내보내기(0) 인쇄
모두 확장

인증된 방화벽 통과를 사용하도록 설정하는 방법

업데이트 날짜: 2009년 1월

적용 대상: Windows Server 2008

인증된 바이패스를 사용하면 고급 보안 기능을 가진 Windows 방화벽에 대해 지정된 신뢰할 수 있는 컴퓨터 또는 사용자가 아닌 대상으로부터 들어오는 트래픽을 차단하는 규칙을 만들 수 있습니다. 예를 들어 관리자가 서브넷, IP 주소 또는 포트 수준의 예외가 없는 네트워크의 컴퓨터에 방화벽 규칙을 배포하려고 합니다. 그러나 이때 관리자가 엔터프라이즈 관리 및 보안 프로그램을 사용하여 동일한 컴퓨터를 검사 및 업데이트하려고 합니다. 관리자는 서로 충돌하는 이 목표를 조정하기 위해 컴퓨터 기반 Kerberos 버전 5 인증이 필요한 연결 보안 및 방화벽 규칙을 만들어 배포할 수 있습니다. 이러한 규칙 및 설정을 제대로 구성하면 예외 없이 Windows 방화벽을 배포하면서 검사하는 서버가 클라이언트의 모든 필수 포트에 액세스할 수 있습니다. 이 시나리오에서는 인증된 바이패스를 사용할 때 포트 수준의 예외가 필요하지 않습니다.

이 항목의 내용:

인증된 바이패스는 어떻게 작동합니까?

인증된 바이패스 규칙을 구성하는 두 가지 방법이 있습니다.

  • 승인된 컴퓨터의 모든 인증된 IP 트래픽은 Windows 방화벽을 무시합니다. 이 방법은 컴퓨터 기반 인증 및 해당 네트워크 트래픽이 방화벽을 무시할 수 있는 컴퓨터 또는 컴퓨터 그룹의 목록을 지정하는 연결 보안 규칙을 사용합니다. 이 방법은 Windows® XP SP2(서비스 팩 2) 이상을 실행하는 컴퓨터에서 지원됩니다.

  • 보안 연결만 허용 설정을 사용하는 방화벽 규칙과 일치하는 트래픽은 Windows 방화벽을 무시합니다. 규칙은 IP 주소, 포트 또는 프로토콜로 트래픽을 필터링할 수 있습니다. 이 방법은 Windows Vista® 또는 Windows Server® 2008에서 지원됩니다.

Windows XP 및 Windows Server 2003의 인증된 바이패스

승인된 컴퓨터로부터의 모든 인증된 IP 트래픽이 Windows 방화벽을 무시하도록 허용하려면 Windows 방화벽: 인증된 IPSec 바이패스 허용 그룹 정책 설정을 해당 네트워크 트래픽이 Windows 방화벽을 무시하도록 설정하려는 컴퓨터 또는 컴퓨터 그룹의 목록을 포함하는 SDDL(Security Descriptor Definition Language) 문자열로 구성합니다. 컴퓨터가 SDDL 목록의 보안 그룹 중 하나의 구성원인 컴퓨터에서 IPsec 보호 네트워크 패킷을 수신하면 Windows 방화벽은 해당 트래픽이 컴퓨터에서 방화벽 필터를 무시하도록 하고 인바운드 트래픽을 허용합니다.

Windows 방화벽: 인증된 IPSec 바이패스 허용 그룹 정책 설정은 컴퓨터 구성\관리 템플릿\네트워크\네트워크 연결\Windows 방화벽 아래 그룹 정책 편집 도구에 있습니다.

단일 그룹의 SDDL 문자열 형식은 다음과 같습니다.

O:DAG:DAD:(A;;RCGW;;;SID)

여기서 SID는 그룹 계정의 SID(보안 식별자)입니다. 자세한 내용은 이 항목의 뒷부분에 있는 그룹 계정의 SID 찾기를 참조하십시오.

그룹의 컴퓨터가 Windows 방화벽을 무시하도록 하려면 다음 문자열을 사용하여 Windows 방화벽: 인증된 IPSec 바이패스 허용 그룹 정책 설정을 구성합니다.

O:DAG:DAD:(A;;RCGW;;;S-1-5-21-3575094098-3669797271-991787341-1127)

그룹이 둘 이상 있으면 SDDL 문자열 구문은 다음과 같습니다.

O:DAG:DAD:(A;;RCGW;;;sid1) (A;;RCGW;;;sid2) (A;;RCGW;;;sid3)   …

Windows Vista 및 Windows Server 2008에서는 SDDL 문자열에 필요한 형식이 변경되었습니다.

Windows XP 및 Windows Server 2003에서 필요한 형식은 다음과 같습니다.

O:DAG:DAD:(A;;RCGW;;;S-1-5-21-2127521184-1604012920-1887927527-1856988)(A;;RCGW;;;S-1-5-21-2127521184-1604012920-1887927527-1856817)

Windows Vista 및 Windows Server 2008에서 필요한 형식은 다음과 같습니다.

O:DAG:DAD:(A;;CC;;;S-1-5-21-2127521184-1604012920-1887927527-1856988)(A;;CC;;;S-1-5-21-2127521184-1604012920-1887927527-1856817)

문자 RCGWCC로 변경해야 합니다.

인증된 IPsec 바이패스 사용

다음 절차를 수행하려면 로컬 컴퓨터에서 Administrators 그룹의 구성원이거나 적절한 권한이 위임된 사용자여야 합니다. 컴퓨터가 도메인에 가입되어 있는 경우 Domain Admins 그룹의 구성원이 이 절차를 수행할 수 있습니다.

Windows 방화벽을 통해 IPsec에서 보호하는 트래픽을 허용하려면

  1. 그룹 정책 관리 콘솔을 열어 조직에서 Windows 방화벽 설정을 관리하는 데 사용하는 GPO(그룹 정책 개체)를 수정합니다.

  2. 탐색 창에서 컴퓨터 구성, 관리 템플릿, 네트워크, 네트워크 연결을 차례로 확장하고 Windows 방화벽을 클릭합니다.

  3. 결과 창에서 Windows 방화벽: 인증된 IPSec 바이패스 허용을 두 번 클릭합니다.

  4. Windows 방화벽: 인증된 IPSec 바이패스 허용 속성 대화 상자의 설정 탭에서 사용을 클릭합니다.

  5. 방화벽 정책에서 IPsec 피어가 제외되도록 정의합니다.에서 이 정책이 적용되는 컴퓨터의 그룹 계정에 해당하는 SDDL 문자열을 입력하고 확인을 클릭합니다.

note참고
그룹 정책 설정을 적용하려면 먼저 새로 고쳐야 합니다.

Windows 방화벽: 인증된 IPSec 바이패스 허용 설정을 사용하다가 나중에 이 설정을 사용하지 않으면 입력한 SDDL 문자열이 삭제됩니다. 따라서 이 절차를 다시 수행해야 하는 경우 해당 절차를 수행할 때 사용할 SDDL 문자열을 저장합니다.

이 절차는 그룹 정책을 통해서만 수행할 수 있습니다. 그래픽 사용자 인터페이스 또는 명령 프롬프트에서는 이 절차를 수행할 수 없습니다.

Windows Vista 및 Windows Server 2008의 인증된 바이패스

Windows Vista 및 Windows Server 2008을 실행하는 컴퓨터에서 위의 절차를 수행할 수도 있지만 Windows Vista 및 Windows Server 2008에서는 다음과 같이 더 자세한 인증된 바이패스 규칙을 만드는 방법도 지원합니다.

  • 지정한 네트워크 트래픽 유형에만 인증된 바이패스를 적용하도록 설정할 수 있습니다. Windows XP 및 Windows Server 2003에서 트래픽이 인증되면 방화벽을 무시합니다. 지정된 네트워크 포트, 프로토콜 또는 IP 주소로만 트래픽을 제한할 수는 없습니다.

  • Windows Vista 및 Windows Server 2008은 현재 사용자 기반 인증을 지원하므로 컴퓨터 계정 외에도 특정 사용자 또는 사용자 그룹을 승인할 수 있습니다.

  • 이전에 필요했던 인증 외에도 IPsec을 사용하여 네트워크 트래픽을 암호화한 경우에만 인증된 바이패스를 허용하도록 지정할 수 있습니다.

그룹 정책 설정 대신, Windows Vista 및 Windows Server 2008에서는 방화벽 규칙에서 보안 연결만 허용 옵션을 설정하여 고급 보안 기능을 가진 Windows 방화벽에서 인증된 바이패스를 사용할 수 있습니다. 이 확인란을 선택하면 사용자 및 컴퓨터 탭을 통해 IPsec 인증이 제공하는 자격 증명에서 검사되는 컴퓨터 또는 사용자 그룹 계정을 입력할 수 있습니다. 그 결과 "승인된 컴퓨터 또는 사용자가 보낸 트래픽은 다른 규칙이 차단하지 않는 한, 허용됩니다."라는 규칙 집합이 생성됩니다.

방화벽 규칙에서 차단 규칙 무시도 사용하도록 지정한 경우 이 규칙과 일치하는 인증된 트래픽은 다른 규칙에서 차단되는 경우에도 허용됩니다. 그 결과 "이 트래픽은 인증된 컴퓨터나 승인된 사용자가 보낸 경우를 제외하고 차단됩니다."라는 규칙 집합이 생성됩니다.

인증된 바이패스 사용

다음 절차를 수행하려면 로컬 컴퓨터에서 Administrators 그룹의 구성원이거나 적절한 권한이 위임된 사용자여야 합니다. 컴퓨터가 도메인에 가입되어 있는 경우 Domain Admins 그룹의 구성원이 이 절차를 수행할 수 있습니다.

고급 보안이 포함된 Windows 방화벽 MMC 스냅인을 사용하여 Windows 방화벽을 통해 IPsec 보호 네트워트 트래픽을 허용하려면

  1. 고급 보안이 포함된 Windows 방화벽 MMC 스냅인을 엽니다.

  2. 탐색 창에서 인바운드 규칙을 마우스 오른쪽 단추로 클릭하고 새 규칙을 선택합니다.

  3. 새 인바운드 규칙 마법사에서 방화벽을 무시할 네트워크 트래픽 유형에 따라 규칙 종류, 프로그램, 프로토콜 및 포트, 범위를 구성합니다.

  4. 작업 페이지에서 보안 연결만 허용, 차단 규칙 무시를 차례로 선택하고 다음을 클릭합니다.

  5. 사용자 및 컴퓨터 마법사 페이지에서 다른 컴퓨터로부터의 연결만 허용을 선택하고 추가를 클릭한 다음, 해당 컴퓨터에서 방화벽 규칙을 무시할 컴퓨터 또는 컴퓨터 그룹을 선택합니다.

  6. 다른 사용자로부터의 연결만 허용을 선택하고 추가를 클릭한 다음, 해당 컴퓨터에서 방화벽 규칙을 무시할 사용자 또는 사용자 그룹을 선택합니다.

    note참고
    이 옵션은 컴퓨터가 사용자 기반 인증을 지원하는 경우에만 사용할 수 있습니다. 사용자 기반 인증은 Windows Vista 및 Windows Server 2008에서 지원됩니다.

  7. 마법사의 나머지 단계를 따릅니다.

note참고
인증된 바이패스 및 차단 규칙 무시는 GPO의 컴퓨터 구성\Windows 설정\보안 설정\고급 보안이 포함된 Windows 방화벽 노드를 사용하여 만들 수도 있습니다.

Netsh 명령줄 도구를 사용하여 인증된 바이패스 규칙 만들기

Windows Vista 및 Windows Server 2008을 실행하는 컴퓨터에서 Netsh 명령줄 도구를 사용하여 인증된 바이패스 규칙을 만들 수도 있습니다.

인증된 바이패스 규칙을 만들려면 다음 매개 변수를 지정합니다.

  • dir=in

    이 매개 변수는 해당 규칙이 인바운드 방화벽 규칙이 되도록 지정합니다. 인증된 바이패스는 인바운드 방화벽 규칙에서만 지원됩니다.

  • security=authenticate 또는 security=authenc

    두 매개 변수 모두 반드시 인증을 수행하도록 지정합니다.

  • action=bypass

    이 매개 변수는 이 규칙의 조건과 일치하는 네트워크 트래픽이 승인된 사용자 또는 컴퓨터에서 인증된 경우 다른 방화벽 규칙을 무시할 수 있도록 지정합니다.

  • rmtcomputergrp="D:(A;;CCC;;; 컴퓨터 그룹의 SID )"

    이 매개 변수는 컴퓨터 또는 컴퓨터 그룹 계정의 SID를 지정합니다. 자세한 내용은 그룹 계정의 SID 찾기를 참조하십시오.

  • rmtusergrp="D:(A;;CCC;;; 사용자 그룹의 SID )"

    이 선택적 매개 변수는 사용자 또는 사용자 그룹 계정의 SID를 지정합니다. 자세한 내용은 그룹 계정의 SID 찾기를 참조하십시오.

    Important중요
    rmtusergrp 매개 변수를 지정한 후 사용자 기반 인증에 대한 지원을 추가하는 IKE(Internet Key Exchange)의 확장 기능인 AuthIP를 지원하는 컴퓨터에서만 사용할 수 있는 규칙을 만듭니다. Windows Vista 및 Windows Server 2008을 실행하는 컴퓨터는 AuthIP를 지원합니다. Windows XP 또는 Windows Server 2003을 실행하는 컴퓨터는 IKE v1만 사용하므로 사용자 기반 인증을 수행할 수 없습니다.

단일 컴퓨터 그룹 및 단일 사용자 그룹을 사용하여 하나의 완전한 명령으로 결합한 인증된 바이패스 규칙을 만드는 구문은 다음과 같습니다.

netsh advfirewall firewall add rule name="Inbound Secure Bypass Rule" dir=in security=authenticate action="bypass" rmtcomputergrp="D:(A;;CC;;; S-1-5-21-2329867823-2610410949-1491576313-1114)" rmtusrgrp="D:(A;;CC;;; S-1-5-21-2329867823-2610410949-1491576313-1735)"

이 예에서는 지정된 그룹의 구성원인 사용자 및 컴퓨터 계정에서 들어오는 트래픽인 경우 모든 IP 주소의 모든 포트에서 해당 네트워크 트래픽에 대해 인증된 바이패스를 허용합니다.

그룹 계정의 SID 찾기

Getsid.exe 명령줄 도구를 사용하여 그룹 계정의 SID를 가져옵니다. Getsid.exe는 Windows Server 2003 제품 디스크에서 제공하는 Windows 지원 도구입니다. 지원 도구를 설치하는 방법에 대한 자세한 내용은 Windows 지원 도구 설치(http://go.microsoft.com/fwlink/?linkid=111016)를 참조하십시오. Getsid.exe는 서로 다른 도메인 컨트롤러에 있는 두 계정의 SID를 비교하는 데 사용하지만 이를 통해 특정 사용자 또는 그룹 계정의 SID를 가져올 수도 있습니다.

그룹 계정의 SID를 가져오려면 다음 구문을 사용합니다.

getsid \\도메인 컨트롤러그룹 이름 \\도메인 컨트롤러그룹 이름

여기서 도메인 컨트롤러는 도메인 컨트롤러의 컴퓨터 이름이고 그룹 이름은 그룹 계정 이름입니다.

다음 예에서는 example.com 도메인의 EXAMPLE2 도메인 컨트롤러 및 IPsecComputers 그룹 계정으로 Getsid.exe 도구를 사용합니다.

C:\>getsid \\example2 IPsecComputers \\example2 IPsecComputers
The SID for account EXAMPLE\IPsecComputers matches account EXAMPLE\IPsecComputers
The SID for account EXAMPLE\IPsecComputers is 
S-1-5-21-3575094098-3669797271-991787341-1127
The SID for account EXAMPLE\IPsecComputers is
S-1-5-21-3575094098-3669797271-991787341-1127

추가 참조

자세한 내용은 아래 항목을 참조하십시오.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
Microsoft는 MSDN 웹 사이트에 대한 귀하의 의견을 이해하기 위해 온라인 설문 조사를 진행하고 있습니다. 참여하도록 선택하시면 MSDN 웹 사이트에서 나가실 때 온라인 설문 조사가 표시됩니다.

참여하시겠습니까?
표시:
© 2014 Microsoft