2011.01.27 23:51
포트를 제한하는 IPsec 정책 만들기

IPsec(인터넷 프로토콜 보안)는 두 컴퓨터 사이에서 전달되는 데이터를 암호화하여 수정하거나 해석하지 못하게 합니다. IPsec를 사용하려면 연결할 컴퓨터가 서로 신뢰하는 방법과 트래픽을 보호하는 방법을 정의해야 합니다. 이러한 방법을 구현하기 위해 IPsec 정책을 만들고 적용합니다. IPSec 정책은 IPsec 인증 및 암호화에 사용할 수 있는 정책 기반의 상태 저장 패킷 필터링 규칙을 지원하여 강력한 종단 간 보안을 제공합니다.

예제: IPsec 정책 만들기

이 섹션에서는 포트 80 및 443에만 연결되는 인바운드 요청을 허용하는 예제 IPsec 정책을 만들기 위한 단계별 지침을 제공합니다. 포트 80은 HTTP 요청의 기본 포트이며 포트 443은 HTTPS 요청의 기본 포트입니다. 이 정책은 서버의 다른 포트에 대한 요청을 모두 차단합니다.

일반적인 방화벽이나 패킷 필터링 규칙과 비교하면 IPsec 정책에는 규칙 목록의 순서를 지정하는 방법이 없습니다. 규칙 엔진은 규칙의 특정성에 맞춰 트래픽을 규칙에 일치시킵니다. 패킷이 둘 이상의 규칙과 일치하는 경우 가장 특정한 규칙을 패킷에 적용합니다. 다음 예제에서 포트 80에 대한 연결을 허용하는 필터 목록과 일치하는 패킷은 들어오는 모든 트래픽을 차단하는 필터 목록과도 일치합니다. 포트 80에 대한 연결을 허용하는 필터 목록이 보다 특정하므로 규칙 엔진은 이 목록을 사용하여 결정을 내립니다. 따라서 포트 80이나 포트 443에 연결하는 트래픽만 서버에 전달되고 다른 연결은 모두 차단됩니다. 정책을 효율적으로 하려면 여러 필터 목록을 만들어야 합니다.

다음은 IPsec 정책을 만드는 여러 가지 단계입니다.

  1. IPsec 필터 목록을 만듭니다. 필터 목록은 포트, 프로토콜 및 방향을 포함하고 있으며 트래픽이 목록의 항목과 일치하면 결정을 내립니다. 이 예제에서는 세 개의 필터 목록을 만들어야 합니다. 처음 두 필터 목록은 포트 80 또는 443에 연결하려는 인바운드 트래픽에 적용되고 세 번째 필터 목록은 모든 포트에 적용됩니다.
  2. 필터 동작을 설정합니다. 필터 동작은 트래픽이 필터 목록과 일치할 때 필요한 응답입니다. 이 예제에서는 해당 IIS IPsec 정책에 대한 허용 및 차단 동작만 사용합니다.
  3. IPsec 정책을 만듭니다. IPsec 정책은 필터 목록과 필터 동작의 상관 관계를 나타내는 규칙 모음입니다. 한 번에 하나의 정책만 활성화되거나 할당할 수 있습니다. 

다음 단계는 Windows Server 2003에서 로컬 보안 설정 스냅인을 사용하여 IPsec 정책을 만드는 것입니다. IPsec용 Netsh 명령을 사용하여 IPsec 정책을 만들 수도 있습니다. IPsec의 Netsh 명령에 대한 자세한 내용은 IPsec을 참조하십시오.

IPsec 필터 목록을 만들려면 먼저 로컬 컴퓨터의 보안 설정을 변경합니다.

IPsec 필터 목록을 만들려면
  1. 시작 메뉴에서 프로그램관리 도구를 차례로 가리킨 다음 로컬 보안 정책을 선택합니다.

  2. 로컬 보안 설정 대화 상자에서 로컬 컴퓨터의 IP 보안 정책을 클릭합니다. 오른쪽 창에 기본 Windows Server 2003 정책이 표시됩니다.

  3. 오른쪽 창에서 마우스 오른쪽 단추를 클릭한 다음 IP 필터 목록 및 필터 동작 관리를 클릭합니다.

  4. IP 필터 목록 및 필터 동작 관리 대화 상자의 IP 필터 목록 관리 탭에서 추가를 클릭합니다.

  5. IP 필터 목록 대화 상자의 이름 입력란에 필터 목록 이름(예: 인바운드 HTTP)을 입력하고 필요한 경우 설명을 입력합니다. 이것은 모든 인바운드 HTTP 연결에 적용되는 필터 목록입니다.

  6. 추가를 클릭합니다. IP 필터 마법사가 나타납니다. 다음 설정을 사용하여 필터 목록을 만듭니다.

    • 설명: 선택 사항입니다.
    • 원본 주소: 모든 IP 주소
    • 대상 주소: 내 IP 주소. 또는 특정 IP 주소를 클릭한 다음 인터넷에 연결된 인터페이스의 IP 주소를 입력합니다.
    • 프로토콜 종류: TCP
    • 프로토콜 포트: 아무 포트에서
    • 이 포트로: 80.
  7. IP 필터 마법사 완료 화면에서 속성 편집 확인란의 선택을 취소한 다음 마침을 클릭합니다.

  8. IP 필터 목록 대화 상자에서 확인을 클릭합니다.

  9. 1~8단계를 반복하여 HTTPS 연결을 위해 대상 포트 443에 적용되는 필터 목록을 만듭니다. 필터 목록 이름을 "인바운드 HTTPS" 등으로 지정합니다.

  10. 1~8단계를 반복하여 모든 대상 포트에 적용되는 필터 목록을 만듭니다. 이 필터 목록은 모든 인바운드 트래픽을 차단하는 정책에 적용됩니다. 필터 목록 이름을 "모든 인바운드" 등으로 지정합니다.

IPsec 필터 목록을 만든 후에는 들어오는 트래픽이 필터 목록의 조건과 일치할 때 수행될 필터 동작을 만들어야 합니다. 이 예제에서는 두 가지 동작이 필요합니다. 첫 번째 동작은 포트 80 및 443에 연결하는 요청을 수락하는 허용 동작인데, 트래픽을 허용하는 동작은 기본값이기 때문에 이 동작을 만들 필요는 없습니다. 다른 모든 포트에 대한 트래픽을 차단하는 두 번째 동작을 만들어야 합니다.

필터 동작을 설정하려면
  1. 필터 목록을 만든 후 로컬 보안 설정 대화 상자에서 오른쪽 창을 마우스 오른쪽 단추로 클릭한 다음 IP 필터 목록 및 필터 동작 관리를 클릭합니다.

  2. IP 필터 목록 및 필터 동작 관리 대화 상자의 필터 동작 관리 탭, 추가를 차례로 클릭합니다. 필터 동작 마법사가 나타납니다.

  3. 다음 설정을 사용하여 필터 동작을 만듭니다.

    • 이름: 차단
    • 설명: 선택 사항
    • 필터 동작 일반 옵션: 차단
  4. IP 보안 필터 동작 마법사 완료 화면에서 속성 편집 확인란의 선택을 취소한 다음 마침을 클릭합니다.

  5. IP 필터 목록 및 필터 동작 관리 대화 상자에서 닫기를 클릭합니다.

IPsec 필터 목록과 필터 동작을 만든 후에는 IPsec 정책을 만들고 목록을 동작에 연결하는 규칙을 정의해야 합니다.

IPsec 정책을 만들려면
  1. 필터 동작을 설정한 후 로컬 보안 설정 대화 상자에서 오른쪽 창을 마우스 오른쪽 단추로 클릭한 다음 IP 보안 정책 만들기를 선택합니다. IP 보안 정책 마법사가 나타납니다.

  2. 다음 설정을 사용하여 정책을 만듭니다.

    • 이름: 패킷 필터
    • 설명: 선택 사항
  3. 보안 통신 요청 화면에서 기본 응답 규칙 활성화 확인란의 선택을 취소하고 다음을 클릭합니다.

  4. IP 보안 정책 마법사 완료 화면에서 속성 편집 확인란을 선택했는지 확인한 다음 마침을 클릭합니다. 새 IP 보안 정책 속성 대화 상자가 나타납니다. 이 대화 상자를 닫지 마십시오.

IPsec 필터 목록, 필터 동작 및 IPsec 정책을 만든 다음 정책에 규칙을 추가하고 만든 IPsec 필터 목록을 해당 규칙에 연결해야 합니다.

정책에 규칙을 추가하려면
  1. IPsec 정책을 만든 후 새 IP 보안 정책 속성 대화 상자에서 추가를 클릭합니다. 보안 규칙 마법사가 나타납니다.

  2. 다음 설정을 사용하여 규칙을 만듭니다.

    • 터널 종점: 이 규칙에서는 터널 지정 안 함
    • 네트워크 종류: 모든 네트워크 연결
    • IP 필터 목록: 모든 인바운드(또는 모든 포트에서 인바운드 트래픽에 적용되는 필터 목록 이름)
    • 필터 동작: 차단
  3. 보안 규칙 마법사 완료 화면에서 속성 편집 확인란의 선택을 취소한 다음 마침을 클릭합니다.

  4. 새 IP 보안 정책 속성 대화 상자에서 닫기를 클릭합니다.

  5. 1~4단계를 반복하여 인바운드 HTTP 및 인바운드 HTTPS 필터 목록에 적용할 규칙을 만듭니다. 이러한 규칙에서는 허용 필터 동작을 선택합니다.

IPsec 필터 목록, 필터 동작 및 정책을 만들고 정책에 규칙을 추가하고 규칙과 IPsec 필터 목록을 연결한 다음 서버에 IPsec 정책을 할당해야 합니다. 항상 하나의 정책만 할당할 수 있습니다.

IPsec 정책을 할당하려면
  • 로컬 보안 설정 대화 상자에서 앞서 만든 정책을 마우스 오른쪽 단추로 클릭하고 할당을 클릭합니다.

정책이 즉시 적용되고 정책의 규칙에 따라 IPsec는 패킷을 처리하기 시작합니다. 서버를 다시 부팅할 필요가 없습니다. 정책을 중지하려면로컬 보안 설정 대화 상자에서 정책을 마우스 오른쪽 단추로 클릭한 다음 할당 해제를 클릭합니다.

Posted by 스노우볼^^

댓글을 달아 주세요