인트라넷 방화벽 구성
마지막으로 수정된 항목: 2006-04-14
이 항목에서는 외부 방화벽과 내부 방화벽을 모두 사용하는 주변 네트워크 사용에 대해 설명합니다. 다음 섹션에서는 Exchange가 제대로 작동하도록 주변 네트워크, 인트라넷 방화벽 및 ISA 서버를 구성하는 방법을 설명합니다.
SP2의 새로운 기능 Microsoft® Exchange Server 2003 서비스 팩 2(SP2)에서 Microsoft는 전자 메일 메시지가 서버에 도착하면 Exchange ActiveSync®가 해당 전자 메일 메시지를 모바일 장치에 즉시 전달할 수 있도록 직접 올리기 기술을 도입했습니다. 직접 올리기 기술을 사용하면 백 엔드 서버는 모바일 장치로 전송할 전자 메일 또는 데이터를 수신할 때마다 프런트 엔드 서버에 UDP 알림을 보냅니다. 이 전송을 위해서는 백 엔드 서버에서 프런트 엔드 서버까지의 단방향 트래픽을 허용하도록 방화벽에서 UDP 포트 2883이 열려 있어야 합니다.
직접 올리기 기술의 배포와 방화벽 구성에 미치는 영향과 관련한 자세한 내용은 다음 Exchange 서버 블로그 기사를 참조하십시오.
Direct Push is just a heartbeat away.
참고
각 블로그의 콘텐츠 및 URL은 예고 없이 변경될 수 있습니다.
주변 네트워크의 고급 방화벽 서버
고급 방화벽 서버(예: ISA)가 인트라넷 방화벽이기도 한 경우(고급 방화벽과 프런트 엔드 서버 사이에 추가 방화벽이 있는 경우) 고급 방화벽 서버가 요청을 전달하려면 인트라넷 방화벽에서 필요한 프로토콜 포트를 열어야 합니다.
고급 방화벽 서버가 요청을 전달하는 데 필요한 프로토콜 포트
| 대상 포트 번호/전송 | 프로토콜 |
|---|---|
443/TCP 인바운드 또는 80/TCP 인바운드 |
HTTPS(SSL로 보안된 HTTP) 또는 HTTP, 고급 방화벽(예: ISA)이 SSL 해독을 오프로드하는지 여부에 따라 다릅니다. |
993/TCP 인바운드 |
SSL로 보안된 IMAP |
995/TCP 인바운드 |
SSL로 보안된 POP |
25/TCP 인바운드 |
SMTP |
고급 방화벽이 사용자 인증과 같은 작업을 수행할 경우 추가 포트가 필요할 수 있습니다. 자세한 내용은 고급 방화벽 설명서를 참조하십시오.
참고
IP 조각화를 위해 개별 제품에 대한 추가 구성을 설정하도록 권장하는 방화벽 공급업체도 있습니다.
주변 네트워크의 프런트 엔드 서버
주변 네트워크에 배치된 프런트 엔드 서버는 백 엔드 서버 및 Active Directory® 디렉터리 서비스 서버에 대한 연결을 시작할 수 있어야 합니다. 따라서, 주변 네트워크에서 회사 네트워크로의 인바운드 포트 80 트래픽을 허용하는 규칙에 따라 내부 방화벽을 구성합니다. 이 규칙은 회사 네트워크에서 프런트 엔드 서버로의 아웃바운드 포트 80 트래픽을 허용하지 않습니다. 이후의 모든 포트 설명은 주변 네트워크의 서버에서 백 엔드 서버로 트래픽을 전달하는 인바운드 포트를 나타냅니다.
참고
프런트 엔드 서버를 백 엔드 서버가 있는 인트라넷에 배치하고 고급 방화벽을 주변 네트워크로 사용하는 배포 방법이 주로 사용됩니다. Exchange 프런트 엔드 서버를 주변 네트워크에 배치해야 하는 특정 요구 사항이 있는 경우에만 이 섹션을 따르십시오.
기본 프로토콜
모든 경우에 지원되는 프로토콜 포트가 모두 내부 방화벽에서 열려 있어야 합니다. 프런트 엔드 서버와 백 엔드 서버 사이의 통신에는 SSL이 사용되지 않으므로 SSL 포트는 열 필요가 없습니다. 다음 표에서는 인트라넷 방화벽에 필요한 포트를 보여 줍니다. 이러한 포트는 프런트 엔드 서버에서 백 엔드 서버로의 인바운드 트래픽에 국한됩니다.
인트라넷 방화벽에 필요한 프로토콜 포트
| 포트 번호/전송 | 프로토콜 |
|---|---|
80/TCP 인바운드 |
HTTP |
143/TCP 인바운드 |
IMAP |
110/TCP 인바운드 |
POP |
25/TCP 인바운드 691/TCP |
SMTP 연결 상태 알고리즘 라우팅 |
참고
이 표에서 "인바운드"는 주변 네트워크에서 고급 방화벽 서버와 같은 컴퓨터가 회사 네트워크의 프런트 엔드 서버에 대한 연결을 시작하도록 방화벽을 구성해야 한다는 의미입니다. 프런트 엔드 서버는 주변 네트워크의 컴퓨터에 대한 연결을 시작할 필요가 없습니다. 프런트 엔드 서버는 주변 네트워크의 컴퓨터가 시작한 연결에만 응답합니다.
Active Directory 통신
Active Directory와 통신하려면 Exchange 프런트 엔드 서버가 LDAP 포트를 열어야 합니다. 프런트 엔드 서버의 Windows는 389/UDP LDAP 요청을 도메인 컨트롤러에 보내 사용 가능한지를 확인하고, 이후의 LDAP 트래픽에서 TCP를 사용하기 때문에 TCP와 UDP가 모두 필요합니다. 또한, Windows Kerberos 인증이 사용되기 때문에 Kerberos 포트를 열어야 합니다. Windows는 기본적으로 UDP/88을 사용하지만 데이터가 UDP의 최대 패킷 크기보다 클 경우 TCP를 사용하기 때문에 Kerberos에도 TCP와 UDP가 모두 필요합니다. 다음 표에서는 Active Directory 및 Kerberos와 통신하는 데 필요한 포트를 보여 줍니다.
Active Directory 통신 및 Kerberos에 필요한 포트
| 포트 번호/전송 | 프로토콜 |
|---|---|
389/TCP |
LDAP(디렉터리 서비스) |
389/UDP |
|
3268/TCP |
LDAP(글로벌 카탈로그 서버) |
88/TCP |
Kerberos 인증 |
88/UDP |
|
방화벽에서 열 수 있는 옵션 포트 집합이 두 개 있습니다. 포트를 열지 여부는 회사의 정책에 따라 다릅니다. 포트를 열 경우 보안, 관리, 기능 등의 측면에서 손실이 발생할 수 있습니다.
DNS(도메인 이름 서비스)
프런트 엔드 서버는 서버 이름을 올바르게 조회하려면(예: 서버 이름을 IP 주소로 변환) DNS 서버에 액세스해야 합니다. 다음 표에서는 액세스하는 데 필요한 포트를 보여 줍니다.
이러한 포트를 열지 않으려면 프런트 엔드 서버에서 DNS 서버를 설치하고 연결해야 할 모든 서버에 대해 IP 매핑에 적합한 이름을 입력해야 합니다. 또한, 프런트 엔드에서 도메인 컨트롤러를 찾을 수 있어야 하기 때문에 모든 Active Directory SRV 레코드를 구성해야 합니다. DNS 서버를 설치하도록 선택했다면 구성이 변경될 경우 이러한 매핑을 최신 상태로 유지해야 합니다.
DNS 서버에 액세스하는 데 필요한 포트
| 포트 번호/전송 | 프로토콜 |
|---|---|
53/TCP |
DNS 조회 |
53/UDP |
|
참고
대부분의 서비스는 DNS 조회에 UDP를 사용하고 쿼리가 최대 패킷 크기보다 큰 경우에만 TCP를 사용합니다. 그러나 Exchange SMTP 서비스는 기본적으로 DNS 조회에 TCP를 사용합니다. 자세한 내용은 Microsoft 기술 자료 문서 263237, "XCON: Windows 2000 및 Exchange 2000 SMTP는 TCP DNS 쿼리를 사용한다"를 참조하십시오.
IPSec
다음 표에서는 인트라넷 방화벽을 통한 IPSec 트래픽 허용을 위한 요구 사항을 보여 줍니다. 구성한 프로토콜에 적용되는 포트만 사용해야 합니다. 예를 들어, ESP를 사용하도록 선택한 경우 방화벽을 통해 IP 프로토콜 50만 허용해야 합니다.
IPSec에 필요한 포트
| 포트 번호/전송 | 프로토콜 |
|---|---|
IP 프로토콜 51 |
AH(Authentication Header) |
IP 프로토콜 50 |
ESP(Encapsulating Security Payload) |
500/UDP |
IKE(Internet Key Exchange) |
88/TCP |
Kerberos |
88/UDP |
|
원격 프로시저 호출(RPC)
DSAccess는 Active Directory 서비스 검색을 위해 더 이상 RPC를 사용하지 않습니다. 그러나, 프런트 엔드 서버가 요청을 인증하도록 구성되어 있기 때문에 IIS는 요청을 인증하기 위해 Active Directory에 RPC로 액세스해야 합니다. 따라서, 아래 "인증에 필요한 RPC 포트" 표에 나열된 RPC 포트를 열어야 합니다.
RPC 트래픽 중지
잠긴 주변 네트워크가 있어서 프런트 엔드 서버에서 사용자를 인증할 수 없는 경우 아래 "인증에 필요한 RPC 포트" 표에 나열된 RPC 포트를 열 수 없습니다. 이러한 RPC 포트가 없는 경우 프런트 엔드 서버가 인증할 수 없습니다. 익명 액세스를 허용하도록 프런트 엔드 서버를 구성할 수 있지만 그럴 경우의 위험에 대해 잘 알고 있어야 합니다. 자세한 내용은 HTTP 인증 메커니즘을 참조하십시오.
모든 RPC 트래픽을 중지하는 대신 다음 섹션에서 설명하는 것처럼 포트 하나를 열어 RPC 트래픽을 제한하는 것이 좋습니다.
RPC 트래픽 제한
인증, 암시적 로그온 등과 같이 RPC를 필요로 하는 기능을 원하지만 1024를 초과하는 광범위한 포트를 열지 않으려면 모든 RPC 트래픽에 대해 알려진 단일 포트를 사용하도록 도메인 컨트롤러 및 글로벌 카탈로그 서버를 구성할 수 있습니다. RPC 트래픽 제한 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 224196 "Active Directory 복제 트래픽을 특정 포트로 제한"을 참조하십시오.
클라이언트를 인증하려면 프런트 엔드 서버가 글로벌 카탈로그 서버와 같은 RPC와 연결할 수 있는 모든 서버에서 레지스트리 키(위 기술 자료 문서 및 아래 목록 참조)를 설정해야 합니다. 다음 레지스트리 키를 특정 포트(예: 1600)로 설정합니다.
HKEY_LOCAL_MACHINE\CurrentControlSet\Services\NTDS\Parameters
레지스트리 값: TCP/IP 포트 값 유형: REG_DWORD 값 데이터: (사용 가능한 포트)
주변 네트워크와 인트라넷 사이의 방화벽에서 두 포트 — RPC portmapper(135) 및 지정한 포트(아래 표에 나열된 포트 1600)만을 RPC 통신용으로 열어야 합니다. 프런트 엔드 서버는 먼저 포트 135를 통해 RPC로 백 엔드 서버 연결을 시도하고, 백 엔드 서버는 실제로 사용 중인 RPC 포트에 응답합니다.
참고
Exchange System Administrator는 RPC를 사용하여 Exchange 서버를 관리합니다. 프런트 엔드 서버에서 Exchange System Administrator를 사용하여 백 엔드 서버를 관리하려면 프런트 엔드 서버에서 각 백 엔드 서버로의 RPC 액세스를 구성해야 하므로 이 방법은 사용하지 않는 것이 좋습니다. 대신 Exchange 클라이언트 컴퓨터 또는 백 엔드 서버에서 Exchange System Administrator를 사용하여 백 엔드 서버를 관리하십시오. 여전히 프런트 엔드 서버에서 Exchange System Administrator를 사용하여 프런트 엔드 서버 자체를 관리할 수 있습니다.
인증에 필요한 RPC 포트
| 포트 번호/전송 | 프로토콜 |
|---|---|
135/TCP |
RPC 포트 종점 매퍼 |
1024+/TCP 또는 1600/TCP |
임의의 서비스 포트 (예) 특정 RPC 서비스 포트(제한된 경우) |