이 항목은 아직 평가되지 않았습니다.- 이 항목 평가

1단계: 기본 아웃바운드 방화벽 동작을 차단하도록 구성

게시: 2007년 11월

업데이트 날짜: 2009년 12월

적용 대상: Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Vista

이 단계에서는 방화벽의 기본 아웃바운드 동작을 변경합니다. 기본적으로 Windows 방화벽에서는 모든 아웃바운드 네트워크 트래픽을 허용합니다. 아웃바운드 트래픽을 제한하려면 고급 보안 기능을 가진 Windows 방화벽에서 아웃바운드 허용 규칙에 일치하지 않는 아웃바운드 트래픽을 모두 차단하도록 기본값을 변경하면 됩니다.

중요
프로덕션 환경에서 실제로 작업할 때는 컴퓨터의 아웃바운드 트래픽 요구 사항을 신중하게 조사해야 합니다. 그런 다음 허용해야 할 모든 네트워크 트래픽이 포함되도록 아웃바운드 허용 규칙을 만들어야 합니다. 네트워크에서 트래픽을 전송할 수 있도록 추가로 허용해야 할 모든 응용 프로그램에 대해서도 규칙을 만들어 배포해야 합니다. 프로덕션 환경의 컴퓨터에 구성을 배포할 때는 먼저 해당 구성을 충분히 테스트해야 합니다.

중요

프로덕션 환경에서 실제로 작업할 때는 컴퓨터의 아웃바운드 트래픽 요구 사항을 신중하게 조사해야 합니다. 그런 다음 허용해야 할 모든 네트워크 트래픽이 포함되도록 아웃바운드 허용 규칙을 만들어야 합니다. 네트워크에서 트래픽을 전송할 수 있도록 추가로 허용해야 할 모든 응용 프로그램에 대해서도 규칙을 만들어 배포해야 합니다. 프로덕션 환경의 컴퓨터에 구성을 배포할 때는 먼저 해당 구성을 충분히 테스트해야 합니다.

차단할 기본 아웃바운드 동작을 구성하려면

MBRSVR1에서 그룹 정책 관리 편집기가 아직 열려 있으면 닫습니다.
그룹 정책 관리에서 Windows 클라이언트에 대한 방화벽 설정을 마우스 오른쪽 단추로 클릭하고 편집을 클릭합니다.
컴퓨터 구성, 정책, Windows 설정, 보안 설정, 고급 보안이 포함된 Windows 방화벽, 고급 보안이 포함된 Windows 방화벽 - LDAP://{GUID},cn=policies,cn=system,DC=contoso,DC=com을 차례로 확장합니다.

기본 아웃바운드 차단 규칙을 사용하려면 먼저 그룹 정책의 변경 사항이 클라이언트에 계속 전달될 수 있도록 핵심 네트워킹 및 파일 및 프린터 공유 아웃바운드 규칙을 활성화해야 합니다. 이 설정을 마치고 나면 로컬 규칙을 사용할 수 없게 되므로 GPO에 이를 포함해야 합니다. 탐색 창에서 아웃바운드 규칙을 마우스 오른쪽 단추로 클릭하고 새 규칙을 클릭합니다.

주의
프로덕션 환경의 컴퓨터에 규칙을 적용할 때는 먼저 랩 환경에서 규칙을 충분히 테스트해야 합니다. 필요한 아웃바운드 트래픽을 허용하지 않으면 클라이언트에서 도메인 컨트롤러에 전혀 연결할 수 없으므로 GPO을 업데이트하여 문제를 수정했더라도 클라이언트에서 해당 GPO를 검색할 수 없습니다. 이 경우 문제를 해결하기 위해서는 클라이언트 컴퓨터를 도메인에서 제거하여 기존에 적용된 그룹 정책 설정을 모두 제거하는 수밖에 없습니다. 그런 다음 필요한 아웃바운드 허용 규칙이 GPO에 포함되어 있는지 확인한 후 컴퓨터를 도메인에 다시 가입해야 합니다.

주의

프로덕션 환경의 컴퓨터에 규칙을 적용할 때는 먼저 랩 환경에서 규칙을 충분히 테스트해야 합니다. 필요한 아웃바운드 트래픽을 허용하지 않으면 클라이언트에서 도메인 컨트롤러에 전혀 연결할 수 없으므로 GPO을 업데이트하여 문제를 수정했더라도 클라이언트에서 해당 GPO를 검색할 수 없습니다. 이 경우 문제를 해결하기 위해서는 클라이언트 컴퓨터를 도메인에서 제거하여 기존에 적용된 그룹 정책 설정을 모두 제거하는 수밖에 없습니다. 그런 다음 필요한 아웃바운드 허용 규칙이 GPO에 포함되어 있는지 확인한 후 컴퓨터를 도메인에 다시 가입해야 합니다.

규칙 종류 페이지에서 미리 정의됨을 선택하고 드롭다운 목록에서 핵심 네트워킹을 선택한 후 다음을 클릭합니다.
미리 정의된 규칙 페이지에서 규칙을 모두 선택한 후 다음을 클릭합니다.
작업 페이지에서 연결 허용을 선택하고 마침을 클릭합니다.
4 - 7단계를 반복하여 파일 및 프린터 공유 규칙 그룹을 추가합니다.
그런 다음 lsass.exe가 도메인 인증을 위해 방화벽을 통해 통신하도록 허용해야 합니다. 아웃바운드 규칙을 마우스 오른쪽 단추로 클릭하고 새 규칙을 클릭합니다.
규칙 종류 페이지에서 프로그램을 클릭하고 다음을 클릭합니다.
프로그램 페이지에서 다음 프로그램 경로를 선택하고 %windir%\system32\lsass.exe를 입력한 후 다음을 클릭합니다.
작업 페이지에서 연결 허용을 선택하고 다음을 클릭합니다.
프로필 페이지에서 개인 및 공개 확인란의 선택을 취소하고 다음을 클릭합니다.
이름 페이지에 아웃바운드 lsass.exe 허용을 입력하고 마침을 클릭합니다.
WMI 필터를 포함하는 GPO가 하나라도 있으면 클라이언트에서 도메인 컨트롤러를 대상으로 WMI 필터를 쿼리하고 이를 올바르게 처리할 수 있도록 WMIPrvSE.exe 프로그램을 허용하는 아웃바운드 규칙 하나를 추가로 만들어야 합니다. 아웃바운드 규칙을 마우스 오른쪽 단추로 클릭하고 새 규칙을 클릭합니다.
규칙 종류 페이지에서 사용자 지정을 클릭하고 다음을 클릭합니다.
프로그램 페이지에서 다음 프로그램 경로를 선택하고 %windir%\system32\wbem\wmiprvse.exe를 입력합니다. 이 경우에는 사용자 지정할 서비스가 없으므로 다음을 클릭합니다.
프로토콜 및 포트 페이지에서 프로토콜 종류를 TCP로 변경하고 원격 포트를 특정 포트로 변경한 후 389를 입력하고 다음을 클릭합니다.
범위 페이지에서 다음을 클릭합니다.
작업 페이지에서 연결 허용을 선택하고 다음을 클릭합니다.
프로필 페이지에서 개인 및 공개 확인란의 선택을 취소하고 다음을 클릭합니다.
이름 페이지에 WMI 클라이언트에서 아웃바운드 389 허용을 입력하고 마침을 클릭합니다.
이제 허용 규칙이 모두 준비되었으므로 기본 아웃바운드 차단 규칙을 활성화할 수 있습니다. 그룹 정책 관리 편집기에서 고급 보안이 포함된 Windows 방화벽 - LDAP://{GUID},cn=policies,cn=system,DC=contoso,DC=com을 마우스 오른쪽 단추로 클릭하고 결과 창에서 Windows 방화벽 속성을 클릭합니다.
도메인 프로필 탭에서 아웃바운드 연결을 차단으로 변경하고 확인을 클릭합니다.

GPO를 클라이언트 컴퓨터에 적용하고 결과를 확인합니다.

GPO를 배포하고 테스트하려면

CLIENT1의 Administrator: 명령 프롬프트에서 gpupdate /force 명령을 실행한 다음 명령이 완료될 때까지 기다립니다.
Administrator: 명령 프롬프트에서 telnet mbrsvr1 명령을 실행합니다.
핵심 네트워크 트래픽과 파일 및 프린터 공유 트래픽을 제외한 모든 아웃바운드 네트워크 트래픽이 차단되므로 명령이 실패합니다.

다음 섹션에서는 텔넷에 대한 아웃바운드 허용 규칙을 만듭니다.

다음 항목: 2단계: 아웃바운드 규칙을 사용하여 프로그램에 대한 네트워크 트래픽 허용

이 정보가 도움이 되었습니까? 예 아니요

정확하지 않음

내용이 심층적이지 않음

코드 예가 더 필요함

번역에 개선이 필요함

(1500자 남음)

커뮤니티 추가 항목

추가

Microsoft는 MSDN 웹 사이트에 대한 귀하의 의견을 이해하기 위해 온라인 설문 조사를 진행하고 있습니다. 참여하도록 선택하시면 MSDN 웹 사이트에서 나가실 때 온라인 설문 조사가 표시됩니다.

참여하시겠습니까?

개인정보취급방침 및 청소년보호정책