smileNewfreedom

블로그 이미지
freedom 모든 자유와 시간을 위해.....
by 다크포스
12-04 01:23
  • 680,205Total hit
  • 0Today hit
  • 5Yesterday hit

CALENDAR

«   2021/12   »
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

Windows Vista 와 Windows Server 2008 을 함께 도입함으로써 Windows 방화벽 및 IPsec 이 결합된 하나의 툴인 Windows Firewall with Advanced Security MMC snap-in 을이용하여 구성할수 있습니다.

Windows Firewall with Advanced Security MMC 스냅인은 Windows Vista 및 Windows Server 2008이 운영되는 컴퓨터의 구성을 위한 이전의 IPsec 스냅인, IP 보안정책 및 IP 보안 모니터 를 대체합니다. 이전의 IPsec 스냅인은 Windows Server 2003, Windows XP, Windows 2000 이 운영되는 클라이언트 컴퓨터를 관리하기위해 여전히 포함되어 있습니다. 비록 Windows Vista 및 Windows Server 2008이 운영되고 있을지라도, 이전버전의 IPsec 스냅인으로 구성되거나, 모니터링 할수 있습니다.

그러나, Windows Vista 와 Windows Server 2008에 소개된 보안옵션 및 많은 새로운 특징들을 구성하기위해서는 예전의 툴을 사용할수 없습니다. 그런 새로운 특징들의 이점은 Windows Firewall with Advanced Security snap-in 을 사용하여 설정 구성되어야만 하고, Netsh 툴의 advfirewall 구문의 명령들을 사용할수 있습니다.

Windows Vista 또는 Windows Server 2008 이 운영되는 컴퓨터에서는 방화벽 및 향상된 보안에서 몇가지 기능을 제공합니다. :

· 모든 IPv4 및 IPv6 의 인입 또는 컴퓨터를 떠나는 트래픽의 필터링은 기본적으로 모든 인입 트래픽은 컴퓨터로 부터 이전의 외부로의 요청에 대한 응답이 아니라면 막히게 됩니다. (solicited traffic) 또는 트래픽을 허용하기위해 생성된 룰에 의해 특정적으로 허용되게 됩니다. 예기치않은 방식의 소통 으로 부터 기본서비스들을 예방하는 예외적인 서비스 강화 정책을 제외 하고는 기본적으로 모든 외부 나가는 트래픽은 허용됩니다. IPv4 나 IPv6 주소, 응용프로그램 경로 및 이름, 컴퓨터에 운영중인 서비스의 이름 또는 다른 기준에 대해 포트번호 기반으로 트래픽을 허용하기위해 선택할수 있습니다.

· 네트워크 트래픽의 일관성있는 검증을 위해 IPsec 프로토콜을 사용하여, 인입되는 네트워크 트래픽 또는 시스템에서 빠진 컴퓨터를 보호합니다. 수신 및 발신 컴퓨터 또는 사용자의 신원을 확인하기 위해, 그리고 암호화 트래픽을 이용하여 비밀유지를 제공합니다.

Windows XP Service Pack 2를 시작할때와 같이 Microsoft 의 클라이언트 운영체제는 기본적으로 Windows Firewall 이 활성화 되어집니다. Windows Server 2008 은 Windows Firewall 이 기본적으로 활성화 되는 Microsoft 의 첫번째 서버 운영체제입니다. Windows 방화벽이 기본적으로 켜지기 때문에 Windows Server 2008을 운영하는 모든 서버의 관리자는 어떻게 필요한 트래픽을 허용하기위해 방화벽을 구성하는지 이해하고 이러한 특징에 대해 알고 있어야 합니다.

Windows Firewall with Advanced Security MMC snap-in 또는 Netsh 명령어 툴의 advfirewall 구문에서 사용가능한 명령어를 통해 Windows Firewall with Advanced Security 를 완전히 구성할수 있습니다. 두 툴 모두(GUI 와 CMD) 로컬컴퓨터 또는 Windows Server 2008 및 Windows Vista 가 운영되는 네트워크상의 원격컴퓨터를 관리할수 있도록 지원합니다. 또한 해당툴을 이용하여 Group Policy 를 통해 네트워크에 연결된 컴퓨터에 생성된 설정을 배포할수 있습니다.

만약 당신이 다음의 그룹중 하나에 속해있다면, 이 섹션을 검토해야 합니다. :

· IT 기획자 와 제품의 기술을 평가 및 분석하는 사람

· 엔터프라이즈 IT 기획자 및 설계자

· 조직의 네트워크 보안을 배포하고 관리하는 IT 전문가

Windows Firewall with Advanced Security 를 통합하는 두 기능은 Windows 의 이전버전에서 개별적으로 관리되는 것과 크게 향상된 Windows Vista 및 Windows Server 2008의 Firewall 및 IPsec 각각의 핵심 기능성입니다.

만약 Windows Vista 와 Windows Server 2008에 설치되도록 설계된 소프트웨어를 생성했다면, 설치 도구가 방화벽 설정에 맞게 구성되는지 혹은 방화벽을 통해 해당 프로그램이 네트워크 트래픽에 통과되도록 정책설정 되는것을 명확히 해야합니다.

해당 프로그램은 네트워크 위치 형태를 변경하기위해 정확히 응답하는지와 Windows domain, privatepublic 에 의해 구분되는 다른 네트워크 위치 유형을 구분할수 있어야 합니다.

컴퓨터에서 다른 방화벽 정책이 적용되는것을 네트워크 위치 형태 변경은 알아볼수 있게 됩니다. 예들들어 해당 응용프로그램이 안전한 환경에서만 구동되길 원한다면, domain 또는 private 네트워크와 같이 구성하면, 컴퓨터가 공용 네트워크에 있을때 방화벽 정책에서 해당프로그램에 네트워크 트래픽을 보내는것을 방지하게 됩니다.

만약 해당프로그램이 실행되는 동안 네트워크 위치 형태가 변경된다면, 해당 변경은 받아들여질수 있어야 합니다.

Windows Firewall Is Turned On by Default

Windows 방화벽은 Windows XP Service Pack 2 이후의 클라이언트 운영체제에서 기본적으로 활성화 되었었습니다. 그러나, Windows Server 2008은 Windows 방화벽이 기본적으로 활성화 되어져 있는 최초의 서버 버전 운영체제 입니다.

네트워크로 들어오는 요청되지않은 트래픽을 받기위해 허용되어야만 하는 서비스나 어떠한 응용프로그램에도 내포되어 설치되어 집니다.

다수의 오래된 응용프로그램은 호스트기반의 방화벽과 함께 운영되도록 설계되지 않았습니다. 그래서 요청되지않은 인입 네트워크 트래픽을 허용하기위해 응용프로그램을 허용하는 정책을 정의하지 않으면, 제대로 운영되지 않을것입니다.

Windows Server 2008에 포함된 서버역할 또는 feature 를 설치할때, 서버역할 또는 feature 가 제대로 운영되게하기 위해 설치자(installer)는 방화벽 정책을 생성하거나, 자동적으로 활성할것입니다.

응용프로그램을 구성하기위한 방화벽 설정을 결정하기위해서는 응용프로그램 벤더에 연락하시기 바랍니다.

방화벽 설정은 흔히 벤더들의 Support 웹사이트를 통해 알려줍니다.

Note

Windows Server 2003 이 실행되는 컴퓨터를 Windows Server 2008로 업그레이드 하기위해 업그레이드 전에 동일한 방화벽 운영상태를 유지해야합니다. 만약 업그레이드 이전에 방화벽이 꺼져있다면, 업그레이드 이후에도 꺼진상태로 놔두어야합니다.

되도록이면 응용프로그램을 확인하여 방화벽이 구성된 서버에서 운영될수 있도록 하여 방화벽을 켜거나, 되도록이면 컴퓨터에서 응용프로그램이 운영될수 있도록 적절한 방화벽 정책을 구성할것을 강력하게 권해드립니다.

IPsec Policy Management Is Simplified

이전 버전의 Windows 에서 서버 또는 도메인 격리는 때때로 네트워크 트래픽이 적절히 보호되는 것을 필요로 하는지 확인하기위해 다수의 IPsec 정책의 생성이 필요합니다.

크고 복잡한 IPsec Set를 필요로하는 정책은 요청하지만 IPsec 보호가 필요치 않는 IPsec 협상을 위한 새로운 기본적인 행위에 의해 감소됩니다.

이 설정이 사용되었을때, IPsec은 IPsec 협상 시도를 보냄과 동시에 목적지 컴퓨터에게 플레인텍스트 패킷을 보낼수 있습니다. 만약 목적지 컴퓨터가 성공적으로 협상을 완료하였다고 응답이 온다면, 플레인텍스트 커뮤니케이션은 중지됩니다. 이후의 커뮤니케이션은 IPsec으로 보호됩니다. 그러나, 만약 목적지 컴퓨터가 IPsec 협상에 응답하지 않는다면, 플레인텍스트 시도는 계속 허용됩니다. 이전 버전의 Windows 는 3초를 기다린후에 IPsec 협상 시도를 한후 플레인텍스트를 이용하여 커뮤니케이션을 시도하였습니다. 이 결과 플레인텍스트가 재시도 되어야하고 보호되지 않는 트래픽의 중대한 성능 지연이 나타났었습니다. 이러한 성능 지연을 피하기 위해 관리자들은 네트워크 트래픽 별로 다른 요구사항의 다중 IPsec 정책을 생성해야 했습니다.

새로운 행동은 요청을 위한 선택권을 허용합니다. IPsec 보호를 필요로 하지않고 수행되는 거의 대부분의 보호되지 않는 트래픽은 요청하기위한 선택권을 새로운 행동은 허용합니다. 왜냐하면 더이상 3초간의 지연은 필요하지 않기 때문입니다.

예외를 필요로 하는 명확한 허용을 위한 많은 정책의 생성없이 트래픽의 보호가 요구되어지는 곳은 사용가능하게 할수 있습니다.

이결과 더 안전하고 덜 복잡하고 쉽게 문제 해결할수 있는 환경이 됩니다.

Support for Authenticated IP

Windows 의 이전버전에서는 오직 IPsec security associations (SAs) 협상을 위한 Internet Key Exchange (IKE) 프로토콜 만이 IPsec을 지원했습니다. Windows Vista 와 Windows Server 2008 은 Authenticated IP (AuthIP) 로 알려진 확장 IKE를 지원합니다.

AuthIP 는 인증 능력 뿐만아니라 다음과 같은것을 제공합니다.

· IKE 혼자서는 가능하지 않는 새로운 자격인증 형태를 지원합니다. 이것은 다음을 포함합니다. : NAP 배포의 한부분인 Health Certificate Server 의 Health 인증서 제공; 사용자 기반 인증서; Kerberos 사용자 자격증명; NTLM version 2 사용자 또는 컴퓨터 자격증명

IKE 지원 자격증명 형식 뿐만아니라 컴퓨터기반 인증서, 컴퓨터 계정을 위한 Kerberos 자격증명 또는 단순 pre-shared keys 를 지원합니다.

· 다중 자격증명을 사용하여 인증을 지원합니다. 예를들어 IPsec 은 컴퓨터 및 사용자 자격증명 모두는 트래픽이 허용되기전에 성공적으로 처리될수있게 구성될수 있습니다. 신뢰되지 않은 사용자에 의해 사용되는 신뢰된 컴퓨터의 기회의 감소로 네트워크의 안전은 증대 됩니다.

Support for Protecting Domain Member to Domain Controller Traffic by Using IPsec

Windows 의 이전버전은 도메인 컨트롤러와 멤버 컴퓨터간의 IPsec을 통한 트래픽 보호가 지원되지 않았었습니다. Windows Vista 와 Windows Server 2008 은 IPsec을 이용하여 도메인 컨트롤러(DC)와 멤버 컴퓨터간의 보호된 네트워크 트래픽을 지원은 물론 도메인에 합류되지 않은 컴퓨터가 도메인에 조인하는 동안 IPsec으로 보호된 도메인 컨트롤러를 사용할수 있습니다.

Improved Cryptographic Support

Windows Vista 및 Windows Server 2008 에서 IPsec 의 수행은 SAs의 주된 방식의 협상을 위한 특별한 알고리즘을 지원합니다.

· Elliptic Curve Diffie-Hellman P-256, an elliptic curve algorithm using a 256-bit random curve group

· Elliptic Curve Diffie-Hellman P-384, an elliptic curve algorithm using a 384-bit random curve group

또한 다음의 Advanced Encryption Standard (AES) 를 사용하는 암호화 기법을 지원합니다. :

· AES with cipher block chaining (CBC) and a 128-bit key size (AES 128)

· AES with CBC and a 192-bit key size (AES 192)

· AES with CBC and a 256-bit key size (AES 256)

Settings Can Change Dynamically Based on the Network Location Type

Windows Vista 와 Windows Server 2008은 Windows Firewall과 같이 dial-up 연결, VPN 및 기타등등 의 어느 네트워크 어댑터를 통하든지 사용 가능한 네트워크 위치 형태의 변경에 대해 네트워크가 활성화된 응용프로그램에게 알림을 할수 있습니다.

Windows 는 세가지 네트워크 위치 형태를 지원합니다. 그리고 프로그램들은 적절한 구성옵션에서 이러한 위치형태를 자동으로 할당할수 있습니다.

응용프로그램들은 네트워크 위치 형태 변경의 알림을 받기위해 이 기능을 활용하여 쓰여져야 합니다. Windows Vista 및 Windows Server 2008의 Windows Firewall with Advanced Security 는 어떤 컴퓨터가 첨부되었는지 네트워크 위치 형태를 보호 기반의 다른 수준을 제공할수 있습니다.

다음은 네트워크 위치 형태들 입니다. :

· Domain. 이 형태는 컴퓨터가 도메인의 구성원으로 되었을때 선택되어 집니다. 그리고 Windows는 컴퓨터가 현재 도메인이 주최하는 네트워크에 연결 되어있다는 것을 결정합니다. 이 섹션은 자동으로 네트워크상의 도메인 콘트롤러에 성공적으로 인증합니다.

· Private. 이 형태는 가정용 네트워크 또는 소규모 사무실 네트워크와 같이 사용자의 네트워크의 신뢰를 위해 선택되어 집니다. 이 위치에 할당된 설정은 일반적으로 도메인 네트워크 보다 더 제한적입니다. 왜냐하면 가정용 네트워크는 도메인 네트워크처럼 적극적으로 관리되는 되지 않기 때문입니다. 새로이 감지된 네트워크는 개인 위치 형태로 절대 자동적으로 할당되지 않습니다. 사용자는 반드시 개인 위치 형태로 네트워크 할당을 명확하게 선택해야만 합니다.

· Public. 이 형태는 새로이 네트워크에 감지되는 기본적으로 할당되는 형태입니다. 이 위치에 할당된 설정은 일반적으로 가장 제한적입니다. 왜냐하면 공용 네트워크에서의 보안 위험이 존재하기 때문입니다.

Note

네트워크 위치 형태 feature 는 클라이언트 컴퓨터, 특히 네트워크 간의 이동이 잦은 휴대용 컴퓨터 에서 가장 유용한 기능입니다. 서버는 잘 움직이지 않아서, Windows Server 2008 이 실행되는 일반적인 컴퓨터를 위해 세가지 프로파일이 모두 같이 구성할수 있도록 전략적으로 고안되었습니다.

Integration of Windows Firewall and IPsec Management Into a Single User Interface

Windows Vista 및 Windows Server 2008의 방화벽 및 IPsec 컴포넌트를 위한 사용자 인터페이스는 현재 Windows Firewall with Advanced Security MMC snap-in 에 결합되 있습니다. 그리고 Netsh command-line 툴의 advfirewall 컨텍스트명령어가 있습니다.

이 툴은 Windows XP, Windows Server 2003, Windows 2000 family 의 Windows Firewall 관리 템플릿 그룹 정책 설정에서 사용되었습니다.

IP Security Policy and IP Security Monitor MMC snap-ins 과 Netsh 명령어의 ipsecfirewall 컨텍스트는 여전히 사용가능 합니다. 그러나, Windows Vista 와 Windows Server 2008 의 새로운 기능은 포함하여 지원하지 않습니다. 제어판의 Windows Firewall 아이콘은 여전히 존재합니다. 그러나, 이것은 방화벽의 기본적인 기능을 관리하기위한 최종 사용자 인터페이스입니다. 관리자가 필요로 하는 고급 옵션은 존재하지 않습니다. 방화벽을 위한 다중 도구 사용 및 Windows 의 이전버전에서 IPsec 은 비록 같은 종류의 네트워크 패킷이 존재하도록 허용하는 방화벽 룰일지라도 네트워크 패킷이 유실될수 있는 특정 형태로 인한 IPsec 정책과 같이, 관리자들은 뜻하지않게 상반되는 설정을 생성할수 있습니다. 상반되는 룰의 생성 가능성 감소 와 트래픽 보호를 위해 올바르게 다루어지는것을 도와주는 두 기능의 결합으로 아주 어려운 문제해결 상황이 초래될수 있습니다.

Full Support for IPv4 and IPv6 Network Traffic Protection

Windows Vista 및 Windows Server 2008 에서 모든 사용가능한 방화벽 및 IPsec feature 들는 IPv4 및 IPv6 네트워크 트래픽 둘다를 보호하기 위해 사용가능합니다.

Additional References

다음 자원들은 Windows Firewall with Advanced Security and IPsec 에 대한 추가적인 정보를 제공합니다. :

· For more information about Windows Firewall with Advanced Security, see “Windows Firewall” (http://go.microsoft.com/fwlink/?LinkID=84639) on the Microsoft TechNet Web site.

· For more information about IPsec, see IPsec (http://go.microsoft.com/fwlink/?LinkID=84638) on the Microsoft TechNet Web site.

· For more information about server and domain isolation scenarios for IPsec, see Server and Domain Isolation (http://go.microsoft.com/fwlink/?LinkID=79430) on the Microsoft TechNet Web site.

· For more information about Network Access Protection, see Network Access Protection (http://go.microsoft.com/fwlink/?LinkID=84637) on the Microsoft TechNet Web site.

· For more information about how to write applications that are aware of network location types, see Network Awareness on Windows Vista (http://go.microsoft.com/fwlink/?LinkId=85491), and Network Location Awareness Service Provider (http://go.microsoft.com/fwlink/?LinkId=85492) on the Microsoft MSDN® Web site.

TRACKBACK 0 AND COMMENT 0




ARTICLE CATEGORY

분류 전체보기 (534)
멋진 사진들 (8)
배경화면들 (3)
.NET (112)
연애이슈 (65)
게임관련 (15)
경제 이슈 (60)
모델 (0)
사진(취미) (14)
노래 (8)
호주워킹홀리데이 (11)
Javascript (2)
Ajax (4)
스포츠 (74)
우주/과학/생활 (95)
Windows 2008 (19)
Silverlight (2)
여행 (6)
MS 자격증 (2)
해외이슈 (4)
IT정보 (16)
Server (5)
애니매이션 (9)