Windows Server 2012 WFASë¥¼ ì¬ì©í Domain ... - TechNet Blogs

More documents

Recommendations

Info

연결 보안(Connection Security) 및 IPsecIPsec(Internet Protocol Security)은 암호화 보안 서비스를 사용함으로써 TCP/IP 네트워크 상의 통신 보호를 위한 표준 개방형 프레임워크입니다. IPsec은 네트워크 수준 피어 인증, 데이터 원본 인증, 데이터 무결성, 데이터 기밀(암호) 기능을 지원합니다. 마이크로소프트는 표준 IPsec에 기반한IPsec 기능을 지원합니다.Windows Vista 및 그 이후의 운영체제에 포함된 IPsec은 OSI 네트워크 참조 모델의 Layer3(Network 계층)에 완전히 통합되어 있습니다. Layer 3에 통합된 IPsec은 컴퓨터 상에 운영되는 프로그램과는 독립적으로 임의의 IP 기반 프로토콜에 보호 기능을 제공할 수 있다는 것을 의미합니다. IPsec은 또한 IPv4 및 IPv6 모두 지원합니다. IPsec은 全社 차원의 네트워크 자원을 보호하기위한 defense-in-depth 전략에서 중요한 방법 중의 하나입니다.IPsec 동작 방식IPsec은 네트워크 트래픽에 다양한 연결 보안 서비스를 지원합니다. 보안이 필요한 네트워크 트래픽을 구분할 수 있도록 WFAS에서 연결 보안 규칙을 생성하여, 특정 네트워크 트래픽을 보호할수 있습니다.• 원본 인증 (Source Authentication) : 네트워크 연결에 참여하는 각 컴퓨터가 원격 컴퓨터의 실체 여부 검증을 수신하는 기능이 원본 인증입니다. 각 컴퓨터는 상호 간에 서로의 신분을 인증할 수 있는 특정 양식의 자격 증명이 필요합니다. 도메인 컨트롤러에서발급되는 Kerberos 토큰 또는 신뢰할 수 있는 인증 기관으로부터 발급된 사용자 및 컴퓨터 인증서가 통상적으로 사용되는 인증 방법입니다.• 데이터 무결 (Data Integrity) : 데이터 무결은 수신된 패킷과 전송되었던 패킷이 동일함을 확인할 수 있는 기능입니다. 즉, 전송 중에 네트워크 패킷이 손상되거나 수정되지 않았음을 확인하는 기능입니다. IPsec 보호 연결을 통해 전송되는 네트워크 패킷은 패킷 내에 암호화 해시를 포함합니다. 해시는 전송 컴퓨터에 의해 계산되고, 암호화된 후, 전송네트워크 패킷 내에 포함됩니다. 수신 컴퓨터는 수신된 네트워크 패킷 상에서 자신의 해시를 계산하고, 포함된 해시를 복호화 한 후, 2개의 값을 비교합니다. 이 2개의 값이 동일하다면, 패킷은 정상적으로 처리됩니다. 만약, 2개의 값이 동일하지 않다면, 전송 중의 패킷이 손상되거나 수정된 것으로 판단하고, 해당 네트워크 패킷은 전송 처리되지 않습니다.• 데이터 기밀 (Data Confidentiality) : 데이터 기밀은 네트워크 연결 내에 포함된 정보가허가되지 않은 컴퓨터 또는 사용자에 의해 접근할 수 없도록 하는 기능입니다. 데이터기밀 기능이 활성화되면, 연결 보안에 통해 전송되는 모든 네트워크 패킷은 암호화된 자신의 데이터 페이로드가 추가됩니다. 패킷 암호화를 위해 다양하고 강력한 암호화 프로토콜이 사용 가능합니다. 통상적으로, 좀 더 강한 암호화 수준을 지원하는 프로토콜은 암호화 알고리즘을 처리하기 위해 더 많은 컴퓨터 자원을 필요로 합니다.페이지 11 / 232
트랜스포트 vs. 터널 모드IPsec은 트랜스포트 또는 터널 모드로 운영됩니다.트랜스포트 모드 (Transport Mode)트랜스포트 모드에서, 네트워크 트래픽은 원본 컴퓨터에 의해 IPsec으로 보호됩니다. 그리고, 대상컴퓨터로 전송되는 네트워크 트래픽의 모든 경로는 IPsec으로 보호됩니다. IPsec-보호된 패킷은 라우터와 같은 표준 IP 데이터그램을 통해 대상 컴퓨터에 라우팅됩니다. 트랜스포트 모드는 end-toend보안을 제공합니다. 트랜스포트 모드 연결 보안 규칙은 오로지 2개의 IP 주소만 필요합니다.이 2개의 IP 주소는 원본 및 대상 컴퓨터의 IP 주소입니다. 추후 이 가이드에서 소개하는 Domain및 Server 고립은 트랜스포트 모드 IPsec 규칙을 사용합니다. 다음 그림은 트랜스포트 모드에 대한 소개입니다. 트랜스포트 모드는 각 컴퓨터로부터 원격 컴퓨터 사이에 IPsec 보호 연결을 구축합니다.터널 모드 (Tunnel Mode)터널 모드에서, 네트워크 트래픽은 원본과 대상 컴퓨터 사이의 일부 구간에서만 IPsec-보호 됩니다. 즉, 네트워크 트래픽은 일부 구간은 신뢰되지 않은 네트워크에서 전송 및 수신됩니다. 예를들어, 인터넷으로 분리된 2개 지역의 사설 인트라넷을 가진 조직은 2개 사설 인트라넷을 하나의논리 네트워크로 구성하기 위해 IPsec 터널 모드를 사용합니다. 이러한 구성을 위하여, 각 인트라넷 상의 특정 컴퓨터는 “IPsec 게이트웨이” 또는 “터널 끝점 (Tunnel Endpoint)”으로 구성해야 합니다. 각 인트라넷에 존재하는 서버 및 클라이언트 컴퓨터들은 자신의 라우터로써 IPsec 게이트웨이 또는 터널 끝점으로 설정합니다. 그러나, 전형적인 라우터와 같이 인터넷 상에 패킷을 라우팅하는 대신에, 게이트웨이는 IPsec-보호된 연결 또는 터널을 생성한 후, 터널을 통해 패킷을 전송한다. 네트워크 트래픽은 클라이언트와 로컬 게이트웨이 사이에는 암호화되지 않은 平文 (plain text)페이지 12 / 232
Page 1 and 2: Windows Firewall withAdvanced Secur
Page 3 and 4: 단계 5: 로컬 관리자 그룹
Page 5 and 6: 데모 환경아래는 고급 보
Page 8 and 9: 트워크 위치 형태의 종류
Page 10 and 11: Host Firewall고급 보안이 포
Page 14 and 15: 으로 전송되고, 로컬 게이
Page 16 and 17: 그룹 정책그룹 정책을 사
Page 18 and 19: 페이지 17 / 232
Page 20 and 21: • 고급 보안이 포함된 Wind
Page 22 and 23: 단계 1: 제어판의 Windows Fire
Page 24 and 25: 4. Windows 방화벽 페이지에
Page 26 and 27: 주의) Windows 방화벽 (Mspsvc)
Page 28 and 29: 페이지 27 / 232
Page 30 and 31: IPsec 을 위한 전역(non-profile
Page 32 and 33: 5. 명령어 창을 닫습니다.
Page 34 and 35: 5. 각 프로필 별로 상태, 설
Page 36 and 37: 그룹 정책을 사용한 기본
Page 38 and 39: 4. Computers 컨테이너에 존재
Page 40 and 41: 4. 2 개의 OU 를 생성 후에, G
Page 42 and 43: 6. Overview 영역에서, 각 네
Page 44 and 45: 단계 4: 테스트 방화벽 설
Page 46 and 47: 2. 명령어 창에서, 방화벽
Page 48 and 49: 단계 5: 로컬 관리자 그룹
Page 50 and 51: 7. 범위 페이지에서, 기본
Page 52 and 53: 11. 이제 다시 명령어 창에
Page 54 and 55: 5. 방화벽 설정 부분의 알
Page 56 and 57: 4. “고급 보안이 포함된 Wi
Page 58 and 59: 3. 관리자 권한으로 수행한
Page 60 and 61: 다음 절차에서, 도메인 관
Page 62 and 63:
단계 7: WMI 및 그룹 필터 생
Page 64 and 65:
Windows Server 2008 or Windows Vist
Page 66 and 67:
이제 Firewall Settings for Window
Page 68 and 69:
다음 절차에서, 앞서 생성
Page 70 and 71:
Users and Computer 도구를 수행
Page 72 and 73:
단계 8: 방화벽 로깅 활성
Page 74 and 75:
4. 그룹 정책 관리 편집기
Page 76 and 77:
9. GPO를 저장하기 위해 확
Page 78 and 79:
6. 고급 보안이 포함된 Windo
Page 80 and 81:
확인해 보면, Event ID 2005 및
Page 82 and 83:
7. .cab 파일은 .xml 파일 및 .
Page 84 and 85:
요구된(Required) 인바운드
Page 86 and 87:
인 -> CORP.DOGNCLEE.com -> 그룹
Page 88 and 89:
5. 새 인바운드 규칙 마법
Page 90 and 91:
Page 92 and 93:
페이지 91 / 232
Page 94 and 95:
단계 2의 WFASSVR1 서버에 Teln
Page 96 and 97:
3. 인바운드 규칙을 오른쪽
Page 98 and 99:
8. 프로토콜 및 포트 페이
Page 100 and 101:
페이지 99 / 232
Page 102 and 103:
3. 도메인 프로필 탭에서,
Page 104 and 105:
다음 단계에서, 앞선 Telnet
Page 106 and 107:
다음 단계 3에서, 관리자가
Page 108 and 109:
3. 프로토콜 및 포트 탭을
Page 110 and 111:
5. Telnet 세션을 닫기 위하
Page 112 and 113:
습니다. Endpoint Mapper 서비
Page 114 and 115:
RPC Endpoint Mapper 서비스를
Page 116 and 117:
9. 범위 페이지에서, 다음
Page 118 and 119:
하는 실행 파일의 경로를
Page 120 and 121:
13. WFASSVR1 컴퓨터에서, 관
Page 122 and 123:
2009-06-09 10:15:54 ALLOW TCP 192.1
Page 124 and 125:
Unwanted 아웃바운드 네트워
Page 126 and 127:
1. WFASSVR1 컴퓨터의, 그룹
Page 128 and 129:
후, 다음을 클릭합니다.8.
Page 130 and 131:
11. 새 아웃바운드 규칙 마
Page 132 and 133:
18. 프로그램 페이지에서,
Page 134 and 135:
방화벽 -> 고급 보안이 포
Page 136 and 137:
3. Core Networking 및 File and Pri
Page 138 and 139:
급 보안이 포함된 Window 방
Page 140 and 141:
4. Telnet 세션을 종료하기
Page 142 and 143:
기본 Domain Isolation 정책 배
Page 144 and 145:
단계 1: 인증 요청(authenticat
Page 146 and 147:
Firewall and Connection Security in
Page 148 and 149:
5. 사용자 구성 설정 사용
Page 150 and 151:
11. 프로필 페이지에서, 개
Page 152 and 153:
단계 2: 연결 보안 규칙 배
Page 154 and 155:
Page 156 and 157:
페이지 155 / 232
Page 158 and 159:
Windows 설정 -> 보안 설정 ->
Page 160 and 161:
수정된 인증 요구 그룹 정
Page 162 and 163:
다음 절차에서, CLIENT1W8에
Page 164 and 165:
단계 5: 도메인 멤버가 아
Page 166 and 167:
5. IP 주소 대화 상자에서,
Page 168 and 169:
7. 컴퓨터 제외 페이지에서
Page 170 and 171:
(주의) 위 DNS 서버 배제 규
Page 172 and 173:
단계 1: 보안 그룹 생성본
Page 174 and 175:
단계 2: 암호화 및 그룹 멤
Page 176 and 177:
6. 다음 중에 하나를 수행
Page 178 and 179:
10. Allow Inbound Telnet Properties
Page 180 and 181:
LDAP://cn={GUID},cn=policies,cn=sys
Page 182 and 183:
10. 작업 페이지에서, 다음
Page 184 and 185:
12. 프로필 페이지에서, 개
Page 186 and 187:
단계 4: 그룹 구성원이 아
Page 188 and 189:
페이지 187 / 232
Page 190 and 191:
Computers 도구를 수행합니다
Page 192 and 193:
6. 빠른 모드의 결과 창에
Page 194 and 195:
IPsec-보호된 네트워크 트래
Page 196 and 197:
급 보안이 포함된 Window 방
Page 198 and 199:
Telnet 차단 규칙과 Telnet 허
Page 200 and 201:
단계 2: 차단 규칙을 Override
Page 202 and 203:
6. 가장 간단한 예제를 위
Page 204 and 205:
페이지 203 / 232
Page 206 and 207:
터널 모드 IPsec 규칙 생성IP
Page 208 and 209:
2. 왼쪽 창에서, 그룹 정책
Page 210 and 211:
2. CLIENT1W8 컴퓨터의 IP 구성
Page 212 and 213:
3. WFASSVR1 서버에는 아래와
Page 214 and 215:
1. WFASSVR1 에서, 관리자 계
Page 216 and 217:
5. 逆 으로, DC1 서버에서,
Page 218 and 219:
3. 새 연결 보안 규칙 마법
Page 220 and 221:
클라이언트 컴퓨터를 위한
Page 222 and 223:
11. 첫 번째 인증 방법 추가
Page 224 and 225:
13. 이름 페이지에서, Tunnel
Page 226 and 227:
10.0.0.0/8 CIDR(Classless Inter-Dom
Page 228 and 229:
단계 3: 터널 모드 규칙 테
Page 230 and 231:
6. 명령어 창에서 net view \\d
Page 232 and 233:
요약고급 보안이 포함된 Wi
show all

Windows Server 2012 WFASë¥¼ ì¬ì©í Domain ... - TechNet Blogs

Create successful ePaper yourself

Delete template?

Save as template?

Windows Server 2012 WFASë¥¼ ì¬ì©í Domain ... - TechNet Blogs