서버 작업하다 몇가지 의문 사항이 있어서 설 연휴를 맞이하야 검색하다 미처 놓쳤던 부분을 발견했다.
왜 이걸 생각을 안했을까 싶다 ㅎ
http://technet.microsoft.com/ko-kr/library/bb877979.aspx
Windows XP 서비스 팩 2에서 수동으로 Windows 방화벽 구성
업데이트 날짜: 2004년 2월 16일
출처: The Cable Guy
다음 절에서는 새 Windows 방화벽의 설정에 대해 설명합니다.
이 페이지에서
Windows 방화벽일반 탭
예외 탭
고급 탭
추가 정보
Windows 방화벽
Windows XP SP2(서비스 팩 2)에는 ICF(인터넷 연결 방화벽)을 대체하는 새 Windows 방화벽이 포함되어 있습니다. Windows 방화벽은 컴퓨터의 요청에 대한 응답으로 들어오는 트래픽
(즉, 요청된 트래픽)과, 요청되지 않은 트래픽 중 허용된 경우(즉, 예외 트래픽) 외의 요청되지 않은 모든 트래픽을 삭제하는 호스트 기반의 안정된 방화벽입니다.
Windows 방화벽은 네트워크에서 요청되지 않은 트래픽을 통해 컴퓨터를 공격하는 악의 있는 사용자와 프로그램으로부터 시스템을 보호합니다.
Windows XP SP2에는 다음 항목들을 포함하여 여러 가지 새로운 Windows 방화벽 기능이 있습니다.
- 기본적으로 모든 컴퓨터 연결에 대해 Windows 방화벽을 활성화하는 기능
- 모든 연결에 적용되는 새로운 글로벌 구성 옵션
- 로컬 구성을 위한 새로운 대화 상자 집합
- 새 운영 모드
- 시작 보안 기능
- 범위를 이용한 예외 트래픽 지정
- 응용 프로그램 파일 이름을 이용한 예외 트래픽 지정
- 기본 제공되는 IPv6(Internet Protocol version 6) 트래픽 지원 기능
- Netsh 및 그룹 정책을 이용하는 새로운 구성 옵션
이 기사에는 새 Windows 방화벽을 수동으로 구성하는 데 사용되는 대화 상자들이 자세히 설명되어 있습니다. SP1(서비스 팩 1)이 설치된 Windows XP 및 서비스 팩이 설치되지 않은
Windows XP에서 사용되는 ICF와 달리 이 구성 대화 상자들은 IPv4와 IPv6 트래픽을 모두 구성합니다.
SP1이 설치된 Windows XP 및 서비스 팩이 설치되지 않은 Windows XP에서 ICF를 설정할 때는 연결 속성의 고급 탭에 있는 인터넷에서 이 컴퓨터에 액세스하는 것을 제한하거나
금지하여 내 컴퓨터 및 네트워크 보호 확인란과 설정 단추를 사용합니다. 사용자는 이 단추를 이용하여 예외 트래픽, 로깅 설정 및 허용된 ICMP 트래픽을 구성할 수 있습니다.
Windows XP SP2에서는 연결 속성의 고급 탭에 있는 확인란이 설정 단추로 바뀌었습니다. 사용자는 이 단추로 일반 설정, 프로그램 및 서비스에 대한 권한, 연결별 설정, 로그 설정,
허용된 ICMP 트래픽 등을 모두 구성할 수 있습니다. 설정 단추는 새 Windows 방화벽 제어판 애플릿을 시작하며 이 단추는 제어판의 네트워크 및 인터넷 연결과 보안 센터 범주에서도
사용할 수 있습니다.
새 Windows 방화벽 대화 상자에는 다음 탭이 들어 있습니다.
- 일반
- 예외
- 고급
일반 탭
다음 그림은 기본 설정을 갖는 일반 탭을 보여줍니다.
일반 탭에서 다음을 선택할 수 있습니다.
- 사용(권장) 고급 탭에서 선택한 모든 네트워크 연결에 대해 Windows 방화벽을 활성화하려면 선택합니다. Windows 방화벽이 활성화되면 요청된 트래픽과 예외 트래픽만 허용됩니다. 예외
트래픽은 예외 탭에서 구성합니다. - 예외 허용 안 함 요청된 트래픽만 허용하려면 클릭합니다. 예외 트래픽은 허용되지 않습니다. 예외 탭의 설정은 무시되고 고급 탭의 설정에 관계없이 모든 네트워크 연결이 보호됩니다.
- 사용 안 함(권장하지 않음) Windows 방화벽을 비활성화하려면 선택합니다. 이미 서드 파티 호스트 방화벽 제품을 사용하고 있는 경우를 제외하고 인터넷에서 직접 액세스할 수 있는 네트워크 연결의 경우에는
특히 이 방법을 사용하지 않는 것이 좋습니다.
SP2가 설치된 Windows XP 실행 컴퓨터의 모든 연결과 새로 만들어진 연결의 경우 Windows 방화벽의 기본 설정은 사용(권장)입니다. 이 설정은 요청되지 않은 트래픽을 사용하는
프로그램과 서비스의 통신에 영향을 줄 수 있습니다. 이 경우 작동하지 않는 프로그램을 식별하여 해당 프로그램이나 트래픽을 예외 트래픽으로 추가해야 합니다. 인터넷 브라우저 및
전자 메일 클라이언트(예: Outlook Express)와 같은 대부분의 프로그램은 요청되지 않은 트래픽을 사용하지 않으므로 Windows 방화벽이 활성화된 상태에서 제대로 작동합니다.
그룹 정책을 사용하여 SP2가 설치된 Windows XP 실행 컴퓨터에 대해 Windows 방화벽을 구성하면 구성한 그룹 정책 설정이 로컬 구성을 허용하지 않을 수 있습니다.
이 경우 로컬 관리자 그룹의 구성원(로컬 관리자)인 계정으로 로그온하더라도 일반 탭과 기타 탭의 옵션이 회색으로 표시되어 사용하지 못할 수 있습니다.
그룹 정책 기반 Windows 방화벽 설정을 사용하면 도메인 프로필(도메인 컨트롤러를 포함하는 네트워크에 연결된 경우 적용되는 Windows 방화벽 설정 집합)과 표준 프로필(인터넷처럼
도메인 컨트롤러를 포함하지 않는 네트워크에 연결된 경우 적용되는 Windows 방화벽 설정 집합)을 구성할 수 있습니다. 구성 대화 상자는 현재 적용된 프로필의 Windows 방화벽 설정만
표시합니다. 현재 적용되지 않은 프로필의 설정을 보려면 netsh firewall show 명령을 사용합니다. 현재 적용되지 않은 프로필의 설정을 변경하려면 netsh firewall set 명령을 사용합니다.
예외 탭
다음 그림은 기본 설정을 갖는 예외 탭을 보여줍니다.
예외 탭에서 기존 프로그램이나 서비스를 활성화하거나 비활성화할 수 있으며 예외 트래픽을 정의하는 프로그램 및 서비스 목록을 유지 관리할 수 있습니다. 일반 탭에서 예외 허용 안 함
옵션을 선택하면 예외 트래픽이 허용되지 않습니다.
SP1이 설치된 Windows XP 및 서비스 팩이 설치되지 않은 Windows XP에서는 예외 트래픽을 TCP(transmission Control Protocol) 또는 UDP(User Datagram Protocol) 포트로만
정의할 수 있었습니다. SP2가 설치된 Windows XP의 경우 예외 트래픽을 TCP 및 UDP 포트로 정의할 수도 있고 프로그램의 파일 이름(응용 프로그램 또는 서비스)으로도 정의할 수 있습니다.
이러한 구성 유연성으로 인해 프로그램의 TCP 또는 UDP 포트를 알지 못하거나 이 포트가 프로그램이 시작될 때 동적으로 결정되더라도 예외 트래픽을 쉽게 구성할 수 있습니다.
미리 정의된 프로그램 집합에는 다음이 포함됩니다.
- 파일 및 인쇄 공유
- 원격 지원(기본적으로 활성화됨)
- 원격 데스크톱
- UPnP 프레임워크
그룹 정책을 사용할 수 있는 경우 프로그램 추가를 클릭하여 프로그램 이름을 지정하거나 포트 추가를 클릭하여 TCP 또는 UDP 포트를 지정하는 방법으로 추가 예외를 만들 수 있습니다.
프로그램 추가를 클릭하면 프로그램 추가 대화 상자가 표시되므로 이 대화 상자에서 프로그램을 선택하거나 프로그램의 파일 이름을 찾아볼 수 있습니다. 다음 그림은 예제를 보여줍니다.
포트 추가를 클릭하면 포트 추가 대화 상자가 표시되므로 TCP 또는 UDP 포트를 구성할 수 있습니다. 다음 그림은 예제를 보여줍니다.
새 Windows 방화벽에서는 예외 트래픽의 범위를 지정할 수 있습니다. 범위는 예외 트래픽의 발생을 허용할 네트워크 부분을 정의합니다. 프로그램 또는 포트의 범위를 정의하려면
범위 변경을 클릭합니다. 다음 그림은 예제를 보여줍니다.
프로그램이나 포트의 범위를 정의할 경우 3가지 옵션이 있습니다.
- 모든 컴퓨터(인터넷의 컴퓨터 포함) 모든 IPv4 주소에서 예외 트래픽이 허용됩니다. 이 설정은 사용자 컴퓨터를 인터넷의 악의 있는 사용자나 프로그램의 공격에 취약하게 만들 수 있습니다.
- 내 네트워크(서브넷)만 트래픽을 받은 네트워크 연결에 연결된 로컬 네트워크 세그먼트(서브넷)와 일치하는 IPv4 주소에 대해서만 예외 트래픽을 허용합니다. 예를 들어, 네트워크 연결이 IPv4 주소 192.168
.0.99와 서브넷 마스크 255.255.0.0으로 구성될 경우 192.168.0.1부터 192.168.255.254까지의 범위에 있는 IPv4 주소에 대해서만 예외 트래픽이 허용됩니다. - 사용자 지정 목록 하나 이상의 IPv4 주소 또는 IPv4 주소 범위를 쉼표로 분리하여 지정할 수 있습니다. IPv4 주소 범위는 일반적으로 서브넷에 대응됩니다. IPv4 주소는 점으로 구분되는 십진수 표기로
입력합니다. IPv4 주소 범위의 경우 점으로 구분되는 십진 서브넷 마스크 또는 접두사 길이를 사용하여 범위를 지정할 수 있습니다. 점으로 구분된 십진 서브넷 마스크를 사용할 경우
범위를 IPv4 네트워크 ID(예: 10.47.81.0/255.255.255.0)로 지정하거나 범위 내의 IPv4 주소(예: 10.47.81.231/255.255.255.0)를 사용하여 지정할 수 있습니다.
네트워크 접두사 길이를 사용할 경우 범위를 IPv4 네트워크 ID(예: 10.47.81.0/24)로 지정하거나 범위 내의 IPv4 주소(예: 10.47.81.231/24)를 사용하여 지정할 수 있습니다.
다음은 사용자 지정 목록의 예입니다. 10.91.12.56,10.7.14.9/255.255.255.0,10.116.45.0/255.255.255.0,172.16.31.11/24,172.16.111.0/24. IPv6 트래픽에 대해서는 사용자 지정 목록을 지정할 수 없습니다.
내 네트워크(서브넷)만 범위는 모두 동일한 서브넷에 연결된 로컬 홈 네트워크의 컴퓨터는 프로그램이나 서비스에 액세스하도록 허용하고 악용할 가능성이 있는 인터넷 사용자의 액세스는
차단할 때 유용합니다.
일단 추가된 프로그램이나 포트는 프로그램 및 서비스 목록에서 기본적으로 비활성화됩니다.
예외 탭에서 활성화된 모든 프로그램이나 서비스는 고급 탭에서 선택된 모든 연결에 대해 활성화됩니다.
고급 탭
다음 그림은 고급 탭을 보여줍니다.
고급 탭에는 다음 섹션이 포함되어 있습니다.
- 네트워크 연결 설정
- 보안 로깅
- ICMP
- 기본 설정
네트워크 연결 설정에서 다음을 수행할 수 있습니다.
- Windows 방화벽이 활성화된 인터페이스 집합을 지정합니다. 활성화하려면 네트워크 연결 이름 옆에 있는 확인란을 선택합니다. 비활성화하려면 확인란의 선택을 취소합니다.
기본적으로 모든 네트워크 연결은 Windows 방화벽이 활성화되어 있습니다. 네트워크 연결이 이 목록에 나타나지 않으면 표준 네트워킹 연결이 아닙니다. 예제에는 ISP(인터넷 서비스
공급자)의 몇몇 사용자 지정 전화 걸기 기능이 포함되어 있습니다. - 네트워크 연결 이름을 클릭한 다음 설정을 클릭하여 개별 네트워크 연결의 고급 설정을 구성합니다.
일반 탭에서 예외 허용 안 함을 선택하면 네트워크 연결 설정의 설정이 무시됩니다. 이 경우 모든 인터페이스가 보호됩니다.
설정을 클릭하면 다음 그림처럼 고급 설정 대화 상자가 표시됩니다.
고급 설정 대화 상자의 경우 서비스 탭(TCP 또는 UDP 포트만 사용)에서 특정 서비스를 구성하거나 ICMP 탭에서 특정 유형의 ICMP 트래픽을 활성화할 수 있습니다. 이 두 탭은
SP1이 설치된 Windows XP 및 서비스 팩이 설치되지 않은 Windows XP에서 ICF 구성을 위한 설정 탭과 동일합니다.
보안 로깅
보안 로깅에서 설정을 클릭하여 다음 그림처럼 로그 설정 대화 상자에 있는 Windows 방화벽 로깅 구성을 지정합니다.
로그 설정 대화 상자에서 버려진(삭제된) 패킷 또는 성공적인 연결의 기록 여부를 구성할 수 있고 로그 파일의 이름과 위치(기본적으로 Systemroot\pfirewall.log로 설정) 및 최대
크기를 지정할 수 있습니다.
ICMP
ICMP에서 설정을 클릭하여 다음 그림처럼 ICMP 대화 상자에서 허용되는 ICMP 트래픽의 유형을 지정합니다.
ICMP 대화 상자에서는 고급 탭에서 선택한 모든 연결에 대해 Windows 방화벽에서 허용할 들어오는 ICMP 메시지 유형을 활성화 및 비활성화할 수 있습니다. ICMP 메시지는 진단,
오류 조건 보고 및 구성에 사용됩니다. 기본적으로 목록에 있는 ICMP 메시지는 허용되지 않습니다.
연결 문제를 해결하는 일반적인 단계는 Ping 도구를 사용하여 연결하려는 컴퓨터의 주소에 대해 Ping을 수행하는 것입니다. Ping을 수행할 때는 ICMP Echo 메시지를 보내고 응답으로
ICMP Echo Reply 메시지를 받습니다. 기본적으로 Windows 방화벽은 들어오는 ICMP Echo 메시지를 허용하지 않으므로 컴퓨터에서 응답으로 ICMP Echo Reply를 보낼 수 없습니다.
Windows 방화벽을 구성하여 들어오는 ICMP Echo 메시지를 허용하려면 수신 에코 요청 허용 설정을 활성화해야 합니다.
기본 설정
Windows 방화벽을 원래 설치된 상태로 되돌리려면 기본값 복원을 클릭합니다. 기본값 복원을 클릭하면 Windows 방화벽 설정을 변경하기 전에 사용자의 의사를 확인하는 메시지가
표시됩니다.
추가 정보
Windows XP SP2에 대한 자세한 내용은 다음 리소스를 참조하십시오.
'Infrastructure' 카테고리의 다른 글
iis 다운시 자동 재시작 하는 방법 (0) | 2009.01.28 |
---|---|
Virtual PC를 이용한 IE6, IE7 동시에 테스트하는 방법 (0) | 2009.01.28 |
SQL Injection의 취약점 및 대응방안 (0) | 2009.01.25 |
방화벽에 대해 설명할때 (0) | 2009.01.22 |
snort (0) | 2009.01.22 |