터 응답은 DC1의 기본게이트웨이로 전달되고, 터널 모드 규칙은 이러한 응답을 IPsec ESP 헤더로 암호화하고,공용 네트워크 상의 CLIENTT1W8으로 전달합니다. 터널의 끝점이기 때문에, CLIENT1W8의 IPsec은 IPsec ESP 헤더를 제거한 후, 실제 요청을 했던 어플리케이션으로 데이터그램을 전달합니다.또한, 공용 네트워크에 위치하고 있는 CLIENT1W8 에서, gpupdate /force 명령어를 수행하여, 아래와 같이 정상적으로 그룹 정책이 적용되고 있음을 확인할 수 있습니다.페이지 229 / 232

페이지 230 / 232

요약고급 보안이 포함된 Windows 방화벽은 조직 내의 컴퓨터를 보호하기 위한 Defense-in-Depth 보안 전략에서 중요한 구성요소이다. Perimeter 방화벽을 bypass하거나 동일 네트워크 내에서 유발되는 보안 위협을 경감시킬 수 있는 도구 중의 하나가 고급 보안이 포함된 Windows 방화벽입니다.본 문서에서, Windows 8, Windows7, Windows Vista, Windows Server 2012, Windows Server 2008R2 및 Windows Server 2008에 포함된 고급 보안이 포함된 Windows 방화벽의 기능을 소개했습니다.• 기본 인바운드 및 아웃바운드 방화벽 규칙을 설정하기 위하여 고급 보안이 포함된Windows 방화벽을 사용합니다.• 도메인 내의 모든 컴퓨터에 방화벽 설정을 구성하기 위하여 그룹 정책 개체을 생성하였고, 사용자 계정들이 이러한 도메인 수준의 방화벽 설정을 override 할 수 없음을 확인했습니다.• 도메인 멤버가 아닌 컴퓨터들이 도메인 멤버 컴퓨터들에 접근하지 못 하도록 제한하는 기본 Domain Isolation 규칙 집합을 생성했습니다.• 승인된 그룹의 구성원인 도메인 컴퓨터들만이 민감한 정보를 소유한 서버에 접근할수 있도록 연결 보안 규칙을 생성했습니다. 이러한 연결 보안 규칙은 ServerIsolation을 구성하는 주요 방법입니다.• 특정 신뢰된 컴퓨터들이 도메인 수준의 차단 방화벽 규칙을 무시하도록 “차단 규칙무시” 설정을 포함한 방화벽 규칙을 생성했습니다. 즉, “차단 규칙 무시” 설정을 포함한 방화벽 허용 규칙은 동일 트래픽에 대해서 차단 규칙에 우선하여 허용 규칙이 적용됩니다.• 마지막으로, 공용 네트워크 대역에 존재하는 CLIENT1W8(131.107.0.201)에서, 특정 네트워크 주소(10.0.0.x 사설 네트워크 대역)를 목적지로 하는 네트워크 트래픽은 IPsec을 통해 보호되고, 이 IPsec 트래픽은 기본 게이트 서버(131.107.0.200 : WFASSVR1서버의 공용 네트워크 어댑터 주소)로 라우팅됩니다. 라우팅된 IPsec 네트워크 트래픽은 해독되어 plaintext 트래픽 상태로 목적지 서버(10.0.0.1 : DC1)에 전송됩니다.페이지 231 / 232

참조 자료Create WMI Filters for the GPO ( http://technet.microsoft.com/en-us/library/jj717288.aspx )Windows Firewall (http://go.microsoft.com/fwlink/?linkid=95393)Windows Firewall with Advanced Security - Diagnostics and Troubleshooting(http://go.microsoft.com/fwlink/?linkid=95372)IPsec (http://go.microsoft.com/fwlink/?linkid=95394)Simplifying IPsec Policy with the Simple Policy Update(http://go.microsoft.com/fwlink/?linkid=94767)Server and Domain Isolation (http://go.microsoft.com/fwlink/?linkid=95395)Group Policy (http://go.microsoft.com/fwlink/?linkid=93542)페이지 232 / 232