Windows Vista 및 Windows Server 2008의 Windows 방화벽과 IPsec 기반 연결에 대한 보안 규칙

기술 자료 번역 기술 자료 번역
기술 자료: 942957 - 이 문서가 적용되는 제품 보기.
베타 정보
이 문서에서는 Microsoft 제품의 베타 릴리스에 대해 설명합니다. 이 문서의 정보는 "있는 그대로" 제공되며 사전 통보 없이 변경될 수 있습니다.

이 베타 제품은 Microsoft의 공식 제품 지원 서비스를 받을 수 없습니다. 베타 릴리스 지원을 얻는 방법에 대한 자세한 내용은 베타 제품 파일에 포함된 설명서를 참조하거나 릴리스를 다운로드한 웹 사이트를 확인하십시오.
모두 확대 | 모두 축소

이 페이지에서

소개

이 문서에서는 다음 내용을 설명합니다.
  • Windows Vista의 Windows 방화벽에 대한 보안 규칙
  • Windows Vista 및 Windows Server 2008의 IPsec 기반 연결에 대한 보안 규칙
  • Windows Vista와 Windows XP 간 또는 Windows Vista와 Windows Server 2003 간에 암호화된 연결을 설정하는 방법

추가 정보

Windows Vista에서 새로운 Windows 방화벽 보안 규칙과 새로운 IPsec 기반 연결 보안 규칙이 그룹 정책에 완전히 통합되었습니다. 따라서 지원 설정이 병합되었으며 다른 그룹 정책 설정과 동일한 방식으로 동작을 위임합니다.

Windows Vista의 Windows 방화벽에 대한 보안 규칙

"고급 보안이 설정된 Windows 방화벽" MMC(Microsoft Management Control) 스냅인에서는 다음과 같은 유형의 보안 규칙을 지원합니다.

참고 Windows 방화벽 보안 규칙의 목록과 연결 보안 규칙의 목록은 해당하는 모든 그룹 정책 설정에서 병합되었습니다. 이러한 보안 규칙은 다음 순서대로 처리됩니다. 다음 순서는 보안 규칙의 원본에 관계없이 항상 적용됩니다.
  • Windows 서비스 강화 규칙
    Windows 서비스 강화 규칙은 서비스의 연결 설정을 제한합니다. 서비스 제한은 Windows 서비스가 특정 방식으로만 통신할 수 있도록 구성됩니다. 예를 들어, 특정 포트를 통한 트래픽을 제한할 수 있습니다. 그러나 방화벽 규칙을 만들 때까지 트래픽이 허용되지 않습니다.
  • 연결 보안 규칙
    연결 보안 규칙은 컴퓨터가 IPsec 기능을 사용하여 인증되는 방식과 시기를 정의합니다. 연결 보안 규칙은 서버 격리와 도메인 격리를 설정하는 데 사용될 뿐만 아니라 NAP(네트워크 액세스 보호) 정책을 적용하는 데도 사용됩니다.
  • 인증된 우회 규칙
    인증된 우회 규칙은 다른 수신 규칙에 관계없이 IPsec 기능을 사용하여 트래픽이 보호되는 경우 특정 컴퓨터가 연결될 수 있도록 합니다. 지정된 컴퓨터는 트래픽을 차단하는 수신 규칙을 우회할 수 있습니다. 예를 들어, 특정 컴퓨터에 대해 인증된 우회 규칙을 만들어 해당 컴퓨터에서만 원격 방화벽 관리를 사용할 수 있도록 설정할 수 있습니다. 또는 기술 지원팀에 연락하여 원격 지원에 대한 지원을 받을 수 있습니다.
  • 차단 규칙
    차단 규칙은 특정 유형의 들어오는 트래픽이나 특정 유형의 나가는 트래픽을 명시적으로 차단합니다.
  • 허용 규칙
    허용 규칙은 특정 유형의 들어오는 트래픽이나 특정 유형의 나가는 트래픽을 명시적으로 허용합니다.
  • 기본 규칙
    기본 규칙은 기본 수신 규칙이 연결을 차단하고 기본 송신 규칙이 연결을 허용하도록 구성됩니다.

Windows Vista 및 Windows Server 2008의 IPsec 기반 연결에 대한 보안 규칙

다음 두 가지 유형의 IPsec 규칙을 Windows Vista 기반 컴퓨터나 Windows Server 2008 기반 컴퓨터에 적용할 수 있습니다.
  • IPsec 규칙
    이전 IPsec 규칙이 Windows 2000과 Windows Server 2003에 현재 배포되어 있습니다. 이전 IPsec 규칙은 Policyagent 서비스에서 관리됩니다. 이러한 IPsec 규칙은 컴퓨터 기반 Kerberos 인증, x.509 인증서 또는 미리 공유한 키 인증만 지원하는 IKE(Internet Key Exchange) 규칙입니다. 이러한 IPsec 규칙은 "IPsec 정책 관리" MMC 스냅인에서 구성됩니다. IKE 기반 Policyagent 규칙은 Windows 2000과 Windows Server 2003에서 동일한 방식으로 적용됩니다. 여러 정책을 특정 컴퓨터에 적용할 수 있지만 적용한 마지막 정책만 성공적으로 적용됩니다. 이는 "가장 나중의 기록을 적용" 방법에 따른 결과입니다. 또한 IKE 정책 설정은 병합할 수 없습니다.
  • 연결 보안 규칙
    연결 보안 규칙은 Windows Vista와 Windows Server 2008에서만 지원됩니다. 연결 보안 규칙은 AuthIP(인증된 IP)라는 IKE의 확장에서 지원됩니다. AuthIP는 다음과 같은 인증 메커니즘에 대한 지원 기능을 추가합니다.
    • 대화형 사용자 Kerberos 자격 증명 또는 대화형 사용자 NTLMv2 자격 증명
    • 사용자 x.509 인증서
    • 컴퓨터 SSL(Secure Sockets Layer) 인증서
    • NAP 상태 인증서
    • 익명 인증(선택적 인증)
    다음 도구를 사용하여 "Windows 방화벽 및 고급 보안" 스냅인에 대한 보안 규칙을 구성할 수 있습니다.
    • 도메인 기반 그룹 정책
    • "고급 보안이 설정된 Windows 방화벽" 스냅인

      참고 "고급 보안이 설정된 Windows 방화벽" 스냅인은 wf.msc 명령을 사용하여 액세스할 수 있는 정책의 기본 저장소 위치입니다.
    • 로컬 그룹 정책 스냅인(Gpedit.msc)
    • netsh advfirewall 명령

      참고?netsh advfirewall 명령은 wf.msc 명령과 동일한 저장소를 가리킵니다.
    다른 방화벽 및 그룹 정책 규칙과 마찬가지로 연결 보안 규칙은 해당하는 모든 그룹 정책 개체에서 병합됩니다.

    Microsoft Windows 2000, Windows XP 및 Windows Server 2003과 같은 IKE 버전 1 기반 클라이언트와 호환되는 IPsec 기반 정책을 만들도록 연결 보안 정책을 구성할 수 있습니다. 또한 Windows Vista 기반 컴퓨터와 Windows Server 2008 기반 컴퓨터 간의 통신만 지원하는 정책을 만들도록 연결 보안 정책을 구성할 수도 있습니다.

    관리자는 다음 방법을 사용하여 연결 보안 정책을 만들 수 있습니다.
    • 관리자는 Kerberos 인증, 사용자 x.509 인증서 또는 컴퓨터 인증만 지원하는 연결 보안 정책을 만들 수 있습니다.

      참고
      • 이 경우 Mpssvc 서비스에서 AuthIP 및 이전 IKE 정책을 모두 자동으로 만듭니다.
      • 컴퓨터 기반의 미리 공유한 키 인증이 지정되면 AuthIP 규칙이 만들어지지 않습니다.
    • 관리자는 사용자 인증이 필요한 연결 보안 정책을 만들 수 있습니다.

      참고 이 경우 Windows Vista-Windows Vista 협상과 Windows Vista-Windows Server 2008 협상에 대한 AuthIP 정책만 만들어집니다. 이는 IKE에서 사용자 인증을 지원하지 않기 때문입니다.
    • 관리자는 사용자 인증 옵션이 정책에 추가되는 연결 보안 정책을 만들 수 있습니다. 또한 관리자는 두 번째 인증은 선택적 옵션을 선택할 수도 있습니다.

      참고 Mpssvc 서비스에서 AuthIP 정책과 이전 IKE 정책을 모두 만듭니다. 선택적 사용자 인증은 AuthIP 정책에 포함되고 이전 IKE 정책에는 포함되지 않습니다.
    • 관리자는 NTLM 인증이 필요한 연결 보안 정책을 만들 수 있습니다.

      참고 이 경우 IKE에서 NTLM 인증을 지원하지 않기 때문에 Windows Vista-Windows Vista 협상과 Windows Vista-Windows Server 2008 협상에 대한 AuthIP 정책만 만들어집니다.
    • 관리자는 전역 "주 모드 키 교환" 알고리즘에서 이전 클라이언트와 호환되지 않는 "Elliptic Curve Diffie-Hellman P-256" 알고리즘과 같은 "Diffie-Hellman" 알고리즘을 선택합니다.

      참고
      • 이 경우에 "Diffie-Hellman" 알고리즘은 이전 IKE 버전 1 클라이언트에서 지원되지 않습니다. 또한 IKE 협상이 성공하지 못합니다.
      • "Diffie-Hellman 그룹 2" 설정이 가장 광범위한 클라이언트에서 지원되므로 이 설정을 사용하는 것이 좋습니다.
      • "Diffie-Hellman 그룹 14" 설정은 Windows XP 서비스 팩 2(SP2)와 Windows Server 2003에서 지원됩니다.
      • 이 경우 주요 동작 변경은 "Diffie-Hellman" 알고리즘이 일반적으로 AuthIP 기반 협상에 사용되지 않는다는 것입니다.
      • Mpssvc 서비스에서는 AuthIP 규칙을 만들 때 주 모드 인증 방법이 익명으로 설정된 경우 Windows Vista-Windows Vista 협상이나 Windows Vista-Windows Server 2008 협상에서 "Diffie-Hellman" 알고리즘만 사용하도록 지정합니다.
      • Mpssvc 서비스에서는 IKE 규칙을 만들 때 전역 주 모드 키 교환 설정과 관련된 "Diffie-Hellman" 알고리즘을 항상 사용합니다.
      • SSPI(Security Support Provider Interface) 공유 암호가 주 모드 키 교환에 Diffie-Hellman 교환이 없는 AuthIP 교환에서 키 관련 자료를 생성하는 데 사용됩니다.

    AuthIP에서 사용되는 인증서

    • AuthIP에서는 클라이언트 인증 설정이 구성되어 있거나 서버 인증 설정이 구성되어 있는 SSL 인증서를 사용합니다. SSL 인증서는 클라이언트 인증 인증서이거나, 클라이언트 인증 인증서와 서버 인증 인증서 둘 다일 수 있습니다.
    • Windows Vista의 인증서 인증을 사용하도록 정책을 만드는 경우 AuthIP와 작동하는 인증서가 있어야 합니다. 즉, 클라이언트에 배포하는 인증서가 클라이언트 인증이나 서버 인증을 사용하는 SSL 인증서여야 합니다. 인증은 단방향 인증을 원하는지, 아니면 상호 인증을 원하는지에 따라 달라집니다. SSL 인증서는 Windows XP나 Windows Server 2003에서 사용되는 표준 디지털 인증서와 다릅니다.
    • 기본적으로 SSL 인증서는 NAP 구현에서 사용됩니다.

"고급 보안이 설정된 Windows 방화벽" 스냅인의 그룹 정책 처리

연결 보안 규칙은 해당하는 모든 그룹 정책 개체에서 병합됩니다. 그러나 추가 IPsec 동작이 아닌 기본 IPsec 동작을 관리하는 AuthIP와 IPsec에 대한 설정의 관련 그룹이 있습니다. 이 설정 그룹에는 전역 인증 집합, 빠른 모드 설정, 키 교환 설정 및 ICMP(Internet Control Message Protocol) 예외가 포함됩니다.

우선 순위가 가장 높은 GPO(그룹 정책 개체)에서 적용되는 연결 보안 옵션이나 IPsec 옵션의 기본 집합은 Windows Vista 기반 클라이언트에서 성공적으로 적용됩니다. 예를 들어, 기본 인증 집합이나 암호화 집합을 사용하는 Windows Vista 기반 클라이언트의 모든 연결 보안 규칙은 우선 순위가 가장 높은 GPO에서 집합을 사용합니다. 융통성이 더 필요하면 다음 옵션을 사용할 수 있습니다.
  • 인증 집합의 경우 기본 인증을 사용하는 대신 연결 보안 규칙을 사용하여 인증을 구성합니다.
  • 빠른 모드 암호화 집합의 경우 netsh 명령을 사용하여 필요에 따라 각 연결 보안 규칙에 대한 빠른 모드 암호화 설정을 구성합니다.
  • 주 모드 암호화 집합의 경우 각 정책에 주 모드 암호화 집합이 하나만 지원됩니다. 여러 주 모드 암호화 집합을 받는 경우 우선 순위가 가장 높은 GPO의 주 모드 암호화 집합이 그룹 정책의 모든 연결 보안 규칙에 적용됩니다. 그러나 다른 주 모드 암호화 집합을 사용하도록 규칙을 사용자 지정할 수 없습니다.
  • 연결 보안 정책과 방화벽 정책에 대한 GPO를 구성하는 경우 로컬 방화벽 규칙과 연결 보안 규칙을 사용할 수 없도록 설정할 수 있습니다. 따라서 사이트 GPO, 도메인 GPO 및 OU(조직 구성 단위) GPO에 연결된 그룹 정책 설정만 Windows 방화벽 동작을 제어할 수 있습니다.
Windows Vista의 "고급 보안이 설정된 Windows 방화벽 소개(Introduction to Windows Firewall with Advanced Security)" 백서를 다운로드하려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/downloads/details.aspx?FamilyId=DF192E1B-A92A-4075-9F69-C12B7C54B52B&displaylang=en(영문)
Windows Vista의 AuthIP에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.
http://technet.microsoft.com/en-us/library/bb878069.aspx(영문)
Windows Vista와 Windows Server 2008의 새로운 Windows 방화벽에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.
http://technet.microsoft.com/en-us/library/bb877967.aspx(영문)

Windows Vista와 Windows XP 간 또는 Windows Vista와 Windows Server 2003 간에 암호화된 연결을 설정하는 방법

일반적으로 Windows Server 2003과 Windows XP에서 IPsec 정책 구성은 네트워크에서 대부분의 트래픽을 보호하기 위한 규칙 집합과 보호되는 트래픽 예외를 위한 규칙 집합으로 구성되어 있습니다. 구성에는 서버 격리와 도메인 격리가 포함될 수 있습니다. 예외는 DHCP(Dynamic Host Configuration Protocol) 서버, DNS(Domain Name System) 서버 및 도메인 컨트롤러와 같은 네트워크 인프라 서버와 보호되지 않는 통신을 하는 데 필요합니다. 컴퓨터가 시작되면 컴퓨터에서 IP 주소를 구할 수 있어야 하고 DNS를 사용하여 도메인 컨트롤러를 찾을 수 있어야 합니다. 또한 컴퓨터가 시작되어 Kerberos 인증을 사용하여 자신을 IPsec 피어로 인증할 수 있으려면 컴퓨터에서 도메인에 로그온할 수 있어야 합니다. 다른 예외는 IPsec를 사용할 수 없는 네트워크 노드와 통신하는 데 필요합니다. 경우에 따라 엔터프라이즈 네트워크에 IPsec 보호 기능을 배포하고 엔터프라이즈 네트워크를 유지 관리하는 작업을 더욱 어렵게 만드는 많은 예외가 있습니다.

Windows Server 2008과 Windows Vista에서 IPsec는 IPsec 보호를 협상하는 선택적 동작을 제공합니다. IPsec가 사용할 수 있도록 설정되어 있고 Windows Server 2008이나 Windows Vista를 실행하는 IPsec 노드에서 다른 네트워크 노드와 통신을 시작하는 경우, IPsec 노드에서는 암호화하지 않은 일반 텍스트 상태로 통신을 시도합니다. 이 노드에서는 보호되는 통신을 병렬로 협상하려고 합니다. 시작하는 IPsec 피어가 초기 협상 시도에 대한 응답을 받지 못하는 경우 통신이 일반 텍스트 상태로 계속됩니다. 시작하는 IPsec 피어가 초기 협상 시도에 대한 응답을 받는 경우에는 협상이 완료될 때까지 통신이 일반 텍스트 상태로 계속되다가 협상이 완료되면 이후의 통신이 강화된 보호를 받습니다. 시작하는 IPsec 노드에서는 통신 대상인 네트워크 노드에서 IPsec를 수행할 수 있는지 여부를 알아낼 수 있습니다. 시작하는 IPsec 노드는 알아낸 결과에 따라 동작합니다. IPsec 노드의 이 동작은 IPsec의 선택적 동작 때문입니다. 또한 이 동작은 들어오는 시작된 통신에 대한 보호를 요구하고 나가는 시작된 통신에 대한 보호를 요청하는 권장되는 구성 때문입니다. 이 새로운 동작으로 인해 IPsec 정책 구성이 매우 간단해집니다. 예를 들어, 시작하는 IPsec 노드에 IPsec를 사용하여 네트워크 트래픽을 보호할 수 없는 호스트 집합을 제외하기 위한 미리 정의된 IPsec 필터 집합이 있을 필요가 없습니다. 시작하는 IPsec 노드에서는 보호되는 트래픽과 보호되지 않는 트래픽을 병렬로 시도합니다. 보호되는 통신이 가능하지 않으면 시작하는 IPsec 노드에서 보호되지 않는 통신을 사용합니다.

새로운 협상 동작으로 인해 호스트에 설정된 보호되지 않는 연결의 성능도 개선됩니다. Windows Server 2003이나 Windows XP를 실행하는 IPsec 노드가 보호되는 통신을 요청하도록 구성되지만 보호되지 않는 통신도 가능하게 설정됩니다. 이 IPsec 노드 동작을 일반 텍스트 통신으로 대체(fallback to clear)라고 합니다. IPsec 노드에서는 협상 메시지를 보내고 응답을 기다립니다. 시작하는 IPsec 노드에서는 일반 텍스트 통신으로 대체하고 보호되지 않는 통신을 시도하기 전에 3초까지 기다립니다. Windows Server 2008과 Windows Vista에서는 시작하는 IPsec 노드에서 응답을 기다리고 있을 때 일반 텍스트 통신이 이미 진행 중이기 때문에 일반 텍스트 통신으로 대체될 때 3초 간 지연되지 않습니다.

서버 격리와 도메인 격리에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.
http://technet.microsoft.com/en-us/network/bb545651.aspx(영문)

Windows Vista와 Windows XP 간 또는 Windows Vista와 Windows Server 2003 간에 암호화된 연결을 설정할 때의 주요 사항

  • Windows Vista에서는 암호화된 연결만 사용할 수 있도록 설정된 경우 IPsec 수준에서만 다른 모든 클라이언트와 협상합니다. 이러한 클라이언트에는 Windows XP 기반 클라이언트가 포함됩니다.
  • 기본적으로 Windows XP나 Windows Server 2003에서는 IPsec 수준에서 협상하지 않습니다. 따라서 Windows XP나 Windows Server 2003에서는 Windows Vista와 Windows XP 간이나 Windows Vista와 Windows Server 2003 간에 암호화된 연결을 설정하기 위해 IPsec 규칙을 할당해야 합니다.
  • 기본적으로 보안 연결만 허용 옵션을 선택한 경우 Windows Vista에서는 AES-128 암호화 방법과 3DES 암호화 방법을 사용하여 협상합니다. AES-128 암호화 방법은 Windows XP에서 지원되지 않습니다. 3DES 암호화 방법은 Windows XP와 Windows Server 2003에서 지원됩니다.
  • 기본적으로 IPsec는 Windows XP나 Windows Server 2003에서 사용할 수 있도록 설정됩니다. IPsec는 3DES 암호화 방법을 사용하여 협상합니다.
"고급 보안이 설정된 Windows 방화벽" 스냅인을 사용하여 Windows Vista 기반 컴퓨터와 Windows XP 기반 컴퓨터 간의 암호화된 연결을 설정하려면 다음과 같이 하십시오.
  1. Windows Vista 기반 컴퓨터에서 시작
    그림 축소그림 확대
    시작 단추
    을 누르고 검색 시작 상자에 방화벽을 입력한 다음 프로그램 목록에서 고급 보안이 설정된 Windows 방화벽을 누릅니다.
  2. 콘솔 트리에서 인바운드 규칙을 누릅니다.
  3. 인바운드 규칙 목록에서 원격 데스크톱(TCP-In)을 두 번 누른 다음 일반 탭을 누릅니다.
  4. 작업 영역에서 보안 연결만 허용을 누르고 암호화 필요 확인란을 누른 다음 확인을 누릅니다.
  5. 콘솔 트리에서 연결 보안 규칙을 누른 다음 작업 메뉴에서 새 규칙을 누릅니다.
  6. 격리를 누르고 다음을 누릅니다.
  7. 인바운드 및 아웃바운드 연결에 대한 인증 필요를 누르고 다음을 누릅니다.
  8. 기본을 누르고 다음을 누릅니다.
  9. 아래의 확인란을 선택하고 다음을 누릅니다.
    • 도메인
    • 개인
    • 공용
  10. 이름 상자에 규칙의 이름을 입력하고 원하는 경우 설명(옵션) 상자에 규칙에 대한 설명을 입력한 다음 마침을 누릅니다.
  11. 파일 메뉴에서 끝내기를 누릅니다.
  12. Windows XP 기반 컴퓨터에서 시작, 실행을 차례로 누르고 secpol.msc를 입력한 다음 확인을 누릅니다.
  13. 콘솔 트리에서 로컬 컴퓨터의 IP 보안 정책을 마우스 오른쪽 단추로 누른 다음 IP 보안 정책 만들기를 누릅니다.
  14. 다음을 누른 다음 IP 보안 정책 마법사의 지시에 따라 IP 보안 정책을 만듭니다. 기본 설정을 사용하여 이 정책을 만듭니다.
  15. 새 IP 보안 정책을 마우스 오른쪽 단추로 누른 다음 할당을 누릅니다.
  16. 파일 메뉴에서 끝내기를 누릅니다.

속성

기술 자료: 942957 - 마지막 검토: 2008년 2월 20일 수요일 - 수정: 1.2
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Windows Vista Ultimate
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Home Premium
  • Windows Vista Home Basic
  • Windows Vista Starter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
키워드:?
kbhowto kbinfo kbexpertiseadvanced KB942957

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com