내보내기(0) 인쇄
모두 확장
확장 최소화

Windows Server 2003 서비스 팩 1의 Windows 방화벽

적용 대상: Windows Server 2003 with SP1

Windows 방화벽의 기능은 무엇입니까?

이전 버전에서는 인터넷 연결 방화벽 또는 ICF라고 했던 Windows 방화벽은 Microsoft Windows XP 및 Microsoft Windows Server 2003용 소프트웨어 기반 상태 저장 필터링 방화벽입니다. Windows 방화벽은 TCP/IP 버전 4(IPv4) 및 버전 6(IPv6)를 통해 들어오는 원하지 않는 트래픽을 차단하여 네트워크에 연결되어 있는 컴퓨터를 보호합니다. 구성 옵션은 다음과 같습니다.

  • 포트 기반 예외 구성 및 사용

  • 프로그램 기반 예외 구성 및 사용

  • 기본 ICMP 옵션 구성

  • 누락된 패킷 및 성공적인 연결 기록

Windows Server 2003 서비스 팩 1에 들어 있는 Windows 방화벽은 기본적으로 서버에 업데이트를 적용할 때는 사용되지 않습니다. 다음과 같은 상황에서만 사용됩니다.

  • 이전에 인터넷 연결 공유를 사용하도록 설정된 경우

  • 이전에 인터넷 연결 방화벽을 사용하도록 설정된 경우

  • 서버에 Windows Server 2003 서비스 팩 1을 새로 설치한 경우(통합 설치라고도 함)

Windows 방화벽의 작동 방법 및 사용자의 환경에서 사용할 수 있는 방법을 완전히 이해하는 데 도움이 되는 내용은 Windows Server 2003 TechCenter 웹 사이트(http://go.microsoft.com/fwlink/?LinkId=48911)의 Windows 방화벽 정보와 도움말 항목 및 Windows Server 2003 TechCenter 웹 사이트(http://go.microsoft.com/fwlink/?LinkId=48912)에 있는 Windows Firewall Operations Guide에 가장 잘 설명되어 있습니다.

note참고
서버에 Windows 방화벽을 사용하려면 방화벽을 시작하여 구성한 후에 반드시 서버를 다시 시작하십시오. Windows Server 2003 서비스 팩 1에 들어 있는 Windows 방화벽은 응용 프로그램 예외 사항과 이들 응용 프로그램의 상태를 유지 관리하는 데 필요한 사항을 지원합니다. 따라서 방화벽을 시작하기 전에 실행 중이었던 응용 프로그램이나 서비스를 방화벽 예외 목록에 추가해도 방화벽에서 이를 차단합니다. 서버가 다시 시작된 후에 예외 목록에 들어있는 응용 프로그램이 실행되기 전에 방화벽이 먼저 실행되어 응용 프로그램의 상태를 성공적으로 유지 관리할 수 있게 되어 응용 프로그램을 올바르게 처리할 수 있게 됩니다.

이 기능의 적용 대상은 누구입니까?

이 기능의 적용 대상은 다음과 같습니다.

  • 인터넷을 비롯하여 네트워크에 연결되어 있는 모든 컴퓨터

  • 네트워크에서 수신 대기하는 모든 프로그램(응용 프로그램과 서비스)

  • 상태 저장 필터링에서 작동하지 않는 모든 프로그램

Windows Server 2003 서비스 팩 1에서 이 기능에 추가된 새로운 기능은 무엇입니까?

인터넷 연결 방화벽과 IPv6 인터넷 연결 방화벽을 Windows 방화벽으로 통합

자세한 설명

Windows XP에 도입된 인터넷 연결 방화벽의 버전은 IPv4 트래픽만 필터링했습니다. IPv6 인터넷 연결 방화벽은 Windows XP용 고급 네트워킹 팩과 함께 도입되었습니다. Windows Server 2003 서비스 팩 1에서는 인터넷 연결 방화벽과 IPv6 인터넷 연결 방화벽이 Windows 방화벽이라는 단일 구성 요소로 통합되었습니다.

이 변경으로 모든 구성 변경은 IPv4와 IPv6 트래픽 모두에 적용됩니다. 예를 들어 정적 포트가 열리면 IPv4 및 IPv6 트래픽 모두에 대해 열립니다.

이 변경 사항이 중요한 이유는 무엇입니까?

이 변경으로 구성 관리와 응용 프로그램 호환이 더 쉬워집니다.

작동 방식의 차이는 무엇입니까?

인터넷 연결 방화벽 서비스가 시스템에서 제거되고 IPv4 및 IPv6 트래픽을 모두 필터링하는 Windows 방화벽 서비스로 바뀌었습니다. 모든 방화벽 API가 Windows Server 2003 서비스 팩 1에 도입된 새로운 API로 대체되었습니다.

이러한 문제를 해결하는 방법은 무엇입니까?

자세한 내용은 이 문서의 뒷부분에서 "Windows Server 2003 서비스 팩 1을 사용하려면 코드를 변경해야 합니까?"를 참조하십시오.

서비스 팩을 포함하는 Windows Server 2003의 새로운 설치에 대해 기본적으로 사용

자세한 설명

Windows 방화벽은 통합 설치 릴리스라고도 하는 서비스 팩을 포함하는 Windows Server 2003을 새로 설치할 때만 기본적으로 사용됩니다. 사용자가 새로운 기능인 설치 후 보안 업데이트를 사용하여 최신 패치로 자신의 시스템을 업데이트하는 동안 Windows 방화벽에서 네트워크를 보호합니다. 방화벽 사용을 명시적으로 설정하지 않은 경우에는 업데이트가 끝나는 대로 방화벽이 꺼집니다.

Windows Server 2003을 실행 중인 서버가 서비스 팩 1로 업데이트되거나 업그레이드되는 경우 방화벽은 기본적으로 해제되어 있고 설치 후 보안 업데이트 기능은 사용되지 않습니다.

이 변경 사항이 중요한 이유는 무엇이며 이로 인해 줄어드는 위협은 무엇입니까?

새 설치에 대해 Windows 방화벽을 기본적으로 사용하도록 설정하여 컴퓨터가 설정되거나 구성되는 동안 해당 컴퓨터에 대한 많은 네트워크 기반 공격을 더 잘 막을 수 있습니다. 예를 들어 Windows 방화벽을 기본적으로 사용하도록 설정한 경우에는 사용자가 컴퓨터에 MSBlaster 관련 업데이트를 설치했는지 여부와 관계없이 MSBlaster 공격의 영향력이 현저히 줄어듭니다.

작동 방식의 차이는 무엇입니까?

Windows Server 2003 서비스 팩 1의 통합 설치 버전을 새로 설치하고 나면 기본적으로 Windows 방화벽을 사용하도록 설정되며 설치 후 보안 업데이트가 완료될 때까지 들어오는 트래픽은 차단됩니다. 따라서 응용 프로그램이나 서비스가 기본적으로 상태 저장 필터링으로 작동하지 않을 경우 응용 프로그램이나 서비스가 호환되지 않는 문제가 생길 수 있습니다.

이러한 문제를 해결하는 방법은 무엇입니까?

설치 후 보안 업데이트를 완료하십시오. 이렇게 하면 다른 서버 구성 작업을 하기 전에 방화벽이 자동으로 꺼집니다.

시간이 좀 지난 후에 설치 후 보안 업데이트를 완료하려는 경우 사용해야 할 응용 프로그램이나 서비스와 함께 작동하도록 방화벽을 구성할 수도 있습니다.

보안 구성 마법사로 구성

자세한 설명

Windows 방화벽을 켜고 Windows Server 2003 서비스 팩 1에 대해 방화벽 초기 구성을 수행하는 데 권장되는 방법은 SCW(보안 구성 마법사)를 사용하는 것입니다. SCW는 Windows 방화벽을 자동으로 켜고 서버에 필요한 기능을 바탕으로 적절한 설정을 작성합니다. SCW에 대한 자세한 내용은 이 문서에 나오는 "보안 구성 마법사"를 참조하십시오.

이 변경 사항이 중요한 이유는 무엇입니까?

일부 서버 구성 요소와 응용 프로그램은 Windows 방화벽과 함께 사용할 수 없거나 매우 특수한 구성으로 사용해야 합니다. SCW는 사용자의 환경을 기반으로 권장되는 Windows 방화벽 설정을 결정하는 데 도움이 되도록 고안되었습니다.

부팅 시간 보안

자세한 설명

이전 버전의 Windows에서는 네트워크 스택이 표시되는 시간과 인터넷 연결 방화벽이 보호 기능을 제공하는 시간 사이에 간격이 있습니다. 그 결과 필터링을 제공하는 인터넷 연결 방화벽 없이 패킷이 수신되어 서비스로 전달될 수 있으며 컴퓨터가 보안 위험에 노출될 수 있습니다. 이는 방화벽 사용자 모드 서비스가 로드되고 적절한 정책 설정이 적용되기 전까지는 방화벽 드라이버가 필터링을 시작하지 않기 때문입니다. 방화벽 서비스에는 많은 종속성이 있기 때문에 이러한 종속성이 삭제될 때까지 대기한 후에 해당 서비스에서 정책을 드라이버에 적용합니다. 이 대기 시간은 컴퓨터의 속도에 따라 달라집니다.

Windows Server 2003 서비스 팩 1에서 IPv4 및 IPv6 방화벽 드라이버에는 상태 저장 필터링을 수행하기 위한 정적 규칙이 있습니다. 이 정적 규칙을 부팅 시간 정책이라고 합니다. 컴퓨터에서는 이 규칙을 사용하여 DNS 및 DHCP와 같은 기본 네트워킹 기능을 수행하고 도메인 컨트롤러와 통신하여 정책 설정을 가져올 수 있습니다. Windows 방화벽 서비스는 실행된 후에 런타임 정책 설정을 로드하여 적용합니다. 부팅 시간 정책은 구성될 수 없습니다.

서비스 제어 관리자에 Windows 방화벽/인터넷 연결 공유(ICS)로 표시되는 Windows 방화벽 서비스가 수동 또는 사용 안 함으로 설정되는 경우에는 부팅 시간 보안이 제공되지 않습니다.

이 변경 사항이 중요한 이유는 무엇이며 이로 인해 줄어드는 위협은 무엇입니까?

이 변경으로 컴퓨터는 시작 및 종료하는 동안 공격에 덜 노출됩니다.

작동 방식의 차이는 무엇입니까?

Windows 방화벽 서비스를 시작하지 못하면 부팅 시 보안이 유지됩니다. 따라서 모든 들어오는 연결이 차단됩니다. 이 경우 원격 데스크톱에서 사용하는 포트를 포함한 모든 포트가 닫히므로 관리자는 원격으로 문제를 해결할 수 없습니다.

방화벽 서비스가 시작되기 전에 서비스가 시작하려고 하면 "경쟁 조건"이 발생할 수도 있습니다. 필수 서비스가 이 조건에 의해 차단된 경우 Windows 방화벽을 사용하지 않도록 설정해야 합니다.

이러한 문제를 해결하는 방법은 무엇입니까?

부팅 시간 보안을 해제하려면 Windows 방화벽/인터넷 연결 공유(ICS) 서비스를 중지하고 해당 시작 유형을 수동 또는 사용 안 함으로 설정합니다.

방화벽 서비스가 시작되지 않았으므로 컴퓨터가 부팅 시간 보안 모드에 있는 경우 관리자는 컴퓨터에 로그온하여 실패의 원인을 해결한 다음 방화벽 서비스를 수동으로 시작해야 합니다.

안전 모드로 실행(안전 모드 방화벽)

자세한 설명

방화벽 상태는 서버가 안전 모드로 시작될 때 유지됩니다.

이 변경 사항이 중요한 이유는 무엇입니까?

이 변경으로 컴퓨터를 네트워크 연결을 사용하면서 안전 모드로 시작할 때 보안 위험에 덜 노출됩니다.

작동 방식의 차이는 무엇입니까?

이전 버전에서 인터넷 연결 방화벽은 안전 모드에서는 사용할 수 없었습니다.

글로벌 구성

자세한 설명

이전 버전 Windows에서 인터넷 연결 방화벽은 인터페이스를 기반으로 구성되었습니다. 이것은 각 네트워크 연결이 고유한 방화벽 설정 집합으로 구성되어 있다는 것을 의미합니다. 예를 들면 무선을 위한 설정 집합과 이더넷을 위한 설정 집합이 있습니다. 따라서 연결 간에 방화벽 설정을 동기화하기 어렵게 되었습니다. 또한 기존 연결에 적용되었던 구성 변경은 하나도 새 연결에 적용되지 않았습니다. 전용 전화 회사에서 만든 것과 같은 비표준 네트워크 연결(예: ISP 구성 전화 접속 네트워킹 연결)은 보호될 수 없습니다.

Windows 방화벽의 글로벌 구성에서는 구성 변경이 발생할 때마다 타사의 전화 걸기 프로그램을 비롯하여 Network Connections 폴더의 모든 네트워크 연결에 자동으로 적용됩니다. 새 연결이 만들어지면 해당 구성도 새 연결에 적용됩니다. 구성은 여전히 인터페이스 단위를 기반으로 수행될 수 있습니다. 비표준 네트워크 연결에는 글로벌 구성만 있습니다. 또한 구성 변경 사항은 IPv4 및 IPv6 모두에 적용됩니다.

이 변경 사항이 중요한 이유는 무엇입니까?

글로벌 구성이 있으면 사용자는 모든 네트워크 연결에서 방화벽 정책을 쉽게 관리할 수 있으며 그룹 정책을 통해 구성을 사용하도록 설정할 수 있습니다. 또한 단일 구성 옵션이 있는 모든 인터페이스에서 작동하도록 응용 프로그램을 설정할 수 있습니다.

작동 방식의 차이는 무엇입니까?

이전 버전의 Window Server에서 방화벽은 인터페이스를 기준으로 구성되었습니다. Windows Server 2003 서비스 팩 1에서 구성은 전역적이며 IPv4 및 IPv6에 모두 적용됩니다.

이러한 문제를 해결하는 방법은 무엇입니까?

고정적으로 열려 있는 포트가 있어야만 응용 프로그램이나 서비스가 실행되는 경우 이 항목의 뒷부분에 있는 "Windows Server 2003 서비스 팩 1을 사용하려면 코드를 변경해야 합니까?"에서 설명한 대로 해당 포트를 글로벌로 열어야 합니다.

로깅 감사

자세한 설명

감사 로깅을 사용하여 Windows 방화벽에 적용한 변경 내용을 추적하고 컴퓨터의 특정 포트에서 수신 대기하는 응용 프로그램과 서비스를 볼 수 있습니다. 감사 로깅이 활성화된 후에 감사 이벤트는 보안 이벤트 로그에 기록됩니다. 감사 로깅은 Windows XP 서비스 팩 2를 실행 중인 클라이언트 컴퓨터와 Windows Server 2003 서비스 팩 1을 실행 중인 서버에서 사용할 수 있습니다. 다음 절차에 따라 컴퓨터에 감사 로깅을 활성화할 수 있습니다.

로깅을 사용하려면

  1. 로컬 관리자 계정을 사용하여 로그온합니다.

  2. 시작을 클릭하고 제어판을 클릭한 후 관리 도구를 클릭합니다.

  3. 관리 도구에서 로컬 보안 정책을 두 번 클릭하여 로컬 보안 설정 콘솔을 엽니다.

  4. 로컬 보안 설정 콘솔의 콘솔 트리에서 로컬 정책을 클릭한 후 감사 정책을 클릭합니다.

  5. 로컬 보안 설정 콘솔의 세부 정보 창에서 감사 정책 변경을 두 번 클릭합니다. 성공실패를 선택하고 확인을 클릭합니다.

  6. 로컬 보안 설정 콘솔의 세부 정보 창에서 프로세스 추적 감사를 두 번 클릭합니다. 성공실패를 선택하고 확인을 클릭합니다.

Active Directory 디렉터리 서비스 도메인에 있는 여러 대의 컴퓨터에 대해 감사 로깅을 활성화할 수 있습니다. 이렇게 하려면 그룹 정책을 사용하여 적절한 도메인 시스템 컨테이너에 있는 그룹 정책 개체의 Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy에서 정책 변경 감사프로세스 추적 감사 설정을 수정합니다.

감사 로깅이 활성화된 후에 이벤트 뷰어 스냅인을 사용하여 보안 이벤트 로그에서 감사 이벤트를 볼 수 있습니다.

Windows 방화벽은 다음 이벤트 ID를 사용합니다.

  • 848 - Windows 방화벽의 시작 구성을 표시합니다.

  • 849 - 응용 프로그램 예외 구성을 표시합니다.

  • 850 - 포트 예외 구성을 표시합니다.

  • 851 - 응용 프로그램 예외 목록에 적용한 변경 내용을 표시합니다.

  • 852 - 포트 예외 목록에 적용한 변경 내용을 표시합니다.

  • 853 - Windows 방화벽 작동 모드에 적용한 변경 내용을 표시합니다.

  • 854 - Windows 방화벽 로깅 설정에 적용한 변경 내용을 표시합니다.

  • 855 - ICMP 설정에 적용한 변경 내용을 표시합니다.

  • 856 - 멀티캐스트 또는 브로드캐스트 요청에 대한 유니캐스트 응답을 금지 설정에 적용한 변경 내용을 표시합니다.

  • 857 - 원격 관리 설정에 적용한 변경 내용을 표시합니다.

  • 858 - Windows 방화벽 그룹 정책 설정의 응용 프로그램을 표시합니다.

  • 859 - Windows 방화벽 그룹 정책 설정의 제거를 표시합니다.

  • 860 - 다른 프로필에 적용한 변경 내용을 표시합니다.

  • 861 - 들어오는 트래픽에 대해 수신 대기를 시도하는 응용 프로그램을 표시합니다.

이 변경 사항이 중요한 이유는 무엇입니까?

Windows 방화벽의 활동 감사는 방화벽 설정을 수정하려고 시도하는 악의적인 소프트웨어에 대해 경고하는 데 사용될 수 있기 때문에 철저한 방어 전략의 일부분입니다. 또한 일반적으로 감사를 통해 관리자는 응용 프로그램의 네크워크 요구 사항을 결정하고 다수의 사용자에게 컴퓨터를 배포하는 데 적합한 정책을 계획합니다.

예외에 대한 트래픽 범위

자세한 설명

ICF는 모든 IPv4 주소에서 들어오는 예외 트래픽을 허용합니다. Windows Server 2003 서비스 팩 1의 Windows 방화벽을 사용하면 IPv4 및 IPv6 라우팅 테이블의 항목을 기반으로 하는 내 네트워크(서브넷)만 범위 옵션을 선택하여 직접 연결할 수 있는 주소 또는 사용자 지정 목록 범위 옵션을 선택하여 특정 IPv4 주소 범위에서 들어오는 트래픽만 허용하도록 예외를 구성할 수도 있습니다.

작업 그룹에 속한 컴퓨터의 경우 일부 예외는 기본적으로 로컬에서 연결할 수 있는 주소로 제한됩니다. 이런 예외는 파일 및 프린터 공유와 UPnP 프레임워크에 필요합니다. 또한 이러한 예외가 인터넷 연결 공유(ICS) 호스트에서 로컬로 연결할 수 있는 주소용으로 열리는 경우 ICS 공용 인터페이스에서는 열리지 않습니다. 모든 가능한 주소에 이 예외를 사용하도록 설정한 경우 예외는 ICS 공용 인터페이스에서 열리지만 권장되지는 않습니다. NetShare API(응용 프로그래밍 인터페이스), 네트워크 설정 마법사 또는 Windows 방화벽 사용자 인터페이스를 통해 파일 및 프린터 공유 기본 제공 예외가 설정되어 있는 경우 들어오는 파일 및 프린터 공유 연결 요청은 기본적으로 직접 연결할 수 있는 주소에서만 올 수 있습니다.

파일 및 프린터 공유에 대해 이미 구성된 서버에 Windows 방화벽을 활성화할 경우 파일 및 프린터 공유 예외는 자동으로 활성화될 수 있습니다. 로컬에서 연결할 수 있는 주소 제한을 로컬 네트워크에서 통신하는 데 사용되는 모든 예외에 적용하는 것이 좋습니다. 이렇게 하려면 Windows Firewall Netsh Helper를 사용하여 명령줄에서 프로그래밍 방식으로 하거나 제어판Windows 방화벽을 클릭합니다.

note참고
가장 좋은 방법으로 Windows 방화벽에 지정할 예외에 대해 특정 주소나 서브넷으로 사용자 지정 범위를 확인합니다.

예외를 구성하고 사용하도록 설정하면 Windows 방화벽에서 모든 주소, 직접 연결할 수 있는 주소 또는 사용자 지정 목록과 같은 지정된 범위에서 보낸 임의의 들어오는 특정 트래픽을 허용하게 됩니다. 범위에 대해 예외를 사용하도록 설정하면 허용된 주소에 할당된 컴퓨터와 트래픽을 스푸핑하는 악의적인 컴퓨터에서 들어오는 임의의 트래픽으로부터 공격을 받을 수 있습니다. 공개 IPv4 주소에 할당된 인터넷 연결에서 스푸핑된 공격을 방지할 수 있는 유일한 방법은 예외를 사용하지 않는 것입니다. 따라서 예외를 통해 원치 않는 트래픽을 보낼 수 있는 컴퓨터 수를 최소로 유지할 수 있도록 범위 옵션을 구성해야 합니다. 이 방법은 발생할 수 있는 스푸핑 공격을 줄일 수는 있지만 완전히 제거할 수는 없습니다.

조직의 보안 정책 요구에 따라 네트워크 외부에서 리소스에 액세스할 수 없게 하려면 IPSec 같은 접근법의 사용을 고려해야 합니다. IPSec는 네트워크 수준의 피어 인증, 데이터 원본 인증, 데이터 무결성, 데이터 기밀성(암호화) 및 재현 방지 등을 지원합니다.

이 변경 사항이 중요한 이유는 무엇이며 이로 인해 줄어드는 위협은 무엇입니까?

일부 응용 프로그램은 로컬 네트워크의 다른 컴퓨터와만 통신하고 인터넷의 컴퓨터와는 통신할 필요가 없습니다. Windows 방화벽을 로컬에서 연결할 수 있는 주소 또는 로컬에서 연결된 서브넷에 해당하는 특정 주소 범위의 트래픽만 허용하도록 구성하면 원하지 않는 들어오는 트래픽이 허용될 수 있는 일련의 주소가 제한됩니다. 이렇게 하면 사용 설정된 예외에 대해 발생할 수 있는 공격을 제거할 수는 없지만 차단할 수는 있습니다.

작동 방식의 차이는 무엇입니까?

작업 그룹의 구성원인 컴퓨터에서 제어판을 사용하여 파일 및 프린터 공유나 UPnP 프레임워크 기본 제공 예외를 활성화하면 로컬에서 연결할 수 있는 주소 범위가 열린 포트에 적용됩니다. 응용 프로그램이나 서비스에서도 이러한 포트를 사용할 경우 이러한 응용 프로그램이나 서비스는 로컬에서 연결할 수 있는 주소가 할당된 다른 노드와만 통신할 수 있습니다. 그러나 컴퓨터가 도메인의 구성원일 경우 글로벌 범위가 적용됩니다.

이러한 예외가 제어판 대신에 API 호출이나 Netsh.exe를 사용하여 설정된 경우 컴퓨터가 작업 그룹의 구성원인지 도메인의 구성원인지 여부에 관계없이 기본 범위 설정은 로컬에서 연결할 수 있는 주소입니다.

이러한 문제를 해결하는 방법은 무엇입니까?

응용 프로그램이나 서비스에서 이러한 제한 유형이 적용되지 않는 경우 이 문서의 뒷부분에 있는 "Windows Server 2003 서비스 팩 1을 사용하려면 코드를 변경해야 합니까?"에서 설명된 대로 모든 컴퓨터에 대해 포트를 열어야 합니다.

명령줄 지원

자세한 설명

Windows Firewall Netsh Helper가 Windows XP의 고급 네트워킹 팩에 추가되었습니다. 이 도우미는 IPv6 Windows 방화벽에만 적용됩니다. Windows Server 2003 서비스 팩 1에서 도우미의 구조와 구문이 변경되었고 IPv4 구성에 대한 지원도 포함하도록 확장되었습니다. Netsh Helper를 사용하면 다음을 비롯하여 Windows 방화벽을 글로벌로 구성할 수 있습니다.

  • Windows 방화벽의 기본 상태(해제, 설정, 설정(예외 없음))를 구성합니다.

  • 열어 둬야 하는 포트 구성

  • 글로벌 액세스를 활성화할 포트나 로컬 서브넷에 액세스를 제한할 포트를 구성합니다.

  • 모든 인터페이스에 대해 포트가 열리거나 특정 인터페이스에 대해서만 포트가 열리도록 설정합니다.

  • 로깅 옵션을 구성합니다.

  • ICMP(Internet Control Message Protocol) 처리 옵션을 구성합니다.

  • 프로그램 기반 예외를 구성하고 사용하도록 설정합니다.

Netsh.exe 컨텍스트 firewall을 사용하여 명령줄에서 Windows 방화벽 구성 및 상태 정보를 검색할 수 있습니다.

이 구문을 사용하려면 명령 프롬프트에 netsh firewall을 입력하고 필요한 대로 추가 Netsh 명령을 사용합니다.

다음 명령은 방화벽 상태와 구성 정보를 수집하는 데 유용하고 방화벽 작동 문제를 해결하는 데 유용할 수 있습니다.

  • Netsh firewall show state

  • Netsh firewall show config

다음 명령을 사용하여 Windows 방화벽의 구성을 변경할 수 있습니다.

 

명령 설명

add allowedprogram

프로그램의 파일 이름을 지정하여 예외 트래픽을 추가하는 데 사용합니다.

set allowedprogram

기존의 허용된 프로그램의 예외 설정을 수정하는 데 사용합니다.

delete allowedprogram

기존의 허용된 프로그램의 예외를 삭제하는 데 사용합니다.

set icmpsetting

허용된 ICMP 트래픽을 지정하는 데 사용합니다.

set logging

로깅 옵션을 지정하는 데 사용합니다.

set notifications

프로그램이 포트를 열려고 시도할 때 사용자에 대한 알림을 사용할지 여부를 지정하는 데 사용합니다.

set opmode

Windows 방화벽의 작동 모드를 글로벌로 지정하거나 특정 연결(인터페이스)에 대해 지정하는 데 사용합니다.

add portopening

TCP 또는 UDP 포트를 지정하여 예외 트래픽을 추가하는 데 사용합니다.

set portopening

기존의 열린 TCP 또는 UDP 포트 예외의 설정을 수정하는 데 사용합니다.

delete portopening

기존의 열린 TCP 또는 UDP 포트 예외를 삭제하는 데 사용합니다.

set service

RPC 및 DCOM 트래픽, 원격 데스크톱, 파일과 프린터 공유 및 UPnP 트래픽을 활성화하거나 차단하는 데 사용합니다.

reset

방화벽 구성을 기본값으로 되돌립니다. 제어판/Windows 방화벽의 기본값 복원 단추와 동일한 기능을 제공합니다.

다음 표에는 Windows 방화벽에서 지원되는 show 명령에 대한 설명이 들어 있습니다.

 

명령 설명

show allowedprogram

허용된 프로그램을 표시합니다.

show config

자세한 로컬 구성 정보를 표시합니다.

show currentprofile

현재 프로필을 표시합니다.

show icmpsetting

ICMP 설정을 표시합니다.

show logging

로깅 설정을 표시합니다.

show notification settings

알림에 대한 현재 설정을 표시합니다.

show opmode

프로필과 인터페이스의 작동 모드를 표시합니다.

show portopening

예외 포트를 표시합니다.

show service

서비스 예외 설정을 표시합니다.

show state

현재 상태 정보를 표시합니다.

이러한 명령의 출력을 netstat –ano 명령의 출력과 비교하여 열린 수신 대기 포트가 있을 수 있고 방화벽 구성에 해당 예외가 없는 프로그램을 확인할 수 있습니다.

이 변경 사항이 중요한 이유는 무엇입니까?

명령줄 인터페이스를 제공하면 관리자는 그래픽 사용자 인터페이스를 사용하지 않고도 Windows 방화벽을 구성할 수 있습니다. 명령줄 인터페이스는 로그온 스크립트 및 원격 관리에서 사용될 수 있습니다.

작동 방식의 차이는 무엇입니까?

Windows XP용 고급 네트워킹 팩과 함께 제공되는 Netsh Helper를 사용하여 만들어진 스크립트는 더 이상 작동하지 않으므로 업데이트되어야 합니다.

이러한 문제를 해결하는 방법은 무엇입니까?

모든 스크립트를 업데이트하여 새 방화벽 컨텍스트와 구문을 포함하도록 합니다.

"설정(예외 없음)" 작동 모드

자세한 설명

정상적으로 사용하는 동안 원하지 않게 들어오는 특정 트래픽을 허용하는 예외가 Windows 방화벽에서 구성될 수 있습니다. 일반적으로 이것은 파일 및 프린터 공유처럼 핵심 시나리오이므로 활성화되어야 합니다. 컴퓨터에서 실행 중인 수신 서비스 또는 응용 프로그램 중 하나 이상에서 보안 문제가 발견되면 컴퓨터를 클라이언트 전용 모드, 즉 "설정(예외 없음)" 모드로 전환해야 할 수 있습니다. 이 클라이언트 전용 모드로 전환하면 Windows 방화벽을 다시 구성하지 않아도 이 방화벽은 원하지 않게 들어오는 모든 트래픽을 차단하도록 구성됩니다.

이 모드에 있으면 모든 예외가 일시적으로 사용할 수 없게 되고 기존의 모든 연결이 삭제됩니다. 예외를 만들 수 있도록 Windows 방화벽에 대한 모든 응용 프로그램 인터페이스 호출이 허용되고 요청한 방화벽 구성이 저장되지만 이 구성은 작동 모드가 다시 정상 작동으로 전환될 때까지는 사용할 수 없습니다. 응용 프로그램의 모든 수신 대기 요청은 무시되고 알림 대화 상자가 표시되지 않고 컴퓨터가 이 작동 모드 상태에 있는 동안 응용 프로그램이 포트에 수신 대기할 수 없도록 효과적으로 차단됩니다.

이 변경 사항이 중요한 이유는 무엇입니까?

네트워크 시스템이 바이러스, 웜 및 기타 공격자들의 공격을 받는 동안 공격자는 부당하게 사용할 서비스를 찾습니다. “예외 없음” 작동 모드에서는 공격을 받을 경우 시스템을 신속하게 잠글 수 있으므로 유효한 예외를 사용하여 컴퓨터에 제공된 Windows 방화벽의 보호를 회피할 수 없습니다.

작동 방식의 차이는 무엇입니까?

이 작동 모드에 있을 경우 컴퓨터는 네트워크의 요청을 수신할 수 없습니다. 기존의 들어오는 연결은 모두 종료됩니다. 나가는 연결은 성공한 연결뿐입니다.

이러한 문제를 해결하는 방법은 무엇입니까?

이 작동 모드에 있을 경우 엄격한 네트워크 보안이 적용되므로 일부 기능은 사용할 수 없게 됩니다. 작동 모드를 설정하여 기능을 복원할 수 있습니다. 이 작업을 수행하면 컴퓨터의 보안이 약화되므로 사용자는 위협이 확인되고 차단된 후에만 이 작업을 수행해야 합니다.

프로그램 기반 예외

자세한 설명

일부 프로그램(응용 프로그램 또는 서비스)은 네트워크 클라이언트와 서버로 작동합니다. 프로그램이 서버로 작동할 경우 프로그램은 피어를 미리 알 수 없으므로 원하지 않게 들어오는 트래픽을 수신하도록 허용해야 합니다.

이전 버전의 Windows에서는 프로그램이 방화벽 API를 호출하여 필요한 수신 포트가 열릴 수 있도록 해야 했으며, 피어-투-피어 상황에서 포트를 미리 알 수 없는 경우에는 이 작업이 어려웠습니다. 통신이 완료된 후에 프로그램에서 포트를 다시 닫아야 했습니다. 프로그램이 예기치 않게 종료되면 방화벽에 포트가 불필요하게 열릴 수도 있습니다.

방화벽 포트를 여는 이전 방법의 또 다른 문제는 프로그램이 로컬 관리자의 보안 컨텍스트로 실행 중일 경우에만 포트가 열릴 수 있다는 것이었습니다. 따라서 프로그램이 최소 필요 권한만을 사용하는 것이 아니라 관리 컨텍스트에서 실행되어야 하므로 최소 권한의 기본 정보 보안 원칙에 위반되었습니다.

Windows Server 2003 서비스 팩 1에서는 네트워크를 수신 대기하는 데 필요한 프로그램을 Windows 방화벽 예외 목록에 추가할 수 있습니다. 프로그램이 Windows 방화벽 예외 목록에서 활성화되어 있으면 Windows 방화벽은 프로그램의 보안 컨텍스트에 관계없이 필요한 수신 포트를 자동으로 열고 닫습니다. 프로그램을 Windows 방화벽 예외 목록에 추가하는 방법에 대한 자세한 내용은 이 문서의 뒷부분에서 "이러한 문제를 해결하는 방법은 무엇입니까?"를 참조하십시오.

상태 저장 필터링이 작동하는 프로그램은 Windows 방화벽 예외 목록에 넣을 필요가 없습니다. 관리자만 프로그램을 Windows 방화벽 예외 목록에 추가할 수 있습니다.

이 변경 사항이 중요한 이유는 무엇이며 이로 인해 줄어드는 위협은 무엇입니까?

프로그램이 Windows 방화벽 예외 목록에 있으면 필요한 포트만 열리고 그러한 포트는 프로그램이 해당 포트에서 수신 대기 중인 동안에만 열려 있습니다.

작동 방식의 차이는 무엇입니까?

프로그램이 네트워크에서 수신 대기해야 할 경우 Windows 방화벽 예외 목록에 프로그램이 활성화되어 있어야 합니다. 그렇지 않으면 Windows 방화벽에 있는 필요한 포트가 열리지 않고 프로그램은 원하지 않게 들어오는 트래픽을 받을 수 없습니다.

이러한 문제를 해결하는 방법은 무엇입니까?

다음 다섯 가지 방법으로 프로그램을 Windows 방화벽 예외 목록에 넣을 수 있습니다.

  1. 프로그래밍 방식. ISV(Independent Software Vendors)의 경우 설치하는 동안 해당 프로그램을 Windows 방화벽 예외 목록에 넣는 것이 좋습니다. 프로그램을 예외 목록에 프로그래밍 방식으로 추가하는 방법에 대한 자세한 내용은 이 섹션의 뒷부분에 나오는 "Windows Server 2003 서비스 팩 1을 사용하려면 코드를 변경해야 합니까?"를 참조하십시오.

  2. 명령줄 인터페이스. IT 관리자가 스크립트나 기타 명령줄 도구를 사용하여 Windows XP 및 Windows Server 2003 시스템을 관리하는 데 사용할 수 있는 방법입니다.

  3. 그룹 정책 설정. IT 관리자가 그룹 정책을 통해 프로그램을 예외 목록에 추가하는 데 사용할 수 있는 방법입니다.

  4. Windows 방화벽 알림 메시지. Administrator 권한이 있는 사용자는 Windows 방화벽 알림 메시지와 상호 작용하여 응용 프로그램을 예외 목록에 추가할 수 있습니다.

    응용 프로그램이 비와일드카드 포트에 대해 TCP 수신이나 UDP 바인드를 수행할 경우 네트워크 스택은 응용 프로그램 이름과 포트를 Windows 방화벽으로 전달합니다. Windows 방화벽은 예외 목록에서 응용 프로그램 이름을 조회합니다. 응용 프로그램이 예외 목록에 있고 활성화되어 있으면 방화벽에서 해당 포트가 열립니다. 응용 프로그램이 예외 목록에 있고 비활성화되어 있으면 해당 포트는 열리지 않습니다. 응용 프로그램이 예외 목록에 없으면 사용자는 하나를 선택하도록 요청됩니다. 사용자에게 권리자 권한이 있으면 다음을 수행할 수 있습니다.

    • 응용 프로그램의 차단을 해제하여 네트워크를 수신 대기하도록 할 수 있습니다. 해당 응용 프로그램은 예외 목록에 '사용'으로 추가되고 포트는 열립니다.

    • 응용 프로그램을 네트워크에서 수신 대기하지 않도록 차단합니다. 해당 응용 프로그램은 예외 목록에 '사용 안 함'으로 추가되고 포트는 열리지 않습니다.

    • 나중에 다시 요청되도록 선택합니다. 해당 응용 프로그램은 예외 목록에 추가되지 않고 포트는 열리지 않습니다.

    사용자에게 관리자 권한이 없으면 사용자는 응용 프로그램이 네트워크에서 수신 대기할 수 없으며 관리자가 해당 응용 프로그램 예외를 활성화해야 한다는 알림 메시지를 받습니다. 이 메시지를 다시 표시 안 함 확인란을 선택하면 해당 응용 프로그램은 예외 목록에서 '사용 안 함'으로 나열됩니다.

    note참고
    알림 메시지는 응용 프로그램에만 사용할 수 있습니다. 서비스에는 사용할 수 없습니다.

  5. 수동 구성. 관리자는 시작 메뉴의 프로그램 목록에서 채워진 목록 중 해당 프로그램을 선택하거나 해당 프로그램 찾아 Windows 방화벽 제어판에서 수동으로 프로그램을 활성화하도록 결정할 수 있습니다.

복수 프로필

자세한 설명

Windows 방화벽에서 복수 프로필이 지원되므로 두 개의 방화벽 정책 설정 집합을 만들 수 있습니다. 하나는 컴퓨터가 관리된 네트워크에 연결되어 있을 때 사용하고 다른 하나는 컴퓨터가 연결되어 있지 않을 때 사용합니다. 업무용 응용 프로그램이 작동할 수 있도록 컴퓨터가 회사 네트워크에 연결되어 있을 때 덜 엄격한 설정을 지정할 수 있습니다. 또한 이동이 잦은 사용자를 보호하는 데 도움이 되도록 컴퓨터를 회사의 네트워크 외부로 유출할 때 적용될 보다 엄격한 보안 정책을 설정할 수도 있습니다.

note참고
Windows 방화벽의 복수 프로필은 Active Directory 도메인에 가입된 컴퓨터에만 적용됩니다. 작업 그룹의 컴퓨터는 프로필 한 개만 사용할 수 있습니다.

이 변경 사항이 중요한 이유는 무엇이며 이로 인해 줄어드는 위협은 무엇입니까?

모바일 컴퓨터의 경우 두 개 이상의 방화벽 구성이 있는 것이 좋습니다. 종종 회사 네트워크에서 안전한 구성이 인터넷에서는 공격을 당하기가 쉬울 수 있습니다. 따라서 회사 네트워크에서는 포트를 열 수 있고 다른 네트워크에서는 열 수 없게 하는 것은 지정된 시간에 필요한 포트만 노출되도록 하는 데 중요합니다.

작동 방식의 차이는 무엇입니까?

응용 프로그램이 Windows 방화벽 예외 목록에 나열되어야 제대로 작동하는 경우 두 프로필이 같은 정책 설정 집합을 가질 수 없으므로 응용 프로그램이 두 네트워크 모두에서 작동할 수 없습니다. 응용 프로그램이 모든 네트워크에서 작동하려면 두 프로필 모두에 나열되어야 합니다. Windows 방화벽 예외 목록에 대한 자세한 내용은 앞부분에 나오는 해당 섹션을 참조하십시오.

이러한 문제를 해결하는 방법은 무엇입니까?

컴퓨터가 도메인에 가입되어 경우 응용 프로그램이 두 방화벽 구성 모두에 나열되어야 합니다. 제어판Windows 방화벽을 통해서는 현재 실행 중인 프로필에만 액세스할 수 있으므로 명령줄 인터페이스나 그룹 정책을 통해 예외를 만드는 것을 고려하십시오.

시스템 서비스에 대한 RPC 지원

자세한 설명

이전 버전의 Windows에서 인터넷 연결 방화벽은 RPC(원격 프로시저 호출)를 차단했습니다. 인터넷 연결 방화벽은 RPC 종점 매퍼로 이동하는 네트워크 트래픽을 허용하도록 구성할 수 있었지만 RPC 서버가 사용한 포트를 알 수 없었으므로 응용 프로그램은 여전히 실패했을 것입니다.

RPC가 네트워크를 통해 통신할 수 없는 경우 많은 엔터프라이즈 응용 프로그램과 구성 요소가 실패합니다. 다음은 몇 가지 예입니다.

  • 컴퓨터 관리 기능 및 사용자, 컴퓨터 및 그룹 선택 대화 상자 같은 원격 관리는 많은 응용 프로그램에서 사용됩니다.

  • 원격 WMI(Windows Management Instrumentation) 구성

  • 원격 클라이언트 및 서버를 관리하는 스크립트

RPC는 몇 개의 포트를 연 다음 해당 포트에서 다른 많은 서버를 노출합니다. 그런 다음 Windows 방화벽이 이러한 포트에 대해 연결된 예외를 만들도록 요청합니다. Windows 방화벽이 이러한 요청을 허용하도록 구성되어 있는 경우 RPC가 프로그램 예외와 유사한 예외를 요구하면 필요한 포트가 열리게 됩니다.

이 변경 사항이 중요한 이유는 무엇이며 이로 인해 줄어드는 위협은 무엇입니까?

원격 관리 시나리오를 사용하기 위해 많은 전체 기업 배포에서는 RPC를 사용하는 시스템 서비스에서 기본적으로 Windows 방화벽이 작동하는 것을 요구합니다.

작동 방식의 차이는 무엇입니까?

기본적으로 RPC는 Windows 방화벽을 통해 작동하지 않습니다. RPC를 사용하는 모든 시스템 서비스가 영향을 받습니다. 그러나 원격 관리 설정을 사용하여 이러한 서비스에 대해 RPC가 작동하도록 Windows 방화벽을 구성할 수 있습니다. 또한 이 설정을 통해 RPC 종점 매퍼(TCP 135), TCP를 통한 SMB(TCP 445) 및 ICMP 에코 요청에 대한 예외를 활성화할 수 있습니다.

이러한 문제를 해결하는 방법은 무엇입니까?

이 문서의 뒷부분에서 "Windows Server 2003 서비스 팩 1을 사용하려면 코드를 변경해야 합니까?"를 참조하십시오.

기본값 복원

자세한 설명

이전에는 사용자가 인터넷 연결 방화벽(ICF)의 구성을 다시 설정할 수 있는 방법이 없었습니다. 시간이 지나면서 방화벽은 다른 응용 프로그램에서 더 이상 사용하지 않는 포트에 원하지 않는 들어오는 트래픽을 허용하도록 구성될 수도 있습니다. 이렇게 되면 기본 구성으로 쉽고 신속하게 되돌아갈 수 없습니다.

이 옵션을 사용하면 사용자가 Windows 방화벽 설정을 원래 기본값으로 복원할 수 있습니다. 또한 Windows 방화벽 기본값은 사용자 지정 기본 구성 옵션을 제공하도록 OEM(Original Equipment Manufacturer) 및 기업에 의해 수정될 수 있습니다.

이 변경 사항이 중요한 이유는 무엇입니까?

이 옵션을 사용하여 최종 사용자는 Windows 방화벽 설정을 제품이 맨 처음 출시되었을 때의 기본값으로 복원할 수 있습니다.

작동 방식의 차이는 무엇입니까?

이 기능을 추가해도 Windows 방화벽의 기능은 달라지지 않습니다. 그러나 이 기능을 사용하면 인터넷 연결 공유 및 네트워크 브리지를 사용할 수 없습니다.

무인 설치 지원

자세한 설명

이전 버전의 Windows에서는 설치 중에 인터넷 연결 방화벽을 구성할 수 없었습니다. 따라서 OEM 및 기업에서는 컴퓨터를 최종 사용자에게 배포하기 전에 인터넷 연결 방화벽을 미리 구성하기가 어려웠습니다. Windows Server 2003 서비스 팩 1의 경우 무인 설치를 통해 Windows 방화벽의 다음 옵션을 구성할 수 있습니다.

  • 작동 모드

  • Windows 방화벽 예외 목록상의 응용 프로그램

  • 예외 목록상의 정적 포트

  • ICMP 옵션

  • 로깅 옵션

이 변경 사항이 중요한 이유는 무엇입니까?

Windows 방화벽을 미리 구성하는 방법은 Windows 대리점과 대기업에 Windows 방화벽에 대한 더 융통성 있고 사용자 지정 가능한 옵션을 허용합니다.

작동 방식의 차이는 무엇입니까?

이 기능은 Windows 방화벽에 구성에 있어 융통성을 더해 줍니다. 이 기능을 추가해도 Windows 방화벽의 기능은 달라지지 않습니다.

무인 스크립트에서 ICF를 활성화하거나 비활성화하는 데 사용하는 구문은 Windows 방화벽의 새 구문으로 교체되었습니다.

Windows 방화벽 구성에 대한 Unattend.txt 파일의 섹션은 다음과 같이 구성되어 있습니다.

  • [WindowsFirewall]

    필수 섹션입니다. 사용할 프로필을 정의하고 Windows 방화벽 로그 파일 설정을 정의합니다.

  • [WindowsFirewall.profile_name]

    도메인 프로필 섹션([WindowsFirewall.Domain])에는 도메인 컨트롤러가 들어 있는 네트워크에 도메인의 구성원인 컴퓨터가 연결되어 있을 때 사용하는 설정이 들어 있습니다. 표준 프로필 섹션([WindowsFirewall.Standard])에는 도메인 컨트롤러가 들어 있는 네트워크에 도메인의 구성원인 컴퓨터가 연결되어 있지 않을 때 사용하는 설정이 들어 있습니다. Windows 방화벽을 사용하지 않으려면 Profiles = WindowsFirewall.TurnOffFirewall(을)를 지정할 수 있습니다.

    [WindowsFirewall.profile_name] 섹션은 사용자 정의 섹션으로 프로그램, 서비스, 포트, ICMP 설정 등을 포함하여 Windows 방화벽의 기본 구성을 변경하기 위해[WindowsFirewall] 섹션에서 참조합니다.

  • [WindowsFirewall.program_name]

    사용자 정의 섹션으로 프로그램을 Windows 방화벽 예외 목록에 추가하는 데 사용합니다.

  • [WindowsFirewall.service_name]

    사용자 정의 섹션은 파일 및 프린터 공유, UPnP 프레임워크, 원격 데스트톱 서비스 및 원격 관리 등과 같이 미리 정의된 서비스를 Windows 방화벽 예외 목록에 추가하는 데 사용합니다.

  • [WindowsFirewall.portopening_name]

    사용자 정의 섹션으로 포트를 Windows 방화벽 예외 목록에 추가하는 데 사용합니다.

  • [WindowsFirewall.icmpsetting_name]

    사용자 정의 섹션으로 ICMP 메시지 형식을 Windows 방화벽 예외 목록에 추가하는 데 사용합니다.

기존 기능 중 Windows Server 2003 서비스 팩 1에서 변경된 기능은 무엇입니까?

강화된 멀티캐스트 및 브로드캐스트 지원

자세한 설명

멀티캐스트 및 브로드캐스트 네트워크 트래픽은 알 수 없는 호스트에서 응답이 오기 때문에 유니캐스트 트래픽과 다릅니다. 상태 저장 필터링은 응답이 받아들여지지 않도록 합니다. 이로 인해 미디어 스트리밍에서 검색에 이르는 많은 시나리오 작동이 중지됩니다.

이러한 시나리오가 가능하도록 Windows 방화벽은 멀티캐스트 또는 브로드캐스트 트래픽이 발생한 포트와 동일한 포트에서 직접 연결할 수 있는 원본 주소로부터 유니캐스트 응답을 3초 동안 허용합니다.

이 변경 사항이 중요한 이유는 무엇이며 이로 인해 줄어드는 위협은 무엇입니까?

이 변경으로 인해 멀티캐스트 및 브로드캐스트를 통신에 사용하는 응용 프로그램과 서비스는 방화벽 정책 변경을 필요로 하는 사용자 또는 응용 프로그램/서비스 없이 작동할 수 있습니다. 포트 135와 같은 중요한 포트가 노출되지 않으므로 이는 NETBIOS over TCP/IP와 같은 설정에 중요합니다.

작동 방식의 차이는 무엇입니까? 종속성이 있습니까?

Windows Server 2003에서 인터넷 연결 방화벽은 사용자가 수동으로 포트를 열어야 응답을 받을 수 있는 멀티캐스트 및 브로드캐스트 트래픽을 상태 저장으로 필터링했습니다. Windows Server 2003 서비스 팩 1의 경우 Windows 방화벽은 추가 구성 없이 멀티캐스트 또는 브로드캐스트 트래픽에 대한 응답을 받아들입니다.

업데이트된 사용자 인터페이스

자세한 설명

방화벽 사용자 인터페이스는 Windows Server 2003 서비스 팩 1에서 새로운 구성 옵션 및 IPv6 인터넷 연결 방화벽 통합을 제공하도록 업데이트되었습니다. 새 Windows 방화벽 인터페이스를 사용하여 사용자는 작동 상태, 글로벌 구성, 로깅 옵션, ICMP 옵션 등을 변경할 수 있습니다.

사용자 인터페이스에 대한 주 진입점이 연결에 대한 속성 대화 상자에서 제어판 아이콘으로 이동했습니다. 이전 위치에서 시작되는 링크도 계속 제공됩니다. 또한 Windows Server 2003 서비스 팩 1은 Network Connections 폴더에서 링크를 만듭니다.

이 변경 사항이 중요한 이유는 무엇입니까?

Windows Server 2003 서비스 팩 1에 추가된 기능을 사용하려면 사용자 인터페이스를 업데이트해야 했습니다.

작동 방식의 차이는 무엇입니까?

사용자 인터페이스가 네트워크 연결 속성 대화 상자의 고급 탭에서 제어판의 특정 Windows 방화벽 아이콘으로 이동했습니다.

새로운 그룹 정책 지원

자세한 설명

이전 버전 Windows에서 인터넷 연결 방화벽에는 GPO(그룹 정책 개체)가 한 개만 들어 있었습니다. DNS 도메인 네트워크에서 인터넷 연결 방화벽의 사용을 금지합니다. Windows Server 2003 서비스 팩 1을 사용하여 모든 글로벌 구성 옵션을 그룹 정책을 통해 설정할 수 있습니다. 사용할 수 있는 새 구성 옵션의 예는 다음과 같습니다.

  • 프로그램 예외 정의

  • 로컬 프로그램 예외 허용

  • ICMP 예외 허용

  • 알림 금지

  • 파일 및 프린터 공유 예외 허용

  • 로깅 허용

이러한 개체는 각각 회사 프로필 및 표준 프로필 모두에 대해 설정될 수 있습니다. 그룹 정책 옵션에 대한 자세한 내용은 Microsoft 다운로드 센터(http://go.microsoft.com/fwlink/?linkid=23277)에서 "Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2"를 참조하십시오. 또한 이 문서에서는 Windows Server 2003 서비스 팩 1의 향상된 기능에 대해서도 다룹니다.

이 변경 사항이 중요한 이유는 무엇입니까?

관리자가 Windows 방화벽 정책 설정을 중앙에서 관리하여 회사 환경에서 응용 프로그램과 시나리오가 실행될 수 있도록 하는 것은 중요합니다.

작동 방식의 차이는 무엇입니까?

이제 IT 관리자는 기본 Windows 방화벽 정책 집합을 결정할 수 있습니다. 이렇게 함으로써 응용 프로그램 및 시나리오를 활성화하거나 비활성화할 수 있습니다. 따라서 추가 제어를 허용하지만 정책이 Windows 방화벽의 기본 기능을 변경하지는 않습니다.

Windows Server 2003 서비스 팩 1에서 변경되거나 추가된 설정은 무엇입니까?

 

설정 이름 위치 이전 기본값 기본값 사용 가능한 값

모든 네트워크 연결 보호

(그룹 정책 개체) Computer Configuration \Administrative Templates \Network\Network Connections\ \Windows Firewall

적용할 수 없음

구성되지 않음

사용

사용 안 함

예외 허용 안 함

(그룹 정책 개체) Computer Configuration \Administrative Templates \Network\Network Connections \Windows Firewall

적용할 수 없음

구성되지 않음

사용

사용 안 함

프로그램 예외 정의

(그룹 정책 개체) Computer Configuration \Administrative Templates \Network\Network Connections \Windows Firewall

적용할 수 없음

구성되지 않음

사용[프로그램 경로] [범위]

사용 안 함

로컬 프로그램 예외 허용

(그룹 정책 개체) Computer Configuration \Administrative Templates \Network\Network Connections \Windows Firewall

적용할 수 없음

구성되지 않음

사용

사용 안 함

원격 관리 예외 허용

(그룹 정책 개체) Computer Configuration \Administrative Templates \Network\Network Connections \Windows Firewall

적용할 수 없음

구성되지 않음

사용

사용 안 함

파일 및 프린터 공유 예외 허용

(그룹 정책 개체) Computer Configuration \Administrative Templates \Network\Network Connections \Windows Firewall

적용할 수 없음

구성되지 않음

사용

사용 안 함

ICMP 예외 허용

(그룹 정책 개체) Computer Configuration \Administrative Templates \Network\Network Connections \Windows Firewall

적용할 수 없음

구성되지 않음

사용

사용하는 경우 다음 메시지 유형 중 하나를 선택하여 허용합니다.

[연결할 수 없는 아웃바운드 대상 허용]

[아웃바운드 원본 무시 허용]

[리디렉션 허용]

[인바운드 에코 요청 허용]

[아웃바운드 시간 초과 허용]

[아웃바운드 매개 변수 문제 허용]

[인바운드 타임스탬프 요청 허용]

[인바운드 마스크 요청 허용]

[너무 큰 아웃바운드 패킷 허용]

사용 안 함

원격 데스크톱 예외 허용

(그룹 정책 개체) Computer Configuration \Administrative Templates \Network\Network Connections \Windows Firewall

적용할 수 없음

구성되지 않음

사용

사용 안 함

UPnP 프레임워크 예외 허용

(그룹 정책 개체) Computer Configuration \Administrative Templates \Network\Network Connections \Windows Firewall

적용할 수 없음

구성되지 않음

사용

사용 안 함

알림 금지

(그룹 정책 개체) Computer Configuration \Administrative Templates\Network \Network Connections \Windows Firewall

적용할 수 없음

구성되지 않음

사용

사용 안 함

로깅 허용

(그룹 정책 개체) Computer Configuration \Administrative Templates\Network \Network Connections \Windows Firewall

적용할 수 없음

구성되지 않음

사용

사용 안 함

멀티캐스트 또는 브로드캐스트 요청에 대한 유니캐스트 응답 금지

(그룹 정책 개체) Computer Configuration \Administrative Templates\Network \Network Connections \Windows Firewall

적용할 수 없음

구성되지 않음

사용

사용 안 함

포트 예외 정의

(그룹 정책 개체) Computer Configuration \Administrative Templates\Network \Network Connections \Windows Firewall

적용할 수 없음

구성되지 않음

사용

사용 안 함

로컬 포트 예외 허용

(그룹 정책 개체) Computer Configuration \Administrative Templates\Network \Network Connections \Windows Firewall

적용할 수 없음

구성되지 않음

사용

사용 안 함

Windows Server 2003 서비스 팩 1을 사용하려면 코드를 변경해야 합니까?

Windows Server 2003 서비스 팩 1에서 Windows 방화벽을 사용하려면 보안 구성 마법사를 사용하여 구성하는 것이 좋습니다. SCW는 서로 다른 서버 역할과 작업 로드에 필요한 요구 사항을 충족하고 방화벽을 올바르게 설정할 수 있도록 고안되었습니다. 방화벽 설정을 수동으로 구성하려면 다음 정보를 검토하여 응용 프로그램이 어떻게 영향을 받는지 확인하십시오.

아웃바운드 연결

설명

일반 소비자 및 사무실 컴퓨터의 경우 컴퓨터는 네트워크상의 클라이언트입니다. 컴퓨터의 소프트웨어는 서버 쪽으로 연결하고(아웃바운드 연결) 서버에서 다시 응답을 받습니다. Windows 방화벽은 모든 아웃바운드 연결을 허용하지만 다시 컴퓨터로 들어올 수 있는 통신 유형에 규칙을 적용합니다.

다음은 이런 방식으로 작동할 수 있는 Microsoft 응용 프로그램 관련 작업의 몇 가지 예입니다.

  • Microsoft Internet Explorer를 사용한 웹 서핑

  • Outlook Express에서 전자 메일 확인

  • MSN Messenger 또는 Windows Messenger로 채팅

필요한 작업

없습니다. Windows 방화벽은 프로그램과 사용자 컨텍스트에 관계없이 모든 아웃바운드 연결을 자동으로 허용합니다.

note참고
컴퓨터가 대상 컴퓨터로 TCP 세션 요청을 시작할 때 해당 대상 컴퓨터에서 오는 응답만 받아들입니다.

컴퓨터가 UDP 패킷을 보내면 Windows 방화벽은 임의의 IP 주소로부터 UDP 패킷을 보낸 포트에 대한 UDP 응답을 약 90초 동안 허용합니다.

멀티캐스트 및 브로드캐스트 트래픽에 대한 유니캐스트 응답이 멀티캐스트 트래픽을 보낸 포트에 대한 것이고 컴퓨터와 동일한 서브넷상의 IP 주소로부터 온 것이면 Windows 방화벽을 통해 3초 동안 해당 응답이 허용됩니다. 방화벽에서의 설정이 이 동작을 제어하며 이 동작은 기본적으로 활성화되어 있습니다.

응용 프로그램에 대한 요청하지 않은 인바운드 연결

설명

이 시나리오는 TCP 소켓의 수신 작업을 완료하거나 Winsock을 통해 특정 UDP 소켓에 성공적으로 바인딩하는 응용 프로그램에 대해 설명합니다. 이 시나리오에서 Windows 방화벽은 응용 프로그램에서 필요한 경우 포트를 자동으로 열고 닫을 수 있습니다.

다음은 이런 방식으로 작동할 수 있는 Microsoft 응용 프로그램 관련 작업의 몇 가지 예입니다.

  • MSN Messenger 또는 Windows Messenger에서 오디오 및 비디오 사용

  • MSN Messenger 또는 Windows Messenger에서 파일 전송

  • 멀티 플레이어 게임 호스팅

필요한 작업

포트에서 수신 대기해야 하는 응용 프로그램을 개발 중인 경우 코드를 업데이트하여 응용 프로그램이 방화벽에서 포트를 여는 것을 허용할지 여부를 지정하도록 사용자에게 요청해야 합니다.

  • 사용자가 여기에 동의하면 응용 프로그램은 INetFwAuthorizedApplication API를 사용하여 자체를 AuthorizedApplications 컬렉션에 사용으로 추가해야 합니다.

  • 사용자가 여기에 동의하지 않으면 응용 프로그램은 INetFwAuthorizedApplication API를 사용하여 자체를 AuthorizedApplications 컬렉션에 사용 안 함으로 추가해야 합니다.

INetFwAuthorizedApplication API를 사용하여 응용 프로그램을 AuthorizedApplications 컬렉션에 추가할 경우 다음 값이 필요합니다.

  • 이미지 파일 이름. 네트워크 트래픽을 수신하기 위해 Winsock을 호출하는 파일입니다. 이것은 정식 경로이어야 하지만 환경 변수를 포함할 수 있습니다.

  • 이름. Windows 방화벽 사용자 인터페이스의 사용자에게 표시될 응용 프로그램에 대한 설명입니다.

INetFwAuthorizedApplication API에 대한 자세한 내용은 MSDN 웹 사이트(http://go.microsoft.com/fwlink/?LinkId=32000)에서 Microsoft 플랫폼 SDK(Software Development Kit)의 "NetFwAuthorizedApplication"을 참조하십시오.

Windows 방화벽은 Winsock을 모니터링하여 응용 프로그램이 포트 수신 대기를 시작 및 중지하는 시기를 확인합니다. 그 결과 Windows 방화벽 예외 목록에서 해당 항목이 활성화된 후에 포트는 자동으로 응용 프로그램에 대해 열리고 닫힙니다. 즉, 방화벽에서 실제로 포트를 열고 닫기 위해 Winsock 응용 프로그램에 필요한 작업은 없습니다.

note참고
응용 프로그램이 자체를 Windows 방화벽 예외 목록에 추가하기 위해 Administrator 권한이 있는 사용자의 컨텍스트에서 실행되어야 합니다.

응용 프로그램이 실행되고 있는 사용자 컨텍스트에 관계없이 포트는 허용된 Winsock 응용 프로그램에 대해 방화벽에서 자동으로 열리고 닫힙니다.

응용 프로그램은 자체를 INetFwAuthorizedApplications 컬렉션에 추가하기 전에 사용자 동의를 얻어야 합니다.

Svchost.exe는 INetFwAuthorizedApplications 컬렉션에 추가할 수 없습니다.

고정 포트를 사용하는 서비스에 대한 인바운드 연결

설명

개발자는 다른 모든 시나리오에 대해 INetFWAuthorizedApplication API를 사용하라는 권고를 받지만 고정 포트에서 수신 대기하는 서비스의 경우 Windows 방화벽에서 글로벌 포트 API를 사용하는 것이 좋습니다. 이러한 포트는 항상 열려 있으므로 포트를 동적으로 여는 데는 크게 도움이 되지 않습니다. 대신 글로벌 포트 API가 사용될 경우 사용자는 이러한 고정 포트에 대한 방화벽 설정을 사용자 지정할 수 있습니다.

인바운드 연결이 필요한 몇 가지 서비스의 예는 다음과 같습니다.

  • 파일 및 프린터 공유

  • UPnP 아키텍처

  • 원격 데스크톱

필요한 작업

서비스가 고정 포트에서 수신 대기해야 할 경우 서비스가 방화벽에서 포트를 열 수 있도록 허용해야 하는지 여부를 사용자에게 문의해야 합니다. 원칙상 서비스가 설치되는 동안 이렇게 해야 합니다.

사용자가 여기에 동의하면 해당 서비스는 INetFwOpenPort API를 사용하여 서비스에 필요한 고정 포트에 대한 규칙을 Windows 방화벽에 추가해야 합니다. 이러한 규칙은 활성화되어 있어야 합니다.

사용자가 동의하지 않으면 해당 서비스는 역시 INetFwOpenPort API를 사용하여 서비스에 필요한 고정 포트에 대한 규칙을 Windows 방화벽에 추가해야 합니다. 그러나 이러한 규칙은 활성화되지 않아야 합니다.

INetFwOpenPort API를 사용하여 포트 열기를 Windows 방화벽에 추가할 때 다음 값이 필요합니다.

  • 프로토콜. 서비스에서 사용하는 네트워크 프로토콜을 TCP나 UDP 중에서 지정합니다.

  • 포트. 열릴 포트 번호입니다.

  • 이름. Windows 방화벽 사용자 인터페이스의 사용자에게 표시될 포트 열기에 대한 설명입니다.

INetFwOpenPort API에 대한 자세한 내용은 MSDN 웹 사이트(http://go.microsoft.com/fwlink/?LinkId=35316)에 있는 해당 플랫폼 소프트웨어 개발 키트의 "InetFwOpenPort"를 참조하십시오.

서비스를 사용할 수 없으면 다시 INetFwOpenPort API를 사용하여 가능할 때마다 열어 놓은 정적 포트를 닫아야 합니다. 해당 서비스가 포트를 사용하는 유일한 서비스인 경우 쉽게 이 작업을 수행할 수 있습니다. 그러나 서비스가 다른 서비스와 포트를 공유할 가능성이 있으면 다른 어떤 서비스도 해당 포트를 사용하고 있지 않다고 확신할 수 없는 한 해당 포트를 닫아서는 안 됩니다.

응용 프로그램은 Windows 방화벽에서 포트를 정적으로 열기 위해 Administrator 권한이 있는 사용자의 컨텍스트에서 실행되어야 합니다.

note참고
INetFw API를 통해 포트를 정적으로 열 경우 서비스는 가능할 때마다 서비스 자체를 로컬 서브넷에서 오는 트래픽으로 제한해야 합니다.

서비스는 Windows 방화벽에서 포트를 정적으로 열기 전에 사용자 동의를 얻어야 합니다. 먼저 사용자에게 경고 메시지를 표시하지 않고서는 서비스에서 포트를 자동으로 열면 안 됩니다.

시스템 서비스에 대한 RPC 및 DCOM 포트의 인바운드 연결

설명

일부 시스템 서비스에서는 인바운드 연결을 위해 DCOM 또는 RPC를 직접 통해 RPC 포트를 사용하도록 요구합니다. RPC 포트를 열 때의 중요한 보안 의미 때문에 이러한 포트는 특별 경우로 처리되며 개발자는 꼭 필요한 경우에만 Windows 방화벽을 통해 시스템 서비스에 대해 RPC를 활성화해야 합니다.

필요한 작업

Windows 방화벽은 시스템 서비스에 대해 RPC 및 DCOM 포트의 자동 열기 및 닫기를 활성화하도록 구성될 수 있습니다. 그러나 기본적으로 RPC는 Windows 방화벽에 의해 차단됩니다. 따라서 RPC 포트를 사용하여 데이터를 시스템 서비스로 전송하는 응용 프로그램은 Windows 방화벽을 적절하게 구성해야 합니다. 응용 프로그램이 이 기능을 사용해야 할 경우 서비스가 방화벽에서 포트를 열 수 있도록 허용해야 하는지 여부를 사용자에게 문의해야 합니다. 원칙적으로 이는 설치할 때 이루어져야 합니다.

사용자가 RPC가 열리도록 허용하는 것에 동의할 경우 해당 서비스는 INetFwRemoteAdminSettings API를 사용하여 서비스가 필요로 하는 포트를 열어야 합니다.

사용자가 RPC 포트가 열리도록 허용하는 것에 동의하지 않을 경우 응용 프로그램 또는 서비스는 RPC 포트를 허용하도록 Windows 방화벽을 구성하지 않아야 합니다.

INetFwRemoteAdminSettings API에 대한 자세한 내용은 MSDN 웹 사이트(http://go.microsoft.com/fwlink/?linkid=32000)에서 "INetFwAuthorizedApplication"을 참조하고 해당 목차에서 "RemoteAddresses Property of InetFwAuthorizedApplication"을 클릭하십시오.

note참고
Windows 방화벽에서 PRC 포트의 자동 열기를 활성화하거나 비활성화하려면 응용 프로그램 또는 서비스가 Administrator 권한이 있는 사용자 컨텍스트에서 실행되어야 합니다.

응용 프로그림 또는 서비스는 꼭 필요한 경우에만 Windows 방화벽을 통과하는 RPC 포트를 허용해야 합니다.

RPC 포트가 이미 허용되어 있는 경우 응용 프로그램 또는 서비스는 제대로 작동하기 위해 어떤 작업도 수행할 필요가 없습니다. IsPortAllowed API를 사용하여 이미 열려 있는 포트를 확인할 수 있습니다.

RPC 포트 설정은 로컬 시스템, 네트워크 서비스 또는 로컬 서비스의 컨텍스트에서 실행하는 RPC 서버에 대해서만 작동합니다. 다른 사용자 컨텍스트에서 실행하는 RPC 서버가 열어 놓은 포트는 이 설정을 통해 활성화되지 않습니다. 대신 그러한 RPC 서버는 Windows 방화벽 예외 목록을 사용해야 합니다.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2014 Microsoft