터널 모드 IPsec 규칙 생성IPsec 터널 모드 규칙은 인터넷을 통해 사설 네트워크에 보호된 네트워크 연결을 하기 위해 사용할 수 있습니다. 또는, 인터넷 상에 분리된 2개의 사설 네트워크 사이의 보호된 네트워크 연결을위해 IPsec 터널 모드 규칙을 사용할 수 있습니다.<strong>Windows</strong> 초기 버전에서, 클라이언트-to-게이트웨이 네트워크 형식을 위한 IPsec 규칙 생성은 게이트웨이 서버에서는 손쉽게 구현할 수 있었습니다. 반면에, 클라이언트 측에 IPsec 터널 모드 규칙을 배포하는 것이 어려운 작업이었습니다. 클라이언트 측에 배포할 IPsec 규칙은 양쪽 터널의끝점 IP 주소를 명백하게 지정해야 하기 때문에, 클라이언트 측의 IP 구성이 복잡 및 어려움 작업이 될 수 있습니다. 즉, 각 클라이언트의 customized 규칙은 게이트웨이에 연결 가능해야 합니다.그러나, <strong>Windows</strong> <strong>Server</strong> 2008 R2 및 <strong>Windows</strong> 7 이상의 운영체제를 사용한다면, 로컬 끝점 및 로컬 터널 끝점에서 “Any” 핵심단어를 사용할 수 있습니다. “Any”라는 용어는 로컬 컴퓨터 자신의IP 주소를 의미합니다. (In earlier versions of <strong>Windows</strong>, creating IPsec rules for client-to-gatewaytype rules were easy to deploy on the gateway server, but difficult to deploy to the clients. Thiswas because in these IPsec rules you needed to specify both ends of the tunnel by an explicit IPaddress, and both sets of computers at either end of the tunnel that are accessible through thetunnel. This meant that you had to have a customized rule for each client that you wantedenabled to connect to the gateway. Starting with <strong>Windows</strong> <strong>Server</strong> 2008 R2 and <strong>Windows</strong> 7,however, you can use the “Any” keyword for both the local endpoint and the local tunnelendpoint. When this rule is deployed on the client, “Any” is interpreted to mean the localcomputer’s own IP address. This enables you to deploy a single rule to all of the clients that haveonly the remote tunnel endpoint computer’s IP address, and the IP addresses of the computersaccessible beyond the gateway.)(중요) 이 시나리오는 <strong>Windows</strong> <strong>Server</strong> 2008 R2 및 <strong>Windows</strong> 7 이상의 운영체제에서만 가능합니다.이번 단계에서, 먼저 다중 네트워크 원격 접근 시나리오를 테스트하기 위해서 랩 컴퓨터를 재구성해야 합니다. CLIENT1W8 컴퓨터는 테스트 “공용” 네트워크 상의 원격 클라이언트 역할을 담당하고, WFASSVR1 서버는 두 번째 네트워크 어댑터를 추가적으로 구성하여 IPsec 게이트웨이 역할을 담당합니다. 즉, WFASSVR1 서버는 앞선 단계에서 사용했던 원본 사설 네트워크 어댑터와 이번 단계에서 추가할 공용 네트워크 어댑터 등 총 2개의 네트워크 어댑터가 설치 및 구성됩니다.DC1 컴퓨터는 여전히 사설 네트워크에 위치하고, CLEINT1W8 컴퓨터에서 연결 테스트를 진행할대상 서버로 동작합니다.페이지 205 / 232
단계 1: IPsec Client-to-Gateway 시나리오 지원을 위한 랩 컴퓨터 재구성(중요) 이 시나리오는 <strong>Windows</strong> <strong>Server</strong> 2008 R2 및 <strong>Windows</strong> 7 이상의 운영체제에서만 가능합니다.앞선 시나리오에서, 총 3대의 컴퓨터는 단일 서브넷에 존재하고, 10.0.0.x IP주소로 각기 구성되어있습니다. 다음 절차에서, 공용 네트워크로 구성된 다른 네트워크 상으로 CLIENT1W8 컴퓨터를이동시킵니다. 또한, 동일 공용 네트워크에 연결된 공용 네트워크 어댑터를 추가적으로WFASSVR1 서버에 구성합니다. WFASSVR1 서버는 IPsec 게이트웨이 역할을 담당하고, CLIENT1W8컴퓨터가 10.0.0.x 사설 네트워크에 존재하는 DC1 서버에 네트워크 연결을 제공하는 게이트웨이역할을 수행합니다. 또한, 앞선 시나리오에서 CLIENT1W8 및 WFASSVR1에 적용되었던 그룹 정책개체를 제거합니다. 아래는 IPsec Client-to-Gateway 시나리오를 위한 랩 재구성의 개략적인 구성도입니다.IPsec Client-to-Gateway 시나리오를 위한 랩 재구성• Firewall Settings for <strong>Windows</strong> <strong>Server</strong>s 그룹 정책 삭제• Firewall Settings for <strong>Windows</strong> <strong>Server</strong>s 그룹 정책 삭제• <strong>Domain</strong> Isolation 그룹 정책 삭제Secure(Trusted) Zone개인 네트워크와 공용 네트워크 사이에IP Forwarding 구성DC1.CORP.DONGCLEE.com• IP : 10.0.0.1 (개인네트워크)• S/M : 255.0.0.0• DG : 10.0.0.91• DNS : 10.0.0.1<strong>Windows</strong> <strong>Server</strong> <strong>2012</strong>CLIENT1W8.CORP.DONGCLEE.com<strong>Windows</strong> 8• IP : 131.107.0.201• S/M : 255.255.0.0• DG : 131.107.0.200• DNS : 10.0.0.1Unsecure(Untrusted) ZoneWFASSVR1.CORP.DONGCLEE.com• IP : 10.0.0.91 (개인 네트워크)• S/M : 255.0.0.0• DG : none• DNS : 10.0.0.1• IP : 131.107.0.200 (공용 네트워크)• S/M : 255.255.0.0• DG : none• DNS : none<strong>Windows</strong> <strong>Server</strong> <strong>2012</strong>Telnet <strong>Server</strong>CORP.DONGCLEE.com앞선 시나리오에서 적용됐던 그룹 정책 개체 제거1. WFASSVR1 컴퓨터에서 관리자 계정으로 로그인 한 후, 시작 화면에서, 그룹 정책 관리도구를 수행합니다.페이지 206 / 232
- Page 1 and 2:
Windows Firewall withAdvanced Secur
- Page 3 and 4:
단계 5: 로컬 관리자 그룹
- Page 5 and 6:
데모 환경아래는 고급 보
- Page 8 and 9:
트워크 위치 형태의 종류
- Page 10 and 11:
Host Firewall고급 보안이 포
- Page 12 and 13:
연결 보안(Connection Security)
- Page 14 and 15:
으로 전송되고, 로컬 게이
- Page 16 and 17:
그룹 정책그룹 정책을 사
- Page 18 and 19:
페이지 17 / 232
- Page 20 and 21:
• 고급 보안이 포함된 Wind
- Page 22 and 23:
단계 1: 제어판의 Windows Fire
- Page 24 and 25:
4. Windows 방화벽 페이지에
- Page 26 and 27:
주의) Windows 방화벽 (Mspsvc)
- Page 28 and 29:
페이지 27 / 232
- Page 30 and 31:
IPsec 을 위한 전역(non-profile
- Page 32 and 33:
5. 명령어 창을 닫습니다.
- Page 34 and 35:
5. 각 프로필 별로 상태, 설
- Page 36 and 37:
그룹 정책을 사용한 기본
- Page 38 and 39:
4. Computers 컨테이너에 존재
- Page 40 and 41:
4. 2 개의 OU 를 생성 후에, G
- Page 42 and 43:
6. Overview 영역에서, 각 네
- Page 44 and 45:
단계 4: 테스트 방화벽 설
- Page 46 and 47:
2. 명령어 창에서, 방화벽
- Page 48 and 49:
단계 5: 로컬 관리자 그룹
- Page 50 and 51:
7. 범위 페이지에서, 기본
- Page 52 and 53:
11. 이제 다시 명령어 창에
- Page 54 and 55:
5. 방화벽 설정 부분의 알
- Page 56 and 57:
4. “고급 보안이 포함된 Wi
- Page 58 and 59:
3. 관리자 권한으로 수행한
- Page 60 and 61:
다음 절차에서, 도메인 관
- Page 62 and 63:
단계 7: WMI 및 그룹 필터 생
- Page 64 and 65:
Windows Server 2008 or Windows Vist
- Page 66 and 67:
이제 Firewall Settings for Window
- Page 68 and 69:
다음 절차에서, 앞서 생성
- Page 70 and 71:
Users and Computer 도구를 수행
- Page 72 and 73:
단계 8: 방화벽 로깅 활성
- Page 74 and 75:
4. 그룹 정책 관리 편집기
- Page 76 and 77:
9. GPO를 저장하기 위해 확
- Page 78 and 79:
6. 고급 보안이 포함된 Windo
- Page 80 and 81:
확인해 보면, Event ID 2005 및
- Page 82 and 83:
7. .cab 파일은 .xml 파일 및 .
- Page 84 and 85:
요구된(Required) 인바운드
- Page 86 and 87:
인 -> CORP.DOGNCLEE.com -> 그룹
- Page 88 and 89:
5. 새 인바운드 규칙 마법
- Page 90 and 91:
2. 고급 보안이 포함된 Windo
- Page 92 and 93:
페이지 91 / 232
- Page 94 and 95:
단계 2의 WFASSVR1 서버에 Teln
- Page 96 and 97:
3. 인바운드 규칙을 오른쪽
- Page 98 and 99:
8. 프로토콜 및 포트 페이
- Page 100 and 101:
페이지 99 / 232
- Page 102 and 103:
3. 도메인 프로필 탭에서,
- Page 104 and 105:
다음 단계에서, 앞선 Telnet
- Page 106 and 107:
다음 단계 3에서, 관리자가
- Page 108 and 109:
3. 프로토콜 및 포트 탭을
- Page 110 and 111:
5. Telnet 세션을 닫기 위하
- Page 112 and 113:
습니다. Endpoint Mapper 서비
- Page 114 and 115:
RPC Endpoint Mapper 서비스를
- Page 116 and 117:
9. 범위 페이지에서, 다음
- Page 118 and 119:
하는 실행 파일의 경로를
- Page 120 and 121:
13. WFASSVR1 컴퓨터에서, 관
- Page 122 and 123:
2009-06-09 10:15:54 ALLOW TCP 192.1
- Page 124 and 125:
Unwanted 아웃바운드 네트워
- Page 126 and 127:
1. WFASSVR1 컴퓨터의, 그룹
- Page 128 and 129:
후, 다음을 클릭합니다.8.
- Page 130 and 131:
11. 새 아웃바운드 규칙 마
- Page 132 and 133:
18. 프로그램 페이지에서,
- Page 134 and 135:
방화벽 -> 고급 보안이 포
- Page 136 and 137:
3. Core Networking 및 File and Pri
- Page 138 and 139:
급 보안이 포함된 Window 방
- Page 140 and 141:
4. Telnet 세션을 종료하기
- Page 142 and 143:
기본 Domain Isolation 정책 배
- Page 144 and 145:
단계 1: 인증 요청(authenticat
- Page 146 and 147:
Firewall and Connection Security in
- Page 148 and 149:
5. 사용자 구성 설정 사용
- Page 150 and 151:
11. 프로필 페이지에서, 개
- Page 152 and 153:
단계 2: 연결 보안 규칙 배
- Page 154 and 155:
3. 고급 보안이 포함된 Windo
- Page 156 and 157: 페이지 155 / 232
- Page 158 and 159: Windows 설정 -> 보안 설정 ->
- Page 160 and 161: 수정된 인증 요구 그룹 정
- Page 162 and 163: 다음 절차에서, CLIENT1W8에
- Page 164 and 165: 단계 5: 도메인 멤버가 아
- Page 166 and 167: 5. IP 주소 대화 상자에서,
- Page 168 and 169: 7. 컴퓨터 제외 페이지에서
- Page 170 and 171: (주의) 위 DNS 서버 배제 규
- Page 172 and 173: 단계 1: 보안 그룹 생성본
- Page 174 and 175: 단계 2: 암호화 및 그룹 멤
- Page 176 and 177: 6. 다음 중에 하나를 수행
- Page 178 and 179: 10. Allow Inbound Telnet Properties
- Page 180 and 181: LDAP://cn={GUID},cn=policies,cn=sys
- Page 182 and 183: 10. 작업 페이지에서, 다음
- Page 184 and 185: 12. 프로필 페이지에서, 개
- Page 186 and 187: 단계 4: 그룹 구성원이 아
- Page 188 and 189: 페이지 187 / 232
- Page 190 and 191: Computers 도구를 수행합니다
- Page 192 and 193: 6. 빠른 모드의 결과 창에
- Page 194 and 195: IPsec-보호된 네트워크 트래
- Page 196 and 197: 급 보안이 포함된 Window 방
- Page 198 and 199: Telnet 차단 규칙과 Telnet 허
- Page 200 and 201: 단계 2: 차단 규칙을 Override
- Page 202 and 203: 6. 가장 간단한 예제를 위
- Page 204 and 205: 페이지 203 / 232
- Page 208 and 209: 2. 왼쪽 창에서, 그룹 정책
- Page 210 and 211: 2. CLIENT1W8 컴퓨터의 IP 구성
- Page 212 and 213: 3. WFASSVR1 서버에는 아래와
- Page 214 and 215: 1. WFASSVR1 에서, 관리자 계
- Page 216 and 217: 5. 逆 으로, DC1 서버에서,
- Page 218 and 219: 3. 새 연결 보안 규칙 마법
- Page 220 and 221: 클라이언트 컴퓨터를 위한
- Page 222 and 223: 11. 첫 번째 인증 방법 추가
- Page 224 and 225: 13. 이름 페이지에서, Tunnel
- Page 226 and 227: 10.0.0.0/8 CIDR(Classless Inter-Dom
- Page 228 and 229: 단계 3: 터널 모드 규칙 테
- Page 230 and 231: 6. 명령어 창에서 net view \\d
- Page 232 and 233: 요약고급 보안이 포함된 Wi